零知识证明-椭圆曲线(五）

这章主要讲述椭圆曲线 N 子群的阶n ，明文嵌入等 补充上章的知识点
1：椭圆曲线的阶 一个群中的元素数量称为这个群的阶（order）
当 p 小时 ，0到p-1的所有整数x代入方程，然后对于每个x都找到所有满足方程的解，这样我们就找到了曲线上所有的点。 当p大时，
Hasses 定理：令 E 是Fp上的椭圆曲线，E 上的点的数量 |E| 满足如下条件
y² = x³ - 7x +10 mod 19 G(1,2) p=19 n=24
p+1- p^1/2 <= |E| <= p+1+ p^1/2 //p^1/2为 p开平方根
Schoof算法运用了 Hasses 定理。Hasses定理给出了椭圆曲线在 Fp 的阶的范围，可以看出，当 p 很大时，阶跟 p 的值是比较接近的。
循环 子群的阶 （Subgroup order）
跟实数域一样，在素数域里面也是选取一个点 P，然后计算倍乘 nP 作为公钥。还是以 y² = x³ - 7x +10 mod 19为例，G(1，2)，我们采用素数域下新的计算公式计算
0G = O 1G(1，2) 2G(18,15) …
8G= O 9G(1,2) 10G(18,15) …
可以发现kG = (k mod 8)G ，即 G 的标量乘法得到的点集是原椭圆曲线群的一个子集，则它是原椭圆曲线群的一个子群，而且是循环子群。子群中元素个数称为子群的阶(示例子群的阶为8)，点 G 称为该子群的基点或者生成元。循环子群是椭圆曲线密码体系的基础，期望子群中元素越多越好，如何找到一个合适的子群尤为重要

根据拉格朗日的群论定理，子群的阶是父群的阶的约数

曲线上点G生成的子群的阶可以用下面方法：
1、使用Schoof算法计算椭圆曲线群的阶数N；
2、找到N的所有除数 （约数）
3、对每个N 的除数n ，计算nG ；
4、使 nG=0 成立的最小n就是子群G的阶
此时我们考虑一种特殊情况：假设一个椭圆曲线群的阶数N是质数，那么这个椭圆曲线的子群的阶就只有两种情况：
子群的阶是1，此时的子群只包含一个点O；
子群的阶是N，此时的子群包含椭圆曲线上的所有
EG: y² = x³ - 7x +10 mod 19 G(1,2) p=19 n=24
曲线为例，父群的阶是 24，则以曲线上的点生成的子群的阶只能是
1,2,3,4,6,8,12,24
G=（1,2）， G ≠ O， 2G≠ O， 。。。 8G = O, 生成的子群的阶就是 8
G =(3,4) 生成的子群的阶则正好等于父群的阶24

寻找基点G
在加密算法中，我们期望找到一个阶高的子群。不过，通常不是先去找个基点，然后计算子群的阶，因为这样过于不确定，算法上不好实现。相反地，先选择一个大的子群阶，然后再找生成该子群的一个基点就容易多了
子群的阶 n 是父群的阶 N 的约数，即有
N =nh -> h = N/n // ℎ 就是余因子(cofactor)
对椭圆曲线上任意一点 G有 NG=O 。原因很简单，因为N是所有子群的阶的倍数，我们用余因子的定义，可以把这个结论写作：n(hG)=0
现在假设n是一个质数，那么上面这个等式实际上就告诉我们点 P=ℎG 可以生成一个 n 阶子群（除非点 P=ℎG=O ，这种情况下生成的子群的阶是1）

算法概述如下：
1>计算椭圆曲线的阶数 N
2>选择子群的阶数 n。为了使算法有效，数字n必须是质数，并且必须是 N 的除数(约数)
3>计算余因子ℎ=N/n
4>选择椭圆曲线上的一个随机点 G
5>计算 P=ℎG
6>若 P=0 , 就回到步骤4， 否则，我们就找到了一个子群的基点，阶数为 n 和余因子为 ℎ

计算小素数p 椭圆曲线方程的阶n 穷举法

#include<stdlib.h>
#include<math.h>

const int add_O_point = 1;

int main() {
    int a, b, mod;
    
    //1 1 23   n= 28   //还有O点需要增加
    //-7 10 19  n=24   /还有O点需要增加
    for (;;) {

        printf("please input  a,b,mod:");
        if (3 != scanf_s("%d %d %d", &a, &b, &mod)) {
            break;
        }
        int n = 0;
        //y^2^ = x^3^+ax+b mod p
        for (int i = 0; i < mod; i++) {
            //
            int right = i * i * i + a * i + b;
            for (int j = 0; j < mod; j++) {
                if ((j * j) % mod == (right % mod)) {
                    printf("%d(%d,%d)\n", ++n, i, j);
                }
            }
        }
    }
    return 0;

}

package main

import "fmt"

func main()  {

	a,b,mod := 0,0,0
	//1 1 23   n= 28   //还有O点需要增加
	//-7 10 19  n=24   /还有O点需要增加
	for ;; {

		fmt.Printf("please input a,b mod：")
		if _, err := fmt.Scan(&a, &b, &mod); err != nil {
			fmt.Printf("input error")
			break
		}
		n := 0
		for i:=0;i<mod;i++ {
			right := i*i*i +a*i+b
			right %= mod
			for j:=0;j<mod;j++{
				if j*j %mod  == right {
					n++
					fmt.Printf("%v (%v,%v)\n",n,i,j)
				}
			}
		}
	}
	fmt.Printf("end \n")
}

域参数
如前所述，椭圆曲线加密算法工作在素数域下的椭圆曲线循环子群中，需要的域参数(Domain Parameter)包括 ：
p: 素数域的大小。
a, b: 椭圆曲线 的系数。 y² = x³ +ax+b mod p
G：生成子群的基点。
n：子群的阶。
h：子群的余因子。
如比特币用来做数字签名中采用的椭圆曲线 [secp256k1] 的域参数如下：

p = 0xFFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFE FFFFFC2F = 2²⁵⁶ - 2³² -2⁹-2⁸-2⁷-2⁶-2⁴-1 = 2²⁵⁶ - 2³² - 977
a = 0, b = 7，即曲线方程是 。 y² = x³ +7
G = (0x79BE667E F9DCBBAC 55A06295 CE870B07 029BFCDB 2DCE28D9 59F2815B 16F81798,
0x483ADA77 26A3C465 5DA4FBFC 0E1108A8 FD17B448 A6855419 9C47D08F FB10D4B8)
n = 0xFFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFE BAAEDCE6 AF48A03B BFD25E8C D0364141
h = 1

明文嵌入
一般采用Kobits方法，X=mK+j,其中k是一个从1增大的值，根据二次剩余定理，我们可以大概判断出有1/2的概率x是可以被编码的。因此我们只需要尝试一定次数，在概率上我们可以认为一定可以找到。
也可以采用其他的方法，eg:我们将最后8位设为填充区，通过不断改变它的值，我们也可以找到合法的点
在kobits方法里面，其实没有解决这个问题，当然我们可以采用一些自己的默认规则来帮助识别,eg:y 值小/大的点

参考 https://crypto.stackexchange.com/questions/76340/how-to-create-an-ec-point-from-a-plaintext-message-for-encryption/76343#76343

如果觉得有用，麻烦点个赞，加个收藏