计算Montgomery形式椭圆曲线上标量乘kP+mQ+lR的新算法.docVIP

计算Montgomery形式椭圆曲线上标量乘kP+mQ+lR的新算法 刘铎 戴一奇 摘要：基于Montgomery形式椭圆曲线上的密码体制具有速度快、安全性高、形式简单和适于并行的优点，现在是椭圆曲线密码学研究的一个热点。但是对于在Montgomery形式的椭圆曲线上的标量乘的算法还长期停留在只能计算kP的阶段。Toru Akishita给出了计算kP+lQ的方法[9]，主要是为了解决协议中的问题。在本文中将这个方法扩展到计算kP+mQ+lR的方法，这样不仅仅在一些协议中可以使用，而且也可以将基于预计算的SME算法[13]等应用到Montgomery形式的椭圆曲线上，加快标量乘的速度，同时达到抵抗计时攻击的效果。在文章的最后对于新的算法与传统的算法，在时间复杂度上做了一些比较。 关键词：椭圆曲线；密码学； Montgomery形式椭圆曲线；标量乘 中图分类号：TP391 文献标识码：A 简介 椭圆曲线密码体制首先由Neal Koblitz[1]和Victor Miller[2]两人独立地提出，近来得到越来越广泛地关注，进行了很多算法和实际实现方面的研究。椭圆曲线的标准Weierstrass形式是（对于特征大于3的域），而Montgomery则引入了另一种形式的椭圆曲线[3]，并提出了一种和Weierstrass曲线上标量乘完全不同的计算方法，与原有的方法相比有如下的优点：它不需要预计算（原始的算法），所以可以在存储空间有限的条件下实现（例如智能卡等）；利于并行计算；它的运算时间可以认为是固定的，而不依赖于的Hamming重量等。而且在研究椭圆曲线上的标量乘的算法的同时，很多研究者[6,12,17]还独立地发现Montgomery算法[3]可以有效地抵抗计时攻击[4]。这更使得它成为现在椭圆曲线密码学中最热门的课题之一。 Lopez与Dahab将Montgomery算法扩展到了特征为2的域上，并且提出了一个有恢复-坐标过程的标量乘的算法[6]。Katsuyuki Okeya和Kouichi Sakurai给出了在特征不是2的有限域上的Montgomery形式椭圆曲线上的恢复y坐标的方法[8]。Katsuyuki Okeya、Hiroyuki Kurumatani和Kouichi Sakurai对于Montgomery-形式椭圆曲线和Weierstrass-形式椭圆曲线之间的相互转化进行了研究[5]。他们给出了具有Montgomery-形式的椭圆曲线的充要条件，还提出了一个选取阶恰好是4光滑的Montgomery曲线的算法。 一些协议——如ECDSA的验证部分——需要计算。Katsuyuki Okeya和Kouichi Sakurai建议先用普通的方法计算，再使用Montgomery的方法计算，并且恢复的y坐标，最后计算[8]。而Toru给出了一种类似Montgomery算法的方法直接计算[9]。 在本文中，我们对于Toru的算法进行了扩展，使之可以用于计算。本文的组织形式是：在第二部分中，回顾了Montgomery曲线的定义和Montgomery的算法；在第三部分中提出了一个直接计算的类Montgomery算法；在最后一部分中对于新的算法和传统的方法作了一些比较。 Montgomery形式的椭圆曲线和Montgomery算法 2.1 Montgomery形式椭圆曲线的定义 首先定义曲线的Montgomery形式：令为一个素数，为有个元素的有限域，其中。对于，，由下式定义的椭圆曲线称为一个Montgomery形式的椭圆曲线： 上的有理点全体构成一个有限可换群，其无穷原点是，于是，在Weierstrass形式的椭圆曲线上的所有密码协议都可以应用到Montgomery形式的曲线上。 2.2 Montgomery形式椭圆曲线上点的运算 首先给出Montgomery形式的曲线上的点在仿射坐标下的点计算公式。令和为Montgomery形式椭圆曲线上的两个点，则点由下面公式给出： ，， 其中。 在仿射情况下，点加需要三次乘法、一次平方和一次求逆；点倍需要五次乘法、两次平方和一次求逆。 ，并且记点的倍点为。则的坐标可由下面的公式不使用Y坐标而计算[3]： 点加公式 ， 。 点倍公式 ， ， 。 点加公式需要四次乘法、两次平方（当时可以减少一次乘法）；点倍公式需要三次乘法、两次平方（这时需要预先计算）。 最后给出在射影坐标下点运算的公式： 令和为Montgomery形式椭圆曲线上的两个点，则点由下面公式给出： 点加公式： ，，，，。 共用15次乘法，2次平方。 点倍公式： ，，， 共用12次乘法，6次平方。 2.3 Montgomery形式椭圆曲线上标量乘的算法 使用Montgomery算法计算标量乘的过程是： 首先要计算，然后根据n的二进制