您的位置:360文档中心› 椭圆曲线密码总结大全

椭圆曲线密码总结大全

合集下载

椭圆曲线密码算法的安全性分析

椭圆曲线密码算法的安全性分析

椭圆曲线密码算法的安全性分析椭圆曲线密码算法(Elliptic Curve Cryptography,ECC)是一种基于椭圆曲线数学理论的加密算法,与传统的RSA和DSA等加密算法相比,ECC在相同的加密强度下具有更短的密钥长度和更高的安全性。

本文将对椭圆曲线密码算法的安全性进行分析,并探讨其应用领域和发展前景。

1. 椭圆曲线密码算法原理椭圆曲线密码算法利用椭圆曲线上的离散对数问题,通过对椭圆曲线上的点进行运算,实现加密和解密的过程。

其基本原理是利用数论中的椭圆曲线离散对数难题,即在给定一个椭圆曲线和其中的一个点,计算该点的多倍点所需要的运算时间非常困难。

因此,只要能够保证椭圆曲线参数的选择合理,并且确保私钥的安全性,椭圆曲线密码算法就能提供较高的安全性保障。

2. 椭圆曲线密码算法的安全性椭圆曲线密码算法的安全性主要取决于椭圆曲线的选择和私钥的保密性。

对于椭圆曲线的选择,一般需要满足以下几个条件:- 曲线参数的选取要公开透明,以便进行各种安全性分析。

- 曲线的阶要是一个大素数,确保计算多倍点的运算时间非常困难。

- 椭圆曲线的离散对数问题要难以解决,以确保私钥的安全性。

对于私钥的保密性,通常采用合适的密钥管理策略和身份认证机制来确保私钥只有合法的用户才能获得,从而提高算法的安全性。

3. 椭圆曲线密码算法的应用领域由于椭圆曲线密码算法具有较高的安全性和较短的密钥长度,因此在许多领域都有广泛的应用。

主要包括以下几个方面:- 信息安全领域:椭圆曲线密码算法可用于数据加密、数字签名、身份认证等安全保障机制的实现,保护数据在传输和存储过程中的安全性。

- 无线通信领域:椭圆曲线密码算法的密钥长度短,能够有效减少通信数据量,提高无线信道利用率和传输速度。

- 物联网领域:椭圆曲线密码算法在物联网终端设备的安全认证、数据加密和身份验证等方面具有较大优势,提供了稳定可靠的安全保障。

- 云计算领域:椭圆曲线密码算法可用于云计算平台的数据隐私保护、用户认证和云服务商之间的安全通信等方面。

5-8椭圆曲线密码

5-8椭圆曲线密码

U htA (PB x2RB ) h(d A x1rA )(dBG x2rBG)=h(d A x1rA )(dB x2rB )G=(xU , yU )
V htB (PA x1RA ) h(dB x2rB )(d AG x1rAG)=h(dB x2rB )(d A x1rA )G=(xV , yV )
KB KDF(xV || yV || Z A || ZB ,klen) SB Hash(0x02 || yV || HASH (xV || Z A || ZB || x1 || y1 || x2 || y2 )) S2 Hash(0x03|| yV || HASH (xV || Z A || ZB || x1 || y1 || x2 || y2 ))
若 S 是无穷远点则报错并退出 4: kPB (x2 , y2 ) 5: t KDF (x2 || y2 ,klen)
若t全0返回1 6: C2 M t 7: C3 Hash(x2 || M || y2 ) 8: 输出M的密文C C1 || C2 || C3
解密算法
1: 验证C1是否满足椭圆曲线方程 2: S hC1
R e' x1' mod n r'
SM2之密钥交换协议
A、B协商密钥, 计算ZA、ZB、w ( log2 n ) / 2 1
阶为n的基点G=(xG , yG),h 余因子,(dA , PA )为A的公私钥对,(dB , PB )为B的公私钥对
A
rA [1..n 1] RA rAG (x1 , y1)
密码学原理
椭圆曲线密码
椭圆曲线离散对数问题
SM2之数字签名算法
CONTENT

椭圆曲线密码学的原理

椭圆曲线密码学的原理

椭圆曲线密码学(Elliptic Curve Cryptography, ECC)是一种基于椭圆曲线的公钥密码体制,其原理和运算方式与传统的RSA算法有所不同。

椭圆曲线密码学是一种现代密码学领域的前沿技术,被广泛应用于许多安全领域,如数据加密、数字签名、密钥交换等。

本文将主要介绍椭圆曲线密码学的原理及其应用。

椭圆曲线密码学是通过椭圆曲线上的离散对数问题来实现安全通信的。

首先,我们需要选择一条合适的椭圆曲线作为密码系统的基础。

椭圆曲线的方程可以表示为y² = x³ + ax + b,其中a和b是定义曲线的参数。

为了保证安全性,这些参数需要经过严格的选择和审核,以确保计算离散对数问题的困难性。

在椭圆曲线密码系统中,每个用户都有一对密钥,分别是公钥和私钥。

公钥由椭圆曲线上的一个点和曲线的参数生成,私钥是一个随机数,只有用户自己知道。

公钥可以被广泛分发,而私钥必须严格保密。

为了实现安全通信,发送方使用对方的公钥对要发送的数据进行加密,接收方使用自己的私钥对密文进行解密。

椭圆曲线密码学所基于的数学原理是椭圆曲线上的离散对数问题。

即给定一点P和一个整数k,求解使得kP = P + P + ... + P(k个P相加)的问题。

这个问题在目前的计算能力下是非常难以求解的。

利用这个困难问题,我们可以构建一个安全的公钥密码系统。

相比于传统的RSA算法,椭圆曲线密码学具有许多优势。

首先,椭圆曲线密码学能够提供相同的安全性,但使用更短的密钥长度。

这对于存储和传输密钥来说是非常重要的,可以减少存储和传输的开销。

其次,椭圆曲线密码学的加密和解密速度更快,特别是在资源有限的设备上。

这使得椭圆曲线密码学非常适合嵌入式设备和移动设备上的安全通信应用。

除了基本的加解密功能,椭圆曲线密码学还可以用于数字签名和密钥交换等安全协议。

数字签名可以用来验证信息的真实性和完整性,并防止信息被篡改。

而密钥交换协议则可以用来安全地协商通信双方之间的共享密钥,以确保通信过程中的机密性和完整性。

椭圆曲线密码ppt课件

椭圆曲线密码ppt课件
地选择一个大素数p,且要求p-1有 大素数因子。再选择一个模p的本原元α。将p 和α公开。
⑴ 密钥生成
• 用户随机地选择一个整数d作为自己的秘密的解 密钥,2≤d≤p-2 。
• 计算y=αd mod p,取y为自己的公开的加密钥。 • 由公开钥y 计算秘密钥d,必须求解离散对数,
由于上述运算是定义在模p有限域上的,所以称为 离散对数运算。
③从x计算y是容易的。可是从y计算x就困难得多, 利用目前最好的算法,对于小心选择的p将至少 需用O(p ½)次以上的运算,只要p足够大,求解 离散对数问题是相当困难的。
篮球比赛是根据运动队在规定的比赛 时间里 得分多 少来决 定胜负 的,因 此,篮 球比赛 的计时 计分系 统是一 种得分 类型的 系统
要小,所以ELGamal密码的加解密速度比RSA稍快。 ②随机数源
由ELGamal密码的解密钥d和随机数k都应是高质量 的随机数。因此,应用ELGamal密码需要一个好的随机 数源,也就是说能够快速地产生高质量的随机数。 ③大素数的选择
为了ELGamal密码的安全,p应为150位(十进制数) 以上的大素数,而且p-1应有大素因子。
三、椭圆曲线密码
2、椭圆曲线
②定义逆元素
设P(x1 ,y1)和Q(x2 ,y2)是解点,如果 x1=x2 且y1=-y2 ,则
P(x1 ,y1)+Q(x2 ,y2)=0 。
这说明任何解点R(x ,y)的逆就是
R(x ,-y)。
注意:规定无穷远点的逆就是其自己。
O(∞,∞)=-O(∞,∞)
篮球比赛是根据运动队在规定的比赛 时间里 得分多 少来决 定胜负 的,因 此,篮 球比赛 的计时 计分系 统是一 种得分 类型的 系统
三、椭圆曲线密码

第10章 椭圆曲线密码 信息理论《密码学:加密演算法》(邓安文)(免费)

第10章 椭圆曲线密码 信息理论《密码学:加密演算法》(邓安文)(免费)
Q = [k]P 的k值。
定理
令E为定义在FP上的椭圆曲线,则E(FP)的个数满足 为定义在F 上的椭圆曲线,则E(F
# E( Fp ) = p + 1 + t其中误Leabharlann 项| t |< 2 p
定理
令椭圆曲线 E : y2 = x 3 + ax + b (mod p),则 p),则
x 3 + ax + b g = # E(Fp ) = p + 1 + p x =0

p −1
1.11
© 2006
第10章 10章
椭圆曲线密码
加权投影坐标
10.3 加权投影坐标
♫性质
令椭圆曲线 E : y2 = x 3 + ax + b 令 P1 = [x1 , y1 , z1 ] ,P2 = [x 2 , y 2 , z 2 ] 为E上的点(加权投影坐标表达式)。 而点 P3 = [x 3 , y3 , z3 ] = P1 + P2 若P1、P2≠0,且P1≠±P2,则加法公式为 ≠0,且P
1.16
h=
# E(Fp ) ord(P)
=3 。
© 2006
第10章 10章
椭圆曲线密码
椭圆曲线版的Diffie-Hellman密钥交换 椭圆曲线版的Diffie-Hellman密钥交换
۩算法椭圆曲线版的Diffie-Hellman密钥交换
Alice与Bob要用椭圆曲线密码共同约定密钥。 Alice与Bob要用椭圆曲线密码共同约定密钥。 (曲线参数约定)约定 (E/Fq,P)。 ,P)。 Alice选择一正整数A,计算P =[A]P,将点P 传送给Bob。 Alice选择一正整数A,计算PA=[A]P,将点PA传送给Bob。 Bob选择一正整数B,计算P =[B]P,将点P 传送给Alice。 Bob选择一正整数B,计算PB=[B]P,将点PB传送给Alice。 Alice收到P ,计算P Alice收到PB,计算PK=[A]PB,PK即共同约定的密钥。 Bob收到P ,计算P Bob收到PA,计算PK=[B]PA,PK即共同约定的密钥。

椭圆曲线离散对数类公钥密码算法

椭圆曲线离散对数类公钥密码算法

椭圆曲线离散对数类公钥密码算法
椭圆曲线离散对数类公钥密码算法是一种基于椭圆曲线离散对数问题的公钥密码算法。

它利用椭圆曲线上的点构成的群结构,设计出一种安全的公钥密码系统。

椭圆曲线离散对数问题是一个数学难题,其定义如下:给定椭圆曲线上的两个点P和Q,找到一个整数k,使得kP=Q(mod n)。

其中n是一个大素数,P和Q是椭圆曲线上的点,且P≠±Q。

这是一个非常困难的问题,因此在公钥密码学中有广泛的应用。

基于椭圆曲线离散对数问题的公钥密码算法有多种,其中最著名的可能是ElGamal算法和DSA(Digital Signature Algorithm)算法。

这些算法利用椭圆曲线上的点构成的群结构,设计出一种安全的公钥密码系统,可以实现加密、解密、数字签名等功能。

相比于传统的RSA算法等基于大整数分解问题的公钥密码算法,基于椭圆曲线离散对数问题的公钥密码算法具有更高的安全性和更小的密钥长度。

因此,它在许多领域都有广泛的应用,如网络安全、电子支付、电子政务等。

椭圆曲线在密码学中的应用

椭圆曲线在密码学中的应用

椭圆曲线在密码学中的应用
椭圆曲线在密码学中被广泛应用,主要是因为它们具有一些非常重要的数学特性,如离散对数问题的困难性和数字签名的可靠性。

以下是一些椭圆曲线在密码学中的应用:
1. 椭圆曲线密码(ECC):ECC是基于椭圆曲线的密码体系,它比传统的RSA 或DSA等公钥密码体系更加高效和安全。

ECC不仅可以用于加密和解密,还可以用于数字签名和身份验证等应用。

2. 数字签名:椭圆曲线数字签名(ECDSA)是用于数字签名的一种算法,它比传统的数字签名算法更加高效和安全。

ECDSA可以用于身份验证、保护数据完整性和防止重放攻击等应用。

3. 密钥交换:椭圆曲线密钥交换(ECDH)是一种安全的密钥交换协议,用于在两个通信方之间安全地协商共享密钥。

ECDH不仅比传统的密钥交换协议更加高效和安全,还可以用于保护通信的机密性和完整性。

总的来说,椭圆曲线在密码学中的应用非常广泛,它们已经成为现代密码学中不可或缺的一部分。

椭圆曲线密码算法原理及其应用

椭圆曲线密码算法原理及其应用

椭圆曲线密码算法原理及其应用密码学是保障个人信息安全的重要领域,而椭圆曲线密码算法作为一种新的密码算法,在这方面扮演着越来越重要的角色。

本文将介绍椭圆曲线密码算法的基本原理、优势以及应用。

一、基本原理椭圆曲线密码算法是一种基于椭圆曲线数学理论而产生的密码算法,其基础理论是椭圆曲线离散对数问题。

所谓离散对数问题是指对于一个有限域$GF(q)$上的椭圆曲线$E$和其中的一个点$P$,在椭圆曲线上选择另一个点$Q$,求解在有限域$GF(q)$上,使得$Q=nP$的$n$的过程。

而这个过程是不可逆的,即求解$Q$到$P$的离散对数是困难的,因此椭圆曲线密码算法因此而诞生。

椭圆曲线密码算法可以参照传统公钥密码算法的框架设计,即包含公钥和私钥两部分。

一个椭圆曲线密码体制要求选择一个椭圆曲线$E$,再分别选择两个$E$上的点$P$和$Q$,称为基点和公钥点。

基点$P$作为私钥的一部分,而公钥点$Q$仅作为公钥的一部分,即:- 公钥:$(E,P,Q)$- 私钥:$P$发送者想对一条长为$m$的消息进行加密,首先选择一个小于$q$的整数$k$作为随机数,使得$P$乘以$k$所得到的点$K=kP$不能在椭圆曲线上表达为$Q$的$n$倍。

在此基础上,发送者计算:- 加密的密文:$c=(K,m+kn)$接收者收到密文$c$后,使用私钥$P$计算:- 解密后的明文:$m=\frac{c_2-k \cdot H(c_1)}{k}$其中$H(c_1)$是消息$c_1$的哈希值。

二、优势椭圆曲线密码算法相较于传统公钥密码算法,有以下优势:1. 可以使用短密钥长度其安全性和传统公钥密码算法一样好,但是它的密钥长度可以比传统的RSA或Diffie-Hellman密钥长度更短,API级别的椭圆曲线密码算法只需要32个字节密钥长度,远远低于传统算法的384位以上。

2. 速度较快相对于RSA或者Diffie-Hellman,椭圆曲线密码算法是一种更快速的密码算法,因为它不需要执行复杂且昂贵的模操作,而是直接在椭圆曲线上进行数学运算。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

椭圆曲线密码概述:椭圆曲线密码学(ECC, Elliptic curve cryptography )是基于椭圆曲线数学的一种公钥密码的方法。

1985年,Neal Koblitz 和Victor Miller 分别独立提出了椭圆曲线密码体制(ECC),其依据就是定义在椭圆曲线点群上的离散对数问题的难解性。

引言:ECC 被广泛认为是在给定密钥长度的情况下,最强大的非对称算法,因此在对带宽要求十分紧的连接中会十分有用。

ECC 的主要优势是在某些情况下它比其他的方法使用更小的密钥——比如RSA ——提供相当的或更高等级的安全。

ECC 的另一个优势是可以定义群之间的双线性映射,基于Weil 对或是Tate 对;双线性映射已经在密码学中发现了大量的应用,例如基于身份的加密。

不过一个缺点是加密和解密操作的实现比其他机制花费的时间长。

国家标准与技术局和ANSI X9已经设定了最小密钥长度的要求,RSA 和DSA 是1024位,ECC 是160位,相应的对称分组密码的密钥长度是80位。

NIST 已经公布了一列推荐的椭圆曲线用来保护5个不同的对称密钥大小(80, 112, 128, 192, 256)。

一般而言,二进制域上的ECC 需要的非对称密钥的大小是相应的对称密钥大小的两倍。

椭圆曲线密码学的许多形式有稍微的不同,所有的都依赖于被广泛承认的解决椭圆曲线离散对数问题的困难性上,对应有限域上椭圆曲线的群。

引理及有关概念:(1) 无穷远元素(无穷远点,无穷远直线)平面上任意两相异直线的位置关系有相交和平行两种。

引入无穷远点,是两种不同关系统一。

AB ⊥L1, L2∥L1,直线AP 由AB 起绕A 点依逆时针方向转动,P 为AP 与L1的交点,如图1。

Q=∠BAP →π /2则AP → L2,可设想L1上有一点P ∞,它为L2和L1的交点,称之为无穷远点。

直线L1上的无穷远点只能有一个(因为过A 点只能有一条平行于L1的直线L2,而两直线的交点只能有一个)。

图1结论:1.平面上一组相互平行的直线,有公共的无穷远点(为与无穷远点相区别,把原来平面上的点叫做平常点)。

2. 平面上任何相交的两直线L1,L2有不同的无穷远点。

原因:若否,则L1和L2有公共的无穷远点P ∞,则过两相异点A 和P ∞有相异两直线,与公理相矛盾。

3. 全体无穷远点构成一条无穷远直线备注:欧式平面添加上无穷远点和无穷远直线,自然构成射影平面,如图2。

图2(2)齐次坐标,解析几何中引入坐标系,用代数的方法研究欧氏空间。

这样的坐标法也可推广至摄影平面上,建立平面摄影坐标系。

平面上两相异直线L1,L2,其方程分别为:L1: 0111=++c y b x a L2: 0222=++c y b x a其中11,b a 不同时为0;22,b a 也不同时为0。

设:D=2211b a b a Dx=2211c b c b Dy=2211a c a c若D ≠0,则两直线L1,L2相交于一平常点P(x,y),其坐标为x=Dx/D ,y=Dy/D. 这组解可表为:x/Dx=y/Dy=1/D 。

(约定:分母Dx ,Dy 有为0时,对应的分子也要为0)上述表示可抽象为(Dx ,Dy ,D)。

若 D=0,则L1∥L2,此时L1和L2交于一个无穷远点P ∞。

这个点P ∞可用过原点O 且平行于L2的一条直线L 来指出他的方向,而这条直线L 的方程就是:022=+y b x a .为把平常点和无穷远点的坐标统一起来,把点的坐标用(X ,Y ,Z)表示,X ,Y ,Z 不能同时为0,且对平常点(x ,y)来说,有Z ≠0,x=X/Z ,y=Y/Z ,于是有:X / Dx = Y / Dy = Z / D ,有更好的坐标抽象(X,Y,Z),这样对于无穷远点则有Z=0也成立。

备注:1. 若实数p ≠0,则(pX,pY,pZ)与(X,Y,Z)表示同一个点。

实质上用(X:Y:Z)表示。

3个分量中,只有两个是独立的,具有这种特征的坐标就叫齐次坐标。

DD Z YD Z X y x 1==2. 设有欧氏直线L ,它在平面直角坐标系Oxy 上的方程为:0=++c by ax .则L上任一平常点(x,y)的齐次坐标为(X,Y,Z),Z ≠0,代入得:0=++cz by ax .给L 添加的无穷远点的坐标(X,Y,Z)应满足0=+by ax ,0=z ;平面上无穷远直线方程自然为:0=z . (3)任意域上的椭圆曲线K 为域,K 上的摄影平面)(2K P 是一些等价类的集合{(X:Y:Z)}。

考虑下面的Weierstrass 方程(次数为3的齐次方程):36242232312z a xz a z x a x yz a xyz a z y +++=++(其中系数ai ∈K ,或ai ∈K 为K 的代数闭域)Weierstrass 方程被称为光滑的或非奇异的是指对所有适合以下方程的射影点P=(X:Y:Z) ∈)(2K P 来说:=),,(z y x F 036242232312=----++z a xz a z x a x yz a xyz a z y在P 点的三个偏导数之中至少有一个不为 0若否称这个方程为奇异的。

椭圆曲线E 的定义:椭圆曲线E 是一个光滑的Weierstrass 方程在)(2K P 中的全部解集合。

36242232312z a xz a z x a x yz a xyz a z y +++=++备注:1. 在椭圆曲线E 上恰有一个点,称之为无穷远点,即(0:1:0)用θ表示。

2.椭圆曲线的研究来源于椭圆积分:⎰)(x E dx这里)(x E 是x 的三次多项式或四次多项式.这样的积分不能用初等函数来表达,为此引进所谓椭圆函数.所谓椭圆曲线指的是由韦尔斯特拉斯(Weierstrass)方程,可用非齐次坐标的形式来表示,设x=X/Z ,y=Y/Z ,于是原方程可转化为:64223312a x a x a x y a xy a y +++=++ (1) 此时,椭圆曲线E 就是方程(1)在射影平面)(2K P 上的全部平常点解,外加一个无穷远点θ组成的集合。

3.若K a a a a a ∈64321,,,,,此时椭圆曲线E 被称为定义在K 上,用E/K 表示。

如果E 能被限定在K 上,那么E 的K ——有理点集合表示为E(K),它为E 中的全体有理坐标点的集合外加无穷远点θ.(4)实域R 上的椭圆曲线:设K=R ,此时的椭圆曲线可表为平面上的通常曲线上 的点,外加无穷远点θ。

实域R 上椭圆曲线的点的加法运算法则:设L ∈)(2R P 为一条直线。

因为E 的方程是三次的,所以L 可与E 在)(2R P 恰有三个交点,记为P,Q,R (注意:如果L 与E 相切,那么P,Q,R 可以不是相异的)。

按下述方式定义E 上运算⊕;设P,Q ∈ E ,L 为联接P,Q 的直线(若P=Q ,则L 取过P 点的切线);设R 为L 与E 的另一个交点;再取连接R 与无穷远点的直线L ′。

则L ′与E 的另一个交点定义为P ⊕ Q 。

以上的实际图像为椭圆曲线x x y -=32的一般化。

来自对具体曲线的抽象。

对运算更具体一些:设 P=(x1,y1),Q=(x2,y2),P ⊕Q=(x3,y3),由P ⊕Q 的定义,设βα+=x y 为通过P,Q 两点直线L 的方程,可算出:111212),/()(x y x x y y αβα-=--=易见,直线L 上的一个点(x, αx+β)是在椭圆曲线E 上,当且仅当x x x -=+32)(βα,P ⊕Q=(x1,y1) ⊕(x2,y2)=(x3,y3) =(x3,-(αx3+β)) 其中,x3= α2-x1-x2=((y2-y1) / (x2-x1) )2-x1-x2;y3=-y1+((y2-y1)/(x2-x1))(x1-x3) ;当P=Q 时: P ⊕Q=(x3,y3)算得 :x3=((3x12-1)/2y1)2-2x1; y3= -y1+((3x12-1)/2y1)(x1-x3) ;备注:a) 如果直线L 与E 相交与三点P,Q,R(不一定相异),那么 (P ⊕Q)⊕R=θ(从图中可见);b) 任给P ∈E,P ⊕θ=P(此时设Q= θ,易见L=L ′);T ⊕(P=Q=R)c) 任给P,Q ∈E 有:P ⊕Q=Q ⊕P ;d) 设P ∈E ,那么可以找到-P ∈E 使P ⊕-P=θ;e) 任给P,Q,R ∈E ,有(P ⊕ Q) ⊕ R= P ⊕(Q ⊕ R); 综上所述,知E 对⊕ 运算形成一个Abel 群。

f) 上述规则可开拓到任意域上,特别是有限域上。

假定椭圆曲线是定义在有限域Fq 上(q=pm),那么 E(Fq)={(x,y)∈Fq ×Fq | 64223312a x a x a x y a xy a y +++=++} ∪{θ},它对“⊕ ”形成一个群,为Abel 群。

有限域上椭圆曲线的⊕运算令Fq 表示q 个元素的有限域,用E(Fq)表示定义在Fq 上的一个椭圆曲线E 。

定理1.(Hass 定理) E(Fq)的点数用#E(Fq)表示,则| #E(Fq)-q-1|≤2q^(1/2) (1) Fp (素域,p 为素数)上椭圆曲线,令p>3,a,b ∈Fp ,满足027423≠+b a ,由参数a 和b 定义的Fp 上的一个椭圆曲线方程为:b ax x y ++=32 (2) 它的所有解(x,y),(x ∈Fp ,y ∈Fp),连同一个称为“无穷远点”(记为θ)的元素组成的集合记为E(Fp),由Hass 定理知:p+1-2p^(1/2)≤#E(Fp) ≤ p+1+2p^(1/2)集合E(Fp)对应下面的加法规则,且对加法⊕形成一个Abel 群: (i) θ⊕θ=θ(单位元素);(ii)(x,y)⊕θ=(x,y),任给(x,y)∈E(Fp);(iii)(x,y)⊕(x,-y)=θ,任给(x,y)∈E(Fp),即点(x,y)的逆元为(x,-y); (iv) 令(x1,y1),(x2,y2)为E(Fp)中非互逆元,且满足21x x ≠的两点,则(x1,y1) ⊕(x2,y2)=(x3,y3),其中⎩⎨⎧--=--=1)31(32132y x x y x x x λλ,1212x x y y --=λ (3) (v)(倍点运算规则)设(x1,y1) ∈E(Fp),y1≠0,则2(x1,y1)=(x3,y3),其中⎩⎨⎧--=-=1312)(3123y x x y x x λλ,12132y a x +=λ (4) 备注:若#E(Fp)=p+1,曲线E(Fp)称为超奇异的,否则称为非超奇异的。

相关文档
最新文档