椭圆曲线有关知识

清风抚梦了无声

已于 2024-04-01 08:55:08 修改

阅读量1.3k

点赞数

分类专栏：密码学文章标签：密码学

于 2023-09-10 22:33:24 首次发布

本文链接：https://blog.csdn.net/weixin_47019296/article/details/132788171

版权

密码学专栏收录该内容

9 篇文章 0 订阅

订阅专栏

1. 实数域上的椭圆曲线

椭圆曲线并不是椭圆，称其为椭圆曲线的原因是，它们与用来计算椭圆周长的方程相似，都由三次方程描述。一般来说，椭圆曲线的三次方程为：

$y^2+axy+by=x^3+cx^2+dx+e$

式中，a、b、c、d、e均为实数，x和y在实数集上取值。对我们而言，将方程限制为如下形式是足够的：

$y^2=x^3+ax+b$

椭圆曲线的定义中还包含一个称为无穷远点或零点的元素，记为 $O$ 。对于给定的a值和b值，曲线由每个x值对应的正y值和负y值组成。于是，每条曲线都关于y=0对称。

加法的几何描述 可以证明，若限制后的方程中的参数a和b满足条件

$4a^3+27b^2\neq 0$

则可基于集合E(a,b)定义一个群。要在E(a,b)中定义一个群，必须定义一个称为加法的运算，并用+表示，其中a和b的取值需要满足上述条件。采用几何术语，可按如下方式定义加法的运算规则：若椭圆曲线上的三个点都在一条直线上，则它们的和为 $O$ 。从这个定义出发，可将椭圆曲线上加法的运算规则定义如下：

1. $O$ 是加法的单位元。于是有 $O=-O$ ；对椭圆曲线上的任意点 $P$ ，有 $P+O=P$ 。下面假设 $P\neq Q$ 且 $Q\neq O$ 。

2. 点 $P$ 的负元是具有相同x坐标和相反y坐标的点，即若 $P=(x,y)$ ，则 $-P=(x,-y)$ 。注意这两个点可用一条垂线连接起来，且 $P+(-P)=P-P=O$ 。

3. 要计算x坐标不同的两点 $P$ 和 $Q$ 之和，可在 $P$ 和 $Q$ 之间画一条直线并找到第三个交点 $R$ 。显然存在唯一的交点 $R$ （除非这条直线在 $P$ 或 $R$ 处与椭圆曲线相切，此时分别取 $R=P$ 或 $R=Q$ ）。为了形成群结构，需要在这三个点上定义加法： $P+Q=-R$ 。也就是说，定义 $P+Q$ 为第三个交点（相对于x轴）的镜像。

4. 上述各项的集合说明也适用于具有相同x坐标的两个点 $P$ 和 $-P$ 。两点由一条垂线连接，也可视为在无穷远点处与曲线相交，因此有 $P+(-P)=O$ ，这与上述步骤2一致。

5. 要加倍点 $Q$ ，可画一条切线并找到另一个交点 $S$ 。于是， $Q+Q=2Q=-S$ 。

利用上述运算规则，可以证明集合 $E(a,b)$ 是交换群。

加法的代数描述 对于彼此非负元的两个不同点 $P=(x_P,y_P)$ 和 $Q=(x_Q,y_Q)$ ，连接它们的虚线 $l$ 的斜率 $\Delta =(y_Q-y_P)/(x_Q-x_P)$ 。 $l$ 恰好与椭圆曲线相交于另一点，即 $P$ 与 $Q$ 之和的负元。经过某些代数运算后，可将 $R=P+Q$ 表示为：

$x_R=\Delta ^2-x_P-x_Q,\;y_R=-y_P+\Delta (x_P-x_R)$

我们还需要将一个点与自身相加： $P+P=2P=R$ ，当 $y_P\neq 0$ 时，上式可变为:

$x_R=(\frac{3x_P^2+a}{2y_p})^2-2x_P,\;y_R=(\frac{3x_P^2+a}{2y_p}) (x_P-x_R)-y_P$

2. $Z_p$ 上的椭圆曲线

椭圆曲线密码学使用的是其变量和系数均为有限域的元素的椭圆曲线。

对有限域上的椭圆曲线运算来说，不存在显而易见的几何解释，但可以使用实数域上的椭圆曲线运算的代数解释。

对 $Z_p$ 上的椭圆曲线，如同实数那样，只讨论限制形式的方程，但此时变量和系数均限制在 $Z_p$ 上：

$y^2mod\;p=(x^3+ax+b)mod\;p$

例如， $a=1,b=1,x=9,y=7,p=23$ 时，上式成立：

$7^2mod\;23=(9^3+9+1)mod\;23,\;49mod\;23=739mod\;23,\;3=3$

下面考虑所有满足上式的整数对(x，y)和无穷远点 $O$ 组成的集合 $E_p(a,b)$ 。系数a和b，变量x和y都是 $Z_p$ 的元素。

例如，令p=23并考虑椭圆曲线 $y^2=x^3+x+1$ ，其中 $a=b=1$ 。对于集合 $E_{23}(1,1)$ ，我们只对满足如下条件的非负整数感兴趣，即满足方程模 $p$ 运算且位于 $(0,0)$ 到 $(p-1,p-1)$ 的象限中的非负整数。

可以证明，若 $(x^3+ax+b)mod\;p$ 无重复因子，则根据集合 $E_p(a,b)$ 可以定义一个有限交换群。这等价于下列条件：

$(4a^3+27b^2)mod\;p\neq 0\;mod\;p$

定义在 $E_p(a,b)$ 上的加法运算规则，与定义在实数域上的椭圆曲线的运算规则一致。对任何点 $P,Q\;\epsilon \;E_p(a,b)$ ：

1. $P+O=P$

2. 若 $P=(x_p,y_p)$ ，则 $P+(x_p,-y_p)=O$ 。点 $(x_p,-y_p)$ 是 $P$ 的负元，记为 $-P$ 。例如，对 $E_{23}(1,1)$ 中的点 $P=(13,7)$ ，有 $-P=(13,-7)$ ，而 $-7mod\;23=16$ 。因此， $-P=(13,16)$ ，该点也在 $E_{23}(1,1)$ 中。

3. 若 $P=(x_p,y_p)$ ， $Q=(x_Q,y_Q)$ ，且 $P\neq -Q$ ，则 $R=P+Q=(x_R,y_R)$ 由下列规则确定:

$x_R=(\lambda ^2-x_p-x_Q)mod\;p,\;y_R=(\lambda (x_p-x_R)-y_p)mod\;p$

式中，

$\lambda =\left\{\begin{matrix} (\frac{y_Q-y_p}{x_Q-x_p})mod\;p & P\neq Q\\ (\frac{3x_P^2+a}{2y_p})mod\;p & P=Q \end{matrix}\right.$

4. 将乘法定义为重复相加，如4P=P+P+P+P。

例如，令 $E_{23}(1,1)$ 中的 $P=(3,10),Q=(9,7)$ 。

计算 $P+Q$ 则有

$\lambda =(\frac{7-10}{9-3})mod\;23=(\frac{-3}{6})mod\;23=(\frac{-1}{2})mod\;23\\. \;=((-1)*2^{-1}mod\;23)mod\;23=(-1*(12))mod\;23\\.\;=11$

（-1除以2就等于-1乘以2在 $Z_{23}$ 中的乘法逆元）

$x_R=(11^2-3-9)mod\;23=17,\;y_R=(11 (3-17)-10)mod\;23=20$

所以 $P+Q=(17,20)$ 。

要计算 $2P$ ，先求

$\lambda =(\frac{3(3^2+1)}{2\times 10})mod\;23=(\frac{5}{20})mod\;23=(\frac{1}{4})mod\;23\\ .\;=(1*(4^{-1}mod\;23))mod\;23\\ .\;=6$

$x_R=(6^2-3-3)mod\;23=7,\;y_R=(6 (3-7)-10)mod\;23=12$

即 $2P=(7,12)$ 。

3. $GF(2^m)$ 上的椭圆曲线

给定某个m，对 $GF(2^m)$ 上的椭圆曲线，使用变量和系数均在 $GF(2^m)$ 上取值的三次方程，并使用 $GF(2^m)$ 上的算数运算规则来进行运算。

业已证明， $GF(2^m)$ 上适合于椭圆曲线密码应用的三次方程与 $Z_p$ 上的三次方程不同，其形式为：

$y^2+xy=x^3+ax^2+b$

式中，变量x和y及系数a和b是 $GF(2^m)$ 中的元素，且所有计算均在 $GF(2^m)$ 中执行。

接下来考虑满足上式的所有整数对(x，y)和无穷远点 $O$ 组成的集合 $E_{2^m}(a,b)$ 。

例如，对使用不可约多项式 $f(x)=x^4+x+1$ 定义的有限域 $GF(2^4)$ ，其生成元满足 $f(g)=0$ ，即 $g^4=g+1$ 或二进制数 $g=0010$ 。我们可以按如下方式求出 $g$ 的各次方：

$g^0=0001$	$g^4=0011$	$g^8=0101$	$g^{12}=1111$
$g^1=0010$	$g^5=0110$	$g^9=1010$	$g^{13}=1101$
$g^2=0100$	$g^6=1100$	$g^{10}=0111$	$g^{14}=1001$
$g^3=1000$	$g^7=1011$	$g^{11}=1110$	$g^{15}=0001$