密码学第五章 公钥密码 5.4 椭圆曲线公钥密码体制
合集下载
公钥密码体制公钥密码体制
首次公开提出了“公开密钥密码编码学”的概念。
这是一个与对称密码编码截然不同的方案。
提出公开密钥的理论时,其实用性并没有又得到证明:
❖ 当时还未发现满足公开密钥编码理论的算法; ❖ 直到 1978 年,RSA 算法的提出。
2.基本特征
❖ 加密和解密使用两个不同的密钥 公钥PK:公开,用于加密,私钥SK:保密,用作解密 密钥
3.优点
❖ 密钥管理
加密密钥是公开的; 解密密钥需要妥善保存; 在当今具有用户量大、消息发送方与接收方具有明显的信息不对称
特点的应用环境中表现出了令人乐观的前景。 新用户的增加只需要产生一对公共/私有密钥。
❖ 数字签名和认证
只有解密密钥能解密,只有正确的接收者才拥有解密密钥。
缺点:公共密钥系统的主要弱点是加密和解密速度慢。
加密与解密由不同的密钥完成; 知道加密算法,从加密密钥得到解密密钥在计算上是不可行的; 两个密钥中任何一个都可以作为加密而另一个用作解密。
6.公钥密码算法
除RSA算法以外,建立在不同计算问题上的其他公钥密码算法 有:
基于因子分解问题的Rabin算法; 椭圆曲线公钥算法; 基于有限域中离散对数难题的ElGamal公钥密码算法 基于代数编码系统的McEliece公钥密码算法; 基于“子集和”难题的Merkle-Hellman Knapsack(背包)公钥密码算 法; 目前被认为安全的Knapsack型公钥密码算法Chor-Rivest。
实际应用中的加密方式
❖ 混合加密技术 对称密码体制:密钥分发困难 公钥体制:加解密效率低 将对称加密算法的数据处理速度和公钥算法对密钥的保 密功能相结合 利用对称加密算法加密传输数据 利用非对称加密算法交换会话密钥
实际应用中的加密方式
椭圆曲线公钥密码体制(ECC)
F2m上椭圆曲线的点的加法逆元
• P = (xP, yP)的加法逆元 -P = (xP, xP + yP) • P + (-P) = O • P+O=P
F2m上椭圆曲线不同的点的加法运算
P = (xP, yP) 。如果 P和 Q是不同的点并且P不等于 -Q, 则P + Q = R
s = (yP - yQ) / (xP + xQ) xR = s2 + s + xP + xQ + a yR = s(xP + xR) + xR + yP
F上的椭圆曲线 2m
定义: 对于曲线
y2 +xy= x3 + ax2 + b b不为0,a,b 属于 F2 m
的解的集合构成
F2m 上的椭圆曲线群。记为 E ( F m )
2
F2m上的椭圆曲线举例
• 作为一个简单的例子, 考略 F2 4 , 其上的不可约多项式为 f(x) = x4 + x + 1. • 元素g = (0010)是生成元. • g的幂为: g0 = (0001) g1 = (0010) g2 = (0100) g3 = (1000) g4 = (0011) g5 = (0110) g6 = (1100) g7 = (1011) g8 = (0101) g9 = (1010) g10 = (0111) g11 = (1110) g12 = (1111) g13 = (1101) g14 = (1001) g15 = (0001)
例题
椭圆曲线T=(m=4,f(x)=x4+x+1,g=0010,a=g4,b=g0) 点P=(g6,g8) 求点R=2P
ElGamal公钥密码体制及安全性
下面我们首先计算
γ
2,0
=α
0×(p-1)/2
mod 29
= 20 mod 29 = 1, γ
2,1
=α
1×(p-1)/2mod
29
= 228/2 mod 29
= 28. 因为 = 28 =γ
2,1 ,
0
ß mod 29 = 1828/2 mod 29
所以 a = 1.令
ß = ß α 1 因为
0, 1 e i 1
i
根据目前的计算能力,只有当p-1 的素因子是小素数时,才 能有效分解 p-1求得 。因此,Pohlig-Hellman 算法适用于p1 的素因子是小素数的情况。 例5.8 设p = 29, 则 p-1= 28 = 22×7.设α = 2, ß 18. = 求log 。令log a .
s ( p 1 ) qi
mod p
qi ,s
· ,k, · ·
s = 0, 1,2, ·· i -1. 将这些 q ·
ei i
排成一个
下面利用表L求 a mod q
a mod q
ei i
, i= 1,2,
1 i
· ,k. · ·
e i 1
设
q
ei 1 i
a a q a
0
ß=αd mod p,
所以
k c2(c1d)–1≡mß (α
dk
)
–1
(mod p)
–1(mod
≡mα
dk
(α
dk
)
p) α ∈zp*
≡m(mod p). 因此,解密变换能正确的从密文恢复相应的明文。
5.4.2. ElGamal公钥密码体制的安全性
《应用编码与计算机密码学》 第5章 公钥密码体制
5.3 基于离散对数的公钥密码体制
5.3.2 离散对数Diffie-Hellman算法 设p是一个满足要求的大素数,0 < α < p, α是循环群Z p的生成元,α和p公开,它 们也将在一组用户中共用。 在两个用户Alice与Bob要通信时,他们可 通过下面的步骤协商通信时所使用的密钥:
5.3 基于离散对数的公钥密码体制
while r > 0
5.2 RSA 公钥密码体制
if b0 ≠ 1 then b 没有模a的逆 else return(t)
5.2 RSA 公钥密码体制
中国剩余定理及欧拉定理 定理 5.2.2(中国剩余定理)假设m1 ,…, mr是 两两互素的正整数,a1 ,…, ar为整数。那么 同余方程组 x ≡ ai ( mod mi ) (1≤ i ≤ m) 有模M = m1 m2 … , m 的唯一解,具体解表 r r 达式为 x = ∑ a i M i y i mod M i =1 −1 M 其中 M i = ,且 yi = Mi modmi ,1 ≤ i ≤ r。 mi
5.2 RSA 公钥密码体制
算法5.2.3 Multiplication Inverse(a , b)
a0 ← a b0 ← b t0 ← 0
t←1
5.2 RSA 公钥密码体制
⎧ temp ← ( t 0 − qt ⎪ ← t t 0 ⎪ ⎪ t ← temp ⎪ ⎪ a 0 ← b0 do ⎨ b0 ← r ⎪ ⎪ ⎢ a0 ⎥ ⎪ q← ⎢ ⎥ ⎪ ⎣ b0 ⎦ ⎪ ⎩ r ← a 0 − qb 0
5.2 RSA 公钥密码体制
算法5.2.1 Euclidean Algorithm(a ,b) r0 ←a ⎧ ⎢ rm − 1 ⎥ qm ← ⎢ r1 ←b ⎪ ⎥ rm ⎦ ⎣ ⎪ m ←1 ⎪ while rm ≠ 0 do ⎨ rm + 1 ← rm −1 − q m rm m ←m - 1 ⎪ m ← m +1 ⎪ return ( q1,…, qm, rm ) ⎪(a,b) Comment : rm = gcd ⎩
公钥密码体制的介绍
2012,Hanaoka等人[44]在CT-RSA会议上给出了一个更强的代理重加密安全模型,并给出了一个通用方法用于构造CCA安全的单向代理重加密方案。Sun等人[45]提出了第一个CCA安全的单向广播代理重加密(Broadcast PRE,BPRE),该方案在标准模型下满足自适应选择密文安全。
在AsiaCCS 2009会议上,Weng等人[33]第一次介绍了条件代理重加密(C-PRE)的概念,当且仅当密文满足委托者设置的条件时。
相对于对称体制中的密钥必须保密,非对称密钥体制有一个可公开的公钥为其最大特征,因此也叫公钥密码体制。在非对称密码体制中,不再有加密密钥和解密密钥之分。可以使用公钥加密,而用私钥解密,这多用于保护数据的机密性;也可以用私钥加密而公钥解密,这多用于保护信息的完整性和不可否认性。1976年,公钥密码体制(Public Key Cryptography,PKC)的概念被Diffie和Hellman[2]首次提出。PKC在整个密码学发展历史中具有里程碑式的意义。随后出现了一些经典的公钥密码体制,比如RSA[3]Rabin算法[4]ElGamal[5]密码体制和椭圆曲线密码体制[6][7][8]等。公钥密码体制的安全性依赖于不同的计算问题,其中RSA密码体制基于大整数分解的困难性,而ElGamal密码体制则基于离散对数问题的困难性。
第三阶段:伴随着相关理论的完善,以及由集成电路和因特网推动的信息化工业浪潮,密码学进入了一个全新爆发的时代:研究文献和成果层出不穷,研究的方向也不断拓展,并成为了一个数学、计算机科学、通信工程学等各学科密切相关的交叉学科,同时各种密码产品也走进了寻常百姓家,从原来局限的特殊领域进入了人民群众的生产、生活之中。
数据接收者需要先利用其自身私钥解密出对称密钥,接着再使用得到的对称密钥解密出共享数据。
在AsiaCCS 2009会议上,Weng等人[33]第一次介绍了条件代理重加密(C-PRE)的概念,当且仅当密文满足委托者设置的条件时。
相对于对称体制中的密钥必须保密,非对称密钥体制有一个可公开的公钥为其最大特征,因此也叫公钥密码体制。在非对称密码体制中,不再有加密密钥和解密密钥之分。可以使用公钥加密,而用私钥解密,这多用于保护数据的机密性;也可以用私钥加密而公钥解密,这多用于保护信息的完整性和不可否认性。1976年,公钥密码体制(Public Key Cryptography,PKC)的概念被Diffie和Hellman[2]首次提出。PKC在整个密码学发展历史中具有里程碑式的意义。随后出现了一些经典的公钥密码体制,比如RSA[3]Rabin算法[4]ElGamal[5]密码体制和椭圆曲线密码体制[6][7][8]等。公钥密码体制的安全性依赖于不同的计算问题,其中RSA密码体制基于大整数分解的困难性,而ElGamal密码体制则基于离散对数问题的困难性。
第三阶段:伴随着相关理论的完善,以及由集成电路和因特网推动的信息化工业浪潮,密码学进入了一个全新爆发的时代:研究文献和成果层出不穷,研究的方向也不断拓展,并成为了一个数学、计算机科学、通信工程学等各学科密切相关的交叉学科,同时各种密码产品也走进了寻常百姓家,从原来局限的特殊领域进入了人民群众的生产、生活之中。
数据接收者需要先利用其自身私钥解密出对称密钥,接着再使用得到的对称密钥解密出共享数据。
大连理工大学网络安全与密码学 chap5-公钥密码
基于背包问题的公钥密码系统 ——MH公钥算法
• 加密 – 将明文分为长度为n的块X=(x1,…,xn) – 然后用公钥A ' = (a1 ', …, an '),将明文变为密文 S = E(X) = ∑ai ' xi
• 解密 – 先计算S ' = w-1S mod m – 再求解简单背包问题 S ' = ∑aixi
Eaxmple-从私钥计算公钥
• 私钥{2,3,6,13,27,52} • N=31, m=105 2*31 mod 105= 62 3*31 mod 105=93 6*31 mod 105=81 13*31 mod 105= 88 27*31 mod 105=102 52*31 mod 105= 37 • 公钥{62,93,81,88,102,37}
• 涉及到各方:发送方、接收方、攻击者 • 涉及到数据:公钥、私钥、明文、密文 • 公钥算法的条件: – 产生一对密钥是计算可行的 – 已知公钥和明文,产生密文是计算可行的 – 接收方利用私钥来解密密文是计算可行的 – 对于攻击者,利用公钥来推断私钥是计算不可行的 – 已知公钥和密文,恢复明文是计算不可行的 – (可选)加密和解密的顺序可交换
公钥密码
一般要求: 1、加密解密算法相同,但使用不同 的密钥 2、发送方拥有加密或解密密钥,而 接收方拥有另一个密钥 安全性要求: 1、两个密钥之一必须保密 2、无解密密钥,解密不可行 3、知道算法和其中一个密钥以及若 干密文不能确定另一个密钥
对公钥密码算法的误解
• 公开密钥算法比对称密钥密码算法更安全? – 任何一种算法都依赖于密钥长度、破译密码的工 作量,从抗分析角度,没有一方更优越 • 公开密钥算法使对称密钥成为过时了的技术? – 公开密钥很慢,只能用在密钥管理和数字签名, 对称密钥密码算法将长期存在 • 使用公开密钥加密,密钥分配变得非常简单? – 事实上的密钥分配既不简单,也不有效
《公钥密码体系》课件
03
保障国家安全
公钥密码体系在国家安全领域 中也有广泛应用,如军事通信
、政府机密保护等。
公钥密码体系的历史与发展
03
起源
公钥密码体系起源于20世纪70年代,最 早的公钥密码体系是RSA算法。
发展历程
未来展望
随着计算机科学和数学的发展,公钥密码 体系不断得到改进和完善,出现了多种新 的算法和应用。
随着互联网和物联网的普及,公钥密码体 系将面临更多的挑战和机遇,需要不断探 索和创新。
性能问题
1 2 3
加密和解密速度
公钥密码体系的加密和解密速度通常较慢,需要 优化算法和提高计算能力,以提高加密和解密的 速度。
资源消耗
公钥密码体系通常需要较大的计算资源和存储空 间,需要优化算法和资源利用方式,以降低资源 消耗。
适应性
公钥密码体系需要适应不同的应用场景和需求, 需要开发适用于不同场景的公钥密码算法和解决 方案。
人工智能与机器学习
人工智能和机器学习技术在公钥密码体系中也有着广阔的应用前景。这些技术可以帮助自动识别和防御 网络攻击,提高公钥密码体系的安全性和可靠性。
应用领域拓展
物联网安全
随着物联网技术的普及,公钥密 码体系在物联网安全领域的应用 将越来越广泛。物联网设备需要 使用公钥密码算法进行身份认证 和数据加密,以确保设备之间的 通信安全。
非对称加密算法可以支持多种加密模式,如对称加密算法中的块加 密和流加密模式。
数字签名
验证数据完整性和身份
数字签名使用私钥对数据进行加密,生成一个数字签名。 接收者使用公钥解密数字签名,验证数据的完整性和发送 者的身份。
防止数据被篡改
数字签名可以防止数据在传输过程中被篡改,因为任何对 数据的修改都会导致数字签名无效。
浅析椭圆曲线密码体制
开, 谁都可以 使用, 解密密钥( 秘密密钥) 只有解密人自己 知道, 非法使用者根据公开的加密密钥无法推算出解密密钥, 顾其可
称为公钥密码体制。如果一个人选择并公布了他的公钥, 另外任 何人都可以用这一公钥来加密传送给那个人的消息。私钥是秘 密保存的, 只有私钥的所有者才能利用私钥对密文进行解密。目 前, 有三类公钥密码体制被认为是安全有效的, 按照其所依据的 和 Rb 体制; ai n 基于有限域离散对数问题 (DP), Dfe L 如 i — i f
通信的贸易双方之间 确保密钥安全交换的问题。非对称密码体 上的。 除了椭圆曲线 E的所有点外 , 尚需加上一个叫做无穷点的 制也叫公钥加密技术, 该技术就是针对私钥密码体制的缺陷被 特殊点 0 。 提出来的。在公钥加密系统中, 加密和解密是相对独立的, 加密 和解密会使用两把不同的密钥, 加密密钥( 公开密钥) 向公众公
收 稿 日期 :0 2 07—0 —2 5 3
在实际的密码学应用中, 主要研究和应用椭圆曲线方程主 要是以下两种: ¨
() 1有限域上的椭圆曲线 F( q 。表示 个元素的有限域) Y= a+ , x+ x b其中ab F, ,∈ 。满足4 2b≠0 a+ 7
() 2 有限域上的椭圆曲线 F : Y + y x + x + , ab F ,≠ x = a b其中 , ∈ 2 b 0
1 密码体制的介绍
曲 线的离散对数计算困 难性, S 公钥算法相比, 与RA 具有抗攻击 性强、 计算量小、 处理速度快、 密钥尺寸小、 系统参数小以及带宽
EC正受到国内外学者的广泛关注, 国际上已 目 在多数情况下, 码技术仍是保证信息的机密性的唯 前, 密 要求低等优点。 C 制定了椭圆曲线公钥密码标准 IE 16。 E EP33 的方法, 该技术根据其运算机制的不同, 可以分为以下两种类 2 椭圆曲线密码体制原理 型: 对称密码体一种安全度很 高的密码技术 , 易于实现 , 良 的应 用前景。 有 好
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2、椭圆曲线公钥密码算法
1)参数选取
选取有限域 F 上的椭圆曲线
E : y2 x3 ax b
和其上一个阶为素数 n 的点 P = ( xP,yP )。 在[1,n-1]内随机选取整数 d,计算Q = dP
用户公钥:点 Q 用户私钥:整数 d
三、椭圆曲线公钥密码体制
2)加脱密算法
加密: 用户A给用户B发送信息 m,m F
ECC标准:ANSI X9.62、IEEE P1363等。
二、有限域上的椭圆曲线
椭圆曲线指的是由Weierstrass方程
y2 a1xy a3 y x3 a2 x2 a4 x a6
所确定的曲线。
先从 y2 x3 ax c 来探讨椭圆曲线的图像。
二、有限域上的椭圆曲线
实数域 R 上的椭圆曲线 y2 x3 ax b
三、椭圆曲线公钥密码体制
1、安全性基础
定义3 设 E 是有限域 F 上的椭圆曲线,G 是 E 的一个循环子群,点 P 是 G 的一个生成元,即
G = { kP : k 1},在已知 P, Q 的条件下,求解
整数n,使得 nP = Q 的问题,称为椭圆曲线 E 上 的离散对数问题。
三、椭圆曲线公钥密码体制
R=2P
x R’
二、有限域上的椭圆曲线
2、椭圆曲线上的加法运算
y
当P与Q关于x轴对称时,
P
定义P与Q的和为O ,即
P+Q=O
x
并称 O 为无穷远点
Q
二、有限域上的椭圆曲线
可以证明,有限域上的椭圆曲线在我们定义 的加法运算下构成群。
既然构成群,就必然有零元和负元,这里的 零元就为无穷远点O,P的负元就是它关于x轴的对
例:F23上的一个椭圆曲线为y2 = x3 + x ,
则该方程在F23上的解(即该椭圆曲线上的点)为 ( 0, 0),( 1, 5),( 1,18),( 9, 5),( 9,18), (11,10),(11,13),(13, 5),(13,18),(15, 3), (15,20),(16, 8),(16,15),(17,10),(17,13), (18,10),(18,13),(19, 1),(19,22),(20, 4), (20,19),(21, 6),(21,17), 无穷远点Ο.
目前,前两个问题都有了亚指数时间算法。
一、ECC应用背景
1985年,Koblitz 和Miller独立地提出了椭圆曲 线公钥密码体制(ECC),安全性基于椭圆曲线群上 的离散对数问题的难解性,该问题目前最好的解法 是指数级时间的算法。
一般认为,RSA和D-H密钥交换协议需用1024 比特以上的模数才安全,但对ECC,只要160比特 的模数就可达到同样级别的安全性。
y
x
c
解得
P(x1, y1)
Q(x2, y2)
R=P+Q
x
R’
x3
y3
2 ( x1
x1 x2 x3 )
y1
二、有限域上的椭圆曲线
y2 x3 ax b
当P≠Q时,
y2 y1
x2 x1
当P=Q时,
3x12 a2 y1yP来自x1, y1) Q(x2, y2)
R
x
R’
y
P(x1, y1)
R
x
R’
二、有限域上的椭圆曲线
k(k>2)个相同的点P相加为
3P P P kP
k
此时称之为点乘运算
y
2P P
x
二、有限域上的椭圆曲线
定义2 设 P E(F), n min{k | k 0, kP O} 称n为点P 的阶,记为 n=ord(P)。
由阶为 n 的点 P 在上述加法定义下生成的循环 群<P> 是椭圆曲线群 (E(F), +)的一个n阶子群。
y
x
二、有限域上的椭圆曲线
1、有限域上椭圆曲线的定义
定义1 有限域 F 上的椭圆曲线 y2 x3 是ax由满b
足F 上的方程
y的2 所x有3 点ax和无b 穷远点 O 构
成的集合
E(F ) {O}{(x, y) F F : y2 x3 ax b}
有时也记作E 。
二、有限域上的椭圆曲线
二、有限域上的椭圆曲线
2、椭圆曲线上的加法运算
设P, Q是E上的任意两 点, 连接P, Q交E于R’, 则称R’关于x轴的对称 点R为P与Q的和, 记为
P+Q=R
y
P Q
R=P+Q
x R’
二、有限域上的椭圆曲线
2、椭圆曲线上的加法运算
y
当P与Q重合时
P(Q)
R = P+Q = P+P = 2P
此时称之为倍乘运算
( x2,y2 ) = d( x1,y1 )
(2)通过计算 m = cx2-1,恢复出明文数据 m
相关问题
有限域 F 的选择 椭圆曲线的选择 点乘的快速实现
称点,记为–P。
显然有 P+O=O+P=P 若 P=(x, y),则 –P = (x, –y) 且 P + (–P) = O
二、有限域上的椭圆曲线
3、加法运算的代数表示
已知E(F)上两点P = (x1, y1), Q = (x2, y2) , 求P+Q。
解:设P+Q=R =(x3, y3),
y
y2 x3 ax b
密码学
第五章 公钥密码
5.4 椭圆曲线公钥密码体制
5.4 椭圆曲线公钥密码体制
1 ECC应用背景 2 有限域上的椭圆曲线 3 椭圆曲线公钥密码体制
一、ECC应用背景
公钥密码体制都建立在数学难题之上,现在 被广泛认可和使用的三类数学难题是: 1、大整数因子分解问题; 2、有限域乘法群上的离散对数问题; 3、椭圆曲线上的离散对数问题。
(1)在[1,n-1]内随机选取整数 k,计算 kP = ( x1,y1 )
(2)计算 kQ = (x2,y2),若 x2= 0,则回到(1)
(3)计算 c = mx2 密文为 (x1,y1 ,c)
三、椭圆曲线公钥密码体制
脱密: 用户B收到密文( x1,y1 ,c )后,
(1)用自己的私钥 d 计算
一、ECC应用背景
ECC与RSA性能比较
破解所需时 间(MIPS年)
104 108 1012 1020
RSA 密钥大小
512 768 1024 2048
ECC 密钥大小
106 132 160 210
RSA/ECC 密钥大小之比
5:1 6:1 7:1 10:1
ECC的高强度安全性带来了许多优点:可使用较 短的密钥;数字签名和证书小;运算速度快等。
1)参数选取
选取有限域 F 上的椭圆曲线
E : y2 x3 ax b
和其上一个阶为素数 n 的点 P = ( xP,yP )。 在[1,n-1]内随机选取整数 d,计算Q = dP
用户公钥:点 Q 用户私钥:整数 d
三、椭圆曲线公钥密码体制
2)加脱密算法
加密: 用户A给用户B发送信息 m,m F
ECC标准:ANSI X9.62、IEEE P1363等。
二、有限域上的椭圆曲线
椭圆曲线指的是由Weierstrass方程
y2 a1xy a3 y x3 a2 x2 a4 x a6
所确定的曲线。
先从 y2 x3 ax c 来探讨椭圆曲线的图像。
二、有限域上的椭圆曲线
实数域 R 上的椭圆曲线 y2 x3 ax b
三、椭圆曲线公钥密码体制
1、安全性基础
定义3 设 E 是有限域 F 上的椭圆曲线,G 是 E 的一个循环子群,点 P 是 G 的一个生成元,即
G = { kP : k 1},在已知 P, Q 的条件下,求解
整数n,使得 nP = Q 的问题,称为椭圆曲线 E 上 的离散对数问题。
三、椭圆曲线公钥密码体制
R=2P
x R’
二、有限域上的椭圆曲线
2、椭圆曲线上的加法运算
y
当P与Q关于x轴对称时,
P
定义P与Q的和为O ,即
P+Q=O
x
并称 O 为无穷远点
Q
二、有限域上的椭圆曲线
可以证明,有限域上的椭圆曲线在我们定义 的加法运算下构成群。
既然构成群,就必然有零元和负元,这里的 零元就为无穷远点O,P的负元就是它关于x轴的对
例:F23上的一个椭圆曲线为y2 = x3 + x ,
则该方程在F23上的解(即该椭圆曲线上的点)为 ( 0, 0),( 1, 5),( 1,18),( 9, 5),( 9,18), (11,10),(11,13),(13, 5),(13,18),(15, 3), (15,20),(16, 8),(16,15),(17,10),(17,13), (18,10),(18,13),(19, 1),(19,22),(20, 4), (20,19),(21, 6),(21,17), 无穷远点Ο.
目前,前两个问题都有了亚指数时间算法。
一、ECC应用背景
1985年,Koblitz 和Miller独立地提出了椭圆曲 线公钥密码体制(ECC),安全性基于椭圆曲线群上 的离散对数问题的难解性,该问题目前最好的解法 是指数级时间的算法。
一般认为,RSA和D-H密钥交换协议需用1024 比特以上的模数才安全,但对ECC,只要160比特 的模数就可达到同样级别的安全性。
y
x
c
解得
P(x1, y1)
Q(x2, y2)
R=P+Q
x
R’
x3
y3
2 ( x1
x1 x2 x3 )
y1
二、有限域上的椭圆曲线
y2 x3 ax b
当P≠Q时,
y2 y1
x2 x1
当P=Q时,
3x12 a2 y1yP来自x1, y1) Q(x2, y2)
R
x
R’
y
P(x1, y1)
R
x
R’
二、有限域上的椭圆曲线
k(k>2)个相同的点P相加为
3P P P kP
k
此时称之为点乘运算
y
2P P
x
二、有限域上的椭圆曲线
定义2 设 P E(F), n min{k | k 0, kP O} 称n为点P 的阶,记为 n=ord(P)。
由阶为 n 的点 P 在上述加法定义下生成的循环 群<P> 是椭圆曲线群 (E(F), +)的一个n阶子群。
y
x
二、有限域上的椭圆曲线
1、有限域上椭圆曲线的定义
定义1 有限域 F 上的椭圆曲线 y2 x3 是ax由满b
足F 上的方程
y的2 所x有3 点ax和无b 穷远点 O 构
成的集合
E(F ) {O}{(x, y) F F : y2 x3 ax b}
有时也记作E 。
二、有限域上的椭圆曲线
二、有限域上的椭圆曲线
2、椭圆曲线上的加法运算
设P, Q是E上的任意两 点, 连接P, Q交E于R’, 则称R’关于x轴的对称 点R为P与Q的和, 记为
P+Q=R
y
P Q
R=P+Q
x R’
二、有限域上的椭圆曲线
2、椭圆曲线上的加法运算
y
当P与Q重合时
P(Q)
R = P+Q = P+P = 2P
此时称之为倍乘运算
( x2,y2 ) = d( x1,y1 )
(2)通过计算 m = cx2-1,恢复出明文数据 m
相关问题
有限域 F 的选择 椭圆曲线的选择 点乘的快速实现
称点,记为–P。
显然有 P+O=O+P=P 若 P=(x, y),则 –P = (x, –y) 且 P + (–P) = O
二、有限域上的椭圆曲线
3、加法运算的代数表示
已知E(F)上两点P = (x1, y1), Q = (x2, y2) , 求P+Q。
解:设P+Q=R =(x3, y3),
y
y2 x3 ax b
密码学
第五章 公钥密码
5.4 椭圆曲线公钥密码体制
5.4 椭圆曲线公钥密码体制
1 ECC应用背景 2 有限域上的椭圆曲线 3 椭圆曲线公钥密码体制
一、ECC应用背景
公钥密码体制都建立在数学难题之上,现在 被广泛认可和使用的三类数学难题是: 1、大整数因子分解问题; 2、有限域乘法群上的离散对数问题; 3、椭圆曲线上的离散对数问题。
(1)在[1,n-1]内随机选取整数 k,计算 kP = ( x1,y1 )
(2)计算 kQ = (x2,y2),若 x2= 0,则回到(1)
(3)计算 c = mx2 密文为 (x1,y1 ,c)
三、椭圆曲线公钥密码体制
脱密: 用户B收到密文( x1,y1 ,c )后,
(1)用自己的私钥 d 计算
一、ECC应用背景
ECC与RSA性能比较
破解所需时 间(MIPS年)
104 108 1012 1020
RSA 密钥大小
512 768 1024 2048
ECC 密钥大小
106 132 160 210
RSA/ECC 密钥大小之比
5:1 6:1 7:1 10:1
ECC的高强度安全性带来了许多优点:可使用较 短的密钥;数字签名和证书小;运算速度快等。