椭圆曲线上的加法运算定义如下:如果椭圆曲线上的3个点位于同一直线上,
那么它们的和为O。从这个定义出发,
我们可以定义椭圆曲线的加法规则:
0为加法的单位元,对于椭圆曲线上的任何一点P,有P+O=P。
对于椭圆曲线.上的一-点P=(X,y),
,它的逆元为P= ( x,-y)。注意到这里有P+ (- P) =P-P=O
计算xG
相关公式如下:
有限域GF§上的椭圆曲线y² = x³ + ax + b,
若P(Xp, Yp), Q(Xq, Yq),且P≠-Q,
则R(Xr,Yr) = P+Q 由如下规则确定:
Xr = (λ² - Xp - Xq) mod p
Yr = (λ(Xp - Xr) - Yp) mod p
其中
λ = (Yq - Yp)/(Xq - Xp) mod p(若P≠Q),
λ = (3Xp² + a)/2Yp mod p(若P=Q)
因此,有限域GF(23)上的椭圆曲线y² ≡ x³ + x + 1 (mod 23),
假设以(0,1)为G点,
计算2G、3G、4G…xG等等,
方法如下:
计算2G: λ = (3x0² + 1)/2x1 mod 23 = (1/2) mod 23 = 12 Xr = (12² - 0 - 0) mod 23 = 6 Yr = (12(0 - 6) - 1) mod 23 = 19 即2G为点(6,19)
计算3G: 3G = G + 2G,即(0,1) + (6,19) λ = (19 - 1)/(6 - 0) mod 23 = 3 Xr = (3² - 0 - 6) mod 23 = 3 Yr = (3(0 - 3) - 1) mod 23 = 13 即3G为点(3, 13)
也就是说,当给定点P时,“已知数x求点xG的运算”不难,因为有加法的性质,运算起来可以比较快。但反过来,“已知点xG求x的问题”则非常困难,因为只能遍历每一个x做运算。这就是椭圆曲线密码中所利用的“椭圆曲线上的离散对数问题”。
此处x即为私钥,xG即为公钥。
椭圆曲线加密算法原理如下