零知识证明基础：对称加密与非对称加密

1、绪论

在密码学体系中，对称加密、非对称加密、单向散列函数、消息认证码、数字签名和伪随机数生成器被统称为密码学家的工具箱。其中，对称加密和非对称加密主要是用来保证机密性；单向散列函数用来保证消息的完整性；消息认证码的功能主要是认证；数字签名保证消息的不可抵赖性。

在零知识证明中，涉及较多的加密方案是非对称密码体制( 又称为公钥密码体制) 。非对称密码体制使用公钥加密消息，使用私钥来解密。使用非对称密码体制可增强系统的安全性。

2、发展史

密码学的发展大致可以分为 3 个阶段: 1949 年之前的古典密码学阶段; 1949 年至 1975 年密码学成为科学的分支; 1976 年以后对称密钥密码算法得到进一步发展，产生了密码学的新方向—公钥密码学。1976 年，W.Diffie 和 M.Hellman 在发表的文章“密码学的新方向”中首次公开提出了公钥密码( Public-key Cryptography) 的概念。公钥密码的提出实现了加密密钥和解密密钥之间的独立，解决了对称密码体制中通信双方必须共享密钥的问题，在密码学界具有划时代的意义。

3、对称加密

对称加密整个加密过程中只使用一个密钥。所谓对称其实就是使用一把密钥加密，使用同一把密钥解密。

对称加密的主要有优点就是算法公开、计算量小、加密速度快、加密效率高；但是它也存在强大的缺点，一旦密钥泄露，别人可以获取到密钥，这样也能对密文进行解密。下面是对称加密的操作过程：

设用户$A$把信息$M$发送给用户$B$，$A$和$B$不希望$M$传递的过程中被第三方看到，可以采取的方法是，$A$先对$M$进行处理。然后发送处理后的结果。对$M$处理实际上是进行某种数学运算，运算结果我们用$E(M)$表示，$B$收到$E(M)$后，会按事前与$A$约定好的方法从$E(M)$中把M还原出来，结果我们用$D(E(M))=M$表示。第三方即使截获到$E(M)$，因为不知道还原方法，从而无法看到$M$，$A$与$B$也就达到了秘密通信的目的。

前面过程中的$E$我们称之为加密算法，$D$称之为解密算法，二元组$(E,D)$表示一个特定的加/解密算法，这个二元组是$A$与$B$提前约定好的，当然二元组$(E,D)$只有$A$和$B$知道，其他第三方是不知道的。

当$A$与另一个网络用户$C$安全通信时，就不能再用二元组$(E,D)$了，需要改换成另一个加/解密二元组$(E^{\prime },D^{\prime })$。由此看来，$A$与多个用户安全通信，就需要有多个加解密二元组。

开发多个加解密二元组不是一件容易的事，可以在加/解密二元组$(E,D)$基础上增加一个参数，$A$与$B$之外的其他用户通信只要选择不同的参数值就可以了。具体来说，$A$和$B$之间的通信选择参数$s_1$，$A$与$C$之间的通信选择$s_2$
，即使大家都采用二元组(E,D)，也能做到安全通信，这就避免了为不同用户对开发不同的二元组了，这里的参数$s_1$和$s_2$就是所谓的密码或者秘钥，$s_1$
由$A$和$B$秘密保管，$s_2$由$A$和$C$秘密保管。

所有用户采用同一个加解密二元组$(E,D)$，只是不同用户对采用不同密钥的加解密体制，因此被称为对称加密体制。下面是对称密码体制的典型流程：

---

已知二元组$(E,D)$，用户$A$与$B$之间的共享密钥是$p$，$A$把信息$M$安全发送给$B$

• $A$利用$p$和加密算法$E$对信息$M$处理，结果记作$E_p(M)$
• $A$把$E_p(M)$发送给$B$；
• B收到$E_p(M)$,并对$E_p(M)$用秘钥$p$和解密算法$D$处理，结果记作$D_p(E_p(M))=M$。

---

常用的对称加密算法有 DES、3DES、AES、TDEA、Blowfish、RC2、RC4 和 RC5 等。

4、AES加密算法

AES 加密算法是一种分组密码体制，将明文按照固定大小进行分组，然后对每一分组进行加密。在加密过程中，AES 算法采用了多轮加密的方式，算法主要可以分为秘钥扩展、字节替换、行移位、列混合和轮秘钥加这5个步骤。

• 秘钥扩展（KeyExpansions：在 AES 加密算法中，明文被分成若干个固定长度的块。常见的分组长度为 128 比特，即每个明文块包含 16 个字节。如果明文长度不是 16 的整数倍，则需要对原始秘钥进行填充。实际上密钥长度可以是 128 比特、192 比特或 256 比特。对于不同长度的密钥，需要经过不同的轮数来扩展密钥。具体而言，128 比特密钥需要经过 10 轮扩展，192 比特密钥需要经过 12 轮扩展，256 比特密钥需要经过14轮扩展。

• 字节替换（SubBytes）：字节替换是通 过 S-BOX对字节元素进行变换，S-BOX由有限域 $G{F}_{2^8}$上的乘法求逆运算和仿射变换运算而来，通过查表的方式即可直接得到变换前后的字节元素，替换后字节元素至少有两位发生变换，能充分打乱原来的字节元素。也可以认为S-BOX是一张固定大小的表格，由 256 个字节组成。通过输入表格中的某一字节，就可以得到表格中对应的输出字节。

• 行移位（ShiftRows）：将数据矩阵的每一行循环移位一定长度。

• 列混合（MixColumns）：将数据矩阵乘以一个固定的矩阵，增加混淆程度。

• 轮秘钥加（AddRoundKey）:将数据矩阵与秘钥矩阵进行异或操作。

下图为AES加密算法流程。

AES是用来替代DES的新一代加密标准，具有128bit的分组长度，支持128、192和256比特的密钥长度，它是目前最流行的对称加密算法之一。

5、非对称加密

非对称加密又称为公钥密码，该技术是针对私钥密码体制（对称加密算法）的缺陷被提出来的，非对称加密会产生两把密钥，分别为公钥（Public Key）和私钥（Private Key），其中一把密钥用于加密，另一把密钥用于解密。非对称加密的特征是算法复杂、安全性依赖于算法与密钥。但是由于其算法复杂，而使得加密解密速度没有对称加密解密的速度快。

在使用非对称加密时，任何人都可以使用预期接收者的公钥对消息进行加密，但该加密消息只能使用接收者的私钥解密。

已知公钥密码算法二元组$(E,D)$，用户$A$把信息$M$安全发给用户$B$，下面是非对称密码体制的典型流程：

---

• 利用$(E,D)$为用户$A$产生公钥$p_a$，私钥$s_a$，为用户$B$产生公钥$p_b$

，私钥$s_b$;

• $A$用$B$的公钥$p_b$和加密算法$E$对消息$M$进行处理，处理结果记为$E_{p_b}(M)$

• $A$把$E_{p_b}(M)$发送给用户$B$；

• $B$使用解密算法$D$对收到的$E_{p_b}(M)$进行处理，结果为$D{s}_b(E_{p_b}(M))=M$

---

非对称加密中对任何用户，不能从公钥导出其私钥；用谁的公钥加密，只能用谁的私钥解密。

常用的非对称加密算发有 RSA、Elgamal、背包算法、Rabin、D-H、ECC（椭圆曲线加密算法）等。

5、基于大整数素因子分解困难的RSA加密算法

RSA 算法是一种迄今为止理论上比较成熟和完善的公钥密码体制，是非对称密码体制的典型代表。在网络、信息安全等许多方面都使用 RSA 算法，特别是 RSA 算法典型应用在通信中的数字签名，可实现对手的身份、不可抵赖性验证。在身份认证、信息安全、电子商务中有着广泛的应用前景。

RSA加密算法相关的数学知识包括：

---

• 欧几里得算法：即$\gcd (a,b)$，值为$a$和$b$的最大公约数;
• 互质：即$\gcd (a,b)=1$ <=> $a$和$b$互质($a$和$b$没有1以外的公因子);
• 欧拉函数：即$\phi (n)$，值为所有不大于$n$且和$n$互质的自然数的个数
• $a\equiv b\mathrm{mod}P$ 表示$a$和$b$在模$P$下同余，即$a$除以$P$得到的余数和$b$除以$P$得到的余数相同;
• 欧拉费马定理：如果$\gcd (a,n)=1$，则$a^{\phi (n)}\equiv 1\mathrm{mod}n$.

---

RSA 算法由密钥生成、加密和解密 3个部分组成，具体如下。
密钥生成：

• 产生两个大素数 $p$ 和 $q$ ；
• 计算 $n=p\times q$，计算欧拉函数 $\phi (n)=(p-1)(q-1)$；
• 选择整数 $e$，使其满足条件：$1<e<\phi (n)$，且$\gcd (e,\phi (n))=1$；
• 计算 $e$ 的逆元 $d$：$d\cdot e\equiv 1\mathrm{mod}\phi (n)$（注：由于$\gcd (e,\phi (n))=1$，则 $d$一定存在）；
• 取序对$(e,n)$ 为公钥，可公开；$(d,n)$为私钥，对外保密。

加密：

• 将要发送的字符串分割为长度为 $m<n$ 的分组，然后对分组$m_i$执行加密运算，得到密文 $c_i：c_i\equiv (m_i{)}^e\mathrm{mod}n$

解密：

• 收到密文$c_i$后，接收者使用自己的私钥执行解密运算，得到明文 $m_i：m_i\equiv (c_i{)}^d\mathrm{mod}n$

如果有任何人想要破解私钥$d$，那就必须算出$\phi (n)$（因为$d$满足$d\cdot e\mathrm{mod}\phi (n)\equiv 1$，且$e$和$n$是公开的），根据欧拉公式，$\phi (n)=(p-1)x(q-1)$，而通过一个大整数$n$分解得到它的两素因子$p$和$q$是极端困难的，所以RSA的安全性也取决于这个大整数$n$的位数.

6、基于离散对数难解性的ECC加密算法

椭圆曲线加密算法（ECC）是基于椭圆曲线数学的一种非对称密码算法，是建立在基于离散对数问题上的密码体制。随着分解大整数方法的进步以及各方面的完善，RSA 算法渐渐不能满足现状，ECC算法的需求性逐渐增大。ECC 以其明显的“短密钥”优势得到了广泛应用，并逐渐被确定为许多编码方式的数字签名标准。然而，ECC算法复杂度高，实现相对复杂，需要复杂的椭圆曲线运算。

ECC加密算法相关的椭圆曲线知识：

---

• 韦尔斯特拉方程 ：$E:y^2+axy+by=x^3+c{x}^2+dx+e$。密码学中，常采用的椭圆曲线为： $E:y^2=x^3+ax+b$，并要求$4a^3+27b^2\ne 0$，且椭圆曲线有且只有一个无穷远点 $O$ ;
• Hasse定理：如果$E$是有限域$G{F}_p$上的椭圆曲线，$(x,y)$是$E$上的点,其中$x,y\in G{F}_p$,曲线上的每个点都是非奇异的;
• 椭圆曲线上的点集合对于加法规则构成一个Abel群：$O+O=O$;
  椭圆上的点$P$，$P+O=P$；$P$的逆元是$-P$，且$P+(-P)=O$；加法满足交换律和结合律；
• 椭圆曲线加法;椭圆曲线上的点$P(x_1,y_1)$,$Q(x_2,y_2)$的和$R(x_3,y_3)$有如下关系：
  
• 如果椭圆曲线上一点$P$，存在最小的正整数$n$使得数乘$nP=O$
  ,则将$n$称为$P$的阶,若$n$不存在，则$P$是无限阶的.

---

ECC算法也是由密钥生成、加密和解密 3个部分组成，具体如下。
密钥生成：

• 选择一个椭圆曲线$E$，构造一个椭圆群$E_p(a,b)$。。
• 在椭圆群中挑选生成元点$G=(x_0,y_0)$,需满足$nG=O$的最小的$n$是一个非常大的素数。
• 选择一个小于$n$的整数$n_B$作为私钥，然后利用$P_B=n_{B}G$算出$P_B$。
• 公钥为$(E,n,G,P_B)$，私钥为$n_B$。

加密：

• 用户A将明文消息编码成一个数$m<p$,并在椭圆群$E_p(a,b)$中任选一点$P_t=(x_t,y_t)$;
• 在区间$[1,n-1]$内，用户A选取一个随机数$k$，计算$P_1：P_1=(x_1,y_1)=kG$;
• 依据接收方$B$的公钥$P_B$，用户$A$计算点$P_2：P_2=(x_2,y_2)=k{P}_B$；
• 用户$A$计算密文$C=m{x}_t+y_t$;
• $A$传送加密数据 C m = { k G , P t + k P B , C } C_m=\{kG,P_t+kP_B,C\} Cm​={kG,Pt​+kPB​,C}给接收方$B$.

解密：

• 接收方$B$收到$C_m$;
• 接收方$B$使用私钥$n_B$做运算：$P_t+k{P}_B-n_B(kG)=P_t+k(n_{B}G)-n_B(kG)=P_t$;
  *接收方$B$计算$m=(C-y_t)/x_t$,得明文$m$。

密码学中，描述一条$F_p$上的椭圆曲线，常用到六个参量：$T=(p,a,b,G,n,h)$。$(p,a,b)$用来确定一条椭圆曲线，$G$为基点，$n$为点$G$的阶，$h$ 是椭圆曲线上所有点的个数$m$与$n$相除的整数部分.

这几个参量取值的选择，直接影响了加密的安全性。参量值一般要求满足以下几个条件：

---

• 1、$p$当然越大越安全，但越大，计算速度会变慢，200位左右可以满足一般安全要求；
• 2、$p\ne n\times h$；
• 3、$pt\ne 1\mathrm{mod}n，1\le t<20$；
• 4、$n$为素数；
• 5、$h\le 4$。

---

7、比特币中的非对称加密ECC

比特币系统选用的secp256k1中，ECC参数为:
$p=0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEFFFFFC2F$
$=2^{256}-2^{32}-2^9-2^8-2^7-2^6-2^4-1$,

$a=0$，

$b=7$,

$G=(0x79BE667EF9DCBBAC55A06295CE870B07029BFCDB2DCE28D959F2815B16F81798,0x483ada7726a3c4655da4fbfc0e1108a8fd17b448a68554199c47d08ffb10d4b8)$,

$n=0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEBAAEDCE6AF48A03BBFD25E8CD0364141$,

$h=01$.