椭圆曲线素阶群上的离散对数求解.pdfVIP

椭圆曲线素阶群上的离散对数求解+ 李俊全刘木兰 中国科学院数学与系统科学研究院系统科学研究所北京 100080 摘要该文对解椭圆曲线上离散对数的Pollard_D算法和并行碰撞搜索算法分别建立了它们 的图论模型和分析了碰撞技巧、比较了两个算法，提出了设计迭代函数的要求及给出一个改 进的并行碰撞算法。 关键词椭圆曲线离散对数Pollardp算法并行碰撞搜索迭代函数 引言 在信息安全技术中，广泛认可和使用的三类公钥密码体制是： a．建立在大整数分解问题基础上的著名的RSA公钥体制； b．基于有限域乘法群上的离散对数问题的Dil莳e-Hellman密钥交换协议，简记为DSA； c．建立在椭圆曲线离散对数问题基础上的椭圆曲线公钥密码体制．简记为ECC。 由于所基于的数学问题的计算复杂度有差别，导致建立在它们之上的公钥密码体制的 保密强度也存在差别。如果用MIPS年表示每秒钟执行一百万条指令的计算机计算一年时间 的计算量，现在一般认为需要10”MIPS年才能破译的系统是比较安全的。为了达到这个安 其比较。 破懈需时同(MIPS年) ECC密朝大小 RSA／DSA密钥大小 RSA／ECC密钥大小比 lo． 512 1∞ 5：l 10 768 132 6：1 10“ 1024 I∞ 7：l l庐 204S 210 10：I 由上表可见，椭圆曲线公钥密码体制具有高强度、短密钥的特性，因此，在计算资源和存储 空间受限制时，它成为一个理想的选择。椭圆曲线公钥密码体制在电子商务的数字签名和认 证，移动通讯中的安全保密等方面具有广泛的应用。 椭圆曲线公钥密码体制的研究方向主要是： a．椭圆曲线公钥密码体制的构造： b．椭圆曲线公钥密码体制的分析； c．椭圆曲线公钥密码体制的快速实现。 ’国家自然科学基金资助项目 ·131· 本文主要研究第二个问题，确切地说，研究椭圆曲线素阶子群上的离散对数求解问题，从安 全强度的角度看，这是人们最关注的问题。 设G是有限域上具有素数阶n的椭圆曲线群的给定子群，点P是它的生成元，即 G=P。对任给定的点Q∈G，求解正整数1．使得Q=IP，这就是椭圆曲线上的离散对 数问题。目前．解决这个问题的方法主要是Pollard p方法和并行碰撞算法，(2000年4月破 解108位的椭圆曲线离散对数使用的是并行碰撞算法。)但在公开文献中一直没见到对这两 种算法的系统分析和比较。在本文第2和第3部分，我们建立这两种方法的图沦模型，分析 它们的求解技巧．并对两种方法进行比较和提出改进算法。 1 P0llard p算法的图论模型及分析 1．1 Pollard p算法简介 Pollard p算法”1是概率算法。首先把群G分成大致相等的三个不相交的子集合S，是尚， 使得G：{：：l￡，在G上定义迭代函数，?G-÷G。 iffil E f‘一l+口． if^．ISl， (1) if ^=，(而一I)={2而q，JHES2。 【而一I+P。矿≤。Es，． 这里的G．P，Q均如前所述，令％=0，是G的零元素，于是由xo出发，利用迭代函 数，．便得到G