椭圆曲线群几个基本概念

于 2023-10-02 15:37:22 发布
阅读量529 收藏 4
点赞数 1
文章标签: 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zfgzeng/article/details/133487565
版权

一、椭圆曲线群的阶

       在有限域上定义的椭圆曲线包含的点的数量是有限的。给出一个定义:一个群中的元素数量称为这个群的阶(order)

      一个简单的想法就是,我们尝试把0到p-1的所有整数x代入方程,然后对于每个x都找到所有满足方程的解,这样我们就找到了曲线上所有的点。当我们的p数值很大时,算法的性能通常是不能接受的。幸运的是,有一个更快的计算阶的算法:Schoof's algorithm。它能在多项式时间内运行完毕。[如下链接是Python实现Schoof算法]

GitHub - pdinges/python-schoof: Python implementation of Schoof's algorithm for counting the points on elliptic curves over finite fields

二、标量乘法和循环子群

与实数一样,乘法可以定义为:

nP = P+P+...+P+P 

我们称nP这样的结果为P的倍数

 Fp中椭圆曲线的点乘法有一个有趣的性质。取 曲线上的点 ,P=(3,6) 。现在我们计算出所有P的点乘倍数:

在这里,我们可以立即发现:P的倍数只有5个点,椭圆曲线的其他点从未出现过。其次,它们是循环重复的。我们可以写作:

 这五个方程可以被“压缩”成一个方程 kP = (k mod 5)P

不仅如此,我们还可以立即验证这五个点是否在加法下闭合。这意味着:无论对这五个点进行多少次相加,结果总是这五点之一。同样,椭圆曲线的其他点永远不会出现在结果中。

上式描述了一个简单的事实:如果我们把两个P的倍数相加,结果将是另一个P的倍数。换句话说,P的倍数在点加法下是封闭的。这就可以推导出一个重要的结论:

取椭圆曲线上任意一点P,所有P的倍数构成的集合是”定义在Fp上的椭圆曲线群“的一个循环子群。(这里有两个数学概念,子群循环群

“子群”首先是一个群,并且它的所有元素是另一个群的非空子集。“循环子群”是元素循环重复的子群,循环群中的每个元素都可以写成是一个基本元素的倍数,就像我们在前面的例子中展示的那样。我们把点P这样的基本元素称为循环子组的生成器或基点。

三、子群的阶(Subgroup order)

点 P为基点所产生的子群(下文用子群P代称)的阶是多少?我们不能使用上文提到的Schoof算法来计算,因为该算法只适用于整个椭圆曲线,而不适用于子群。为了解决这个问题,我们还需要更多的信息:

  • 我们已经将阶定义为一个群的元素数量。这个定义仍然有效,但是在循环子组中,我们可以给出一个新的等价定义: 子群P的阶是使得 nP=0 的最小的正整数 n。
  • 子群P的阶可以通过拉格朗日定理与椭圆曲线群的阶相联系,拉格朗日定理指出子群的阶是父群阶的除数。换句话说,如果椭圆曲线包含 N个点,并且它的一个子群包含 n点,那么 n是的 N 的除数。
  • 这两个信息组合在一起就给我们提供了一种找出一个基点为P的子群的阶的思路:

1、使用Schoof算法计算椭圆曲线群的阶数N;

2、找到N的所有除数;

3、对每个N 的除数n ,计算nP ;

4、使 nP=0 成立的最小n就是子群P的阶

此时我们考虑一种特殊情况:假设一个椭圆曲线群的阶数N是质数,那么这个椭圆曲线的子群的阶就只有两种情况:

  1. 子群的阶是1,此时的子群只包含一个点0;
  2. 子群的阶是N,此时的子群包含椭圆曲线上的所有

四、找到基点(Finding a base point)

 对于我们的ECC算法,我们需要的是高阶的子群。所以一般来说,我们会选择一条椭圆曲线,计算它的阶数N,选择一个较大的除数作为子群阶数n,最终找到一个合适的基点。也就是说:我们不会选择一个基点然后计算它的阶,相反,我们会首先选择一个看起来足够好的阶(也就是足够大),然后我们会寻找一个合适的基点。下面详细讨论这一过程:

首先,我们要再引入一个术语:余因子(cofactor)。通过前文提到的拉格朗日定理推导出群与子群的阶的关系 ℎ=N/n 一定是一个整数,这里的 ℎ 就是余因子。

我们还有一个结论:对椭圆曲线上任意一点 P有 NP=0 。原因很简单,因为N是所有子群的阶的倍数,我们用余因子的定义,可以把这个结论写作:n(hP)=0

现在假设n是一个质数,那么上面这个等式实际上就告诉我们点 G=ℎP 可以生成一个 n 阶子群(除非点 G=ℎP=0 ,这种情况下生成的子群的阶是1)

有鉴于此,我们的算法概述如下:

  1. 计算椭圆曲线的阶数 N
  2. 选择子群的阶数 n。为了使算法有效,这个数字必须是质数,并且必须是 N 的除数。
  3. 计算余因子ℎ=N/n
  4. 选择椭圆曲线上的一个随机点 P
  5. 计算 G=ℎP
  6. 若 G=0 , 就回到步骤4, 否则,我们就找到了一个子群的基点,阶数为 n 和余因子为 ℎ

 请注意,此算法仅在n是质数时有效。如果 n不是质数,那么 G的阶数可能是 n 的除数之一。

zfgzeng
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
椭圆曲线(Elliptic Curve)及群(Group)
10-16
关于区块链中椭圆曲线(Elliptic Curve)及群(Group)的全中文翻译
椭圆曲线-公钥密码学数学基础
FansMing的博客
05-17 492
连接P和Q的直线,该直线与椭圆曲线相交于第三点,这个交点关于x轴的对称点R=P+Q。如下图所示。
论文研究-对椭圆曲线上ElGamal密码体制的攻击 .pdf
08-19
椭圆曲线上ElGamal密码体制的攻击,冯晓博,王明强,本文提出了一种攻击椭圆曲线上ElGamal加密体制的算法。如果密码体制所在的群的阶满足一些条件,该攻击方法可以通过使用一次解密喻示�
椭圆曲线数字签名算法(ECDSA)
01-07
算法步骤 1.确定椭圆曲线 具体包括确定模数P;系数a和b;生成器点A,构造素数阶循环群q. 2.随机选取KPR值 随机选取整数d,且有0<d<q KPR=d 3.计算公钥 B=dA KPB=(P,A,B,q,A,B) 4.生成签名 1.选择临时密钥Ke,其中0<Ke<q 确保Ke的随机性。 2.R=Ke*A 3.利用点R的x坐标初始化变量r,即r=xR 4.签名formula: S=(h(m)+dr)Ke^-1 mod q 其中m表示为消息或传输数据,h(m)为其的hash值 5.验证 1.w=s^-1 mod q 2.u1=w.h(m) mod q 3.u2=w.r mod q
基于椭圆曲线群上的零知识证明 (2010年)
05-27
通过研究椭圆曲线群,给出基于其上的2个零知识证明方案,这2个方案均使得甲方向乙方宣称自己拥有某种信息,并通过互动证明使其确信具有该信息,但同时还未泄漏该信息。
基于实数的椭圆曲线群介绍
幸福诗歌的博客
05-18 1684
群的定义 基于实数的椭圆曲线的群定义 在椭圆曲线的基础上,可以定义一个加法群: *所有椭圆曲线上的点,就是这个群里的元素 *单位元就是 0 *点 P 的逆元是点 P 相对 x 坐标的对称点 *加法定义如下:在椭圆曲线上,和一条直线相交的 3 个点 P,Q 以及 R,三点相加满足零知识证明 - 椭圆曲线基础。也就说,椭圆曲线上的两点相加的结果,还在椭圆曲线上。 结合群的定义,可以证明定义的这个加法群,就是阿贝尔群。 具体来看就是: a.封闭性:因为椭圆曲线上的点相加,还是椭圆曲线上的点。 b.结合律:
椭圆曲线介绍(一):实数上面的椭圆曲线
AdijeShen的博客
12-24 2526
简单介绍了密码学上ECC,椭圆曲线基本性质,以及使用python绘制椭圆曲线和进行椭圆曲线上计算的方法。
椭圆曲线上的群和构造方法
qq_33182722的博客
09-13 2161
椭圆曲线 什么是椭圆曲线椭圆曲线是点的集合。一般由方程y2=x3+ax+b,4a3+27b2!=0y^2 = x^3+ax+b,4a^3+27b^2!=0y2=x3+ax+b,4a3+27b2!=0定义。
椭圆曲线标量乘法快速算法(附源码实现)
听雨草堂
02-07 1257
对于标量乘法的快速算法,最重要的是标量k的分解表示。由于点算法求逆几乎是一个零计算量问题,因此在二进制基础上变化得到 NAF 表示,可以减轻该表示的汉明总量,达到加速计算的目的。如果k是奇数,那么余数r被设计成取+1或-1,保证了(k-r)/2一定是偶数,下一位NAF二进制表示值为0。这样保证了NAF(k)符号二进制表示的非零数密度为1/3,减少了点加法运算量。,(k-r)/2作为下一次迭代的输入,保证了接下来的w-1个表示值为0。基于此,wNAF算法被提出来,用宽度为w的窗口预存多倍点结果2P 至。
椭圆曲线密码算法
m0_61506558的博客
06-20 1659
1.引言 之前在《全国高校密码数学挑战赛》中接触到关于椭圆曲线密码的题目,通过复习大一下学期的《离散数学》和相关文献,将其进行如下总结。 如下4篇文章讲解的很清楚。 Elliptic Curve Cryptography: a gentle introduction - Andrea Corbellini Elliptic Curve Cryptography: finite fields and discrete logarithms - Andrea Corbellini Elliptic C
基于椭圆曲线的Schnorr型高效多重群签名方案
10-17
多重群签名是既具有群签名的性质,又具有多重数字签名性质的特殊的群签名。在基于中国剩余定理的群签名的基础上进行改进,引入椭圆曲线的Schnorr型广播多重数字签名,将动态群签名方案与多重数字签名理论巧妙地结合起来,提出了一个基于椭圆曲线的Schnorr型高效的广播多重群签名方案。方案中群成员可以高效动态增删,签名时加入时间戳,防止消息重放,并且综合椭圆曲线和Schnorr数字签名的密钥短、速度快的优势,实现了方案的安全高效,适用于智能终端系统中,实用性更强。
ECC椭圆曲线加密算法 + 学习文档 + 源码
04-22
1985 年,Miller 和 Koblitz 各自独立的提出了椭圆曲线公钥密码[3],它是基于有限域上椭圆曲线构成加密体制,其安全性基于有限域上椭圆曲线离散对数问题(Elliptic Curve Discrete Logarithm Problem, ECDLP)的难解性。椭圆曲线作为公钥密码算法的基础,它利用有限域上椭圆曲线的有限点群代替基 于离散对数问题密码算法中的有限循环群所得到的一类密码算法。与RSA密码系统相比,椭圆曲线密码算法有着巨大的安全性和技术优势。利用椭圆曲线建立密码算法具有两大潜在的优点:一是有取之不尽的椭圆曲线可用于构造椭圆 曲线有限点群;二是不存在计算椭圆曲线有限点群
几个无证书签名方案的伪造攻击
01-20
自2003年Al-Riyami和Paterson首次提出无证书公钥密码体制的概念和第一个无证书签名方案以来,许多无证书签名方案相继被提出。汤永利等提出了9个无双线性对运算的无证书签名方案,并声称这些无证书签名方案在椭圆曲线离散对数困难性假设下可证明是安全的。通过对这些无证书签名方案进行安全性分析后,发现其中的5个可证明安全的无证书签名方案不能抵抗替换公钥攻击,并且这5个无证书签名方案中的3 个签名方案即使在不替换用户公钥的情况下,攻击者也可以利用用户的原始公钥对任意消息伪造出有效的签名。给出了具体的伪造攻击方法,证明了这5个无证书签名方案是不安全的。
计算机图形学pdf(可copy内容版)
04-12
6.1.4 曲线曲面设计中的几个概念 6.2 常用参数曲线 6.2.1 一般规则空间曲线 6.2.2 Bezier 曲线 6.2.3 B 样条曲线 6.3 参数曲面 6.3.1 函数式曲面 6.3.2 旋转曲面 6.4 常用曲面 6.4.1 双曲线曲面 6.4.2 Bezier 曲面 ...
计算机图形学原理及算法教程(cd).rar
12-05
6.1.4 曲线曲面设计中的几个概念 151 6.2 常用参数曲线 151 6.2.1 一般规则空间曲线 151 6.2.2 Bezier曲线 152 6.2.3 B样条曲线 158 6.3 参数曲面 164 6.3.1 函数式曲面 164 6.3.2 旋转曲面 165 6.4 常用曲面 166 ...
Android 3D游戏开发技术宝典-OpenGL ES 2.0 (吴亚峰) 源代码
12-25
12.2.2 一个椭圆窗口的案例 335 12.3 模板测试 337 12.3.1 基本原理 337 12.3.2 一个简单的案例 340 12.4 任意剪裁平面 341 12.4.1 基本原理 341 12.4.2 茶壶被任意平面剪裁的案例 342 12.5 ...
计算机网络安全培训课程.pptx
05-25
90年代逐步出现椭圆曲线等其他公钥算法 主要特点:公钥密码使得发送端和接收端无密钥传输的保密通信成为可能。 计算机网络安全培训课程全文共43页,当前为第8页。 密码学与信息安全 信息的私密性(Privacy) 对称加密 ...
OpenSSL密码库算法笔记——第5.1.1章 椭圆曲线点群的定义
热门推荐
云与山的彼端
03-04 6万+
下面定义的椭圆曲线点群不仅包含了域的信息和曲线的信息,甚至还包括了很多别的有利于实现的信息。 椭圆曲线点群的定义如下。 typedef struct ec_group_st EC_GROUP; struct ec_group_st { const EC_METHOD *meth; EC_POINT *generator; BIGNUM...
数论基础——群环域
qq_44925830的博客
03-06 9833
文章目录一、群环域基本概念1.群2.环常见环3.域与椭圆曲线椭圆FpF_pFp​Point additionAlgebraic sum椭圆曲线群的阶数Scalar multiplication and cyclic subgroupsSubgroup order子群的阶Finding a base pointDomain parametersECC(Elliptic Curve Cryptography)Encryption with ECDHSigning with ECDSA 一、群环域基本概念 1.群
基于有限域椭圆曲线群上的离散对数问题设计出ECC公钥密钥协商协议。
最新发布
06-02
好的,基于有限域椭圆曲线群上的离散对数问题,可以设计出椭圆曲线密码体制(ECC)公钥密钥协商协议。该协议的流程如下: 假设Alice和Bob想要协商一个加密通信的密钥。 1. Alice选择一个椭圆曲线E和一个生成元G,作为她的私钥,并将公钥点P = dG发送给Bob。 2. Bob也选择一个椭圆曲线E和一个生成元G,作为他的私钥,并将公钥点Q = eG发送给Alice。 3. Alice计算K = dQ,并将K发送给Bob。 4. Bob也计算K = eP,并将K发送给Alice。 5. 现在Alice和Bob都拥有相同的会话密钥K,可以用该密钥进行加密通信。 该协议的安全性同样是基于椭圆曲线上离散对数问题的难度。相比于传统的RSA或DH密钥协商算法,ECC算法在密钥长度相同的情况下,提供了更高的安全性和更小的密钥尺寸。 需要注意的是,ECC公钥密钥协商协议只提供密钥协商的功能,而不涉及身份验证和消息完整性的问题。因此,在实际应用中,通常需要结合数字签名和消息认证码等技术来确保通信的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值