椭圆曲线密码体制及安全性分析.pdfVIP

周玉：i占夏英华 郑州市信息I：程学院信息研究系 摘耍：椭圆曲线密码体制是由NealKoblitz和Victor Miller在r985年分别独立提 出的，其安全性基于椭团曲线点群上离散对数问题的难解性。本文讨论了椭圆曲 线密码体制的攻击现状，并将其与基于整数因式分解问题难解性的RSA体制及 其于有限域乘法群上离散对数问题难解性的DSA体锫9进行比皎，详尽说明椭圆 曲线密码体带4在安全|生及有效‘洼上的优势，它是目前已知的提供最高每密钥比特 强度的密码体制。 关键词：椭圆曲线密码体制，离散对数，安全性 引言 识到离散对数这一难解的数学问题在密码上的重要意义。ELGamal[2]首次描述了 这一问题如何用于公开密钥加密及签名体制，ELGamal的方法经过改进已融入到 很多密码协议中。以适应各种应用，美国政府数字签名算法(DSA)就是基于它 的一个推广。DSA是1991年8月由美国国家标准和技术机构提出的，并于1993 年成为美国联邦信息处理标准，这是第一个由歧府依法制定的数字签名体制。 1985年．Nei]Kob¨tz13]和、+ic_[oFMilJer[4]分别独立提出了椭圆曲线 密隅体制(ECC)，其依据就是定义庄椭圆曲线点群上的离敞对数问题的雉解性。 椭圆曲线既可用于数字签名I奉制又可填于加密体制，还可JL}{于类似Diffie～ Hel lman密钥交换体制的暂钥建立协议。 以F我们首先简要介缁椭吲曲线及离散对数问题并描述椭圆曲线类似OS．6 的数事签名体制，然厉对其安全盹进行分忻，甜蝎椭圆曲线密码体制在安全陛及 有效陡上的优势， ’1．椭圆蓝线 本节对椭圆曲线及其基本运算做一简要介绍t为简单起见，仅限于Z。上的 椭圆曲线，其中P是犬于3的素数。事实上，椭圃曲线可定义在任何有限域上， 尤其是特征为2的有限域(，可使椭圆曲线算术最有效地实现t因此格外引起 Aq]的兴趣。 令岛．b∈Z。满足4口3+27b!≠0．由参数Ⅱ和6定义的Z，上的一个椭 圆曲线是方稃 Y!=T1十倒+b 的所有解(x，y)，』∈Z。，y∈Z?，连同一个称为“无穷远点”(1已为0j的元素 组戒的点集合。￡(z，，)的点数用#日z，)表示。Hasse定理 p+l一2扛≤j￡(z，)≤P+1+2扫 点集合E(Z，)对应下面的加法规则构成一个群： f 1)0+0=0 (ii)(r，j，)+0=(f．y)j÷}’}育(f，tl，)∈￡(z．，) (x,-3，)) ㈣’)(两个不同的Ii不互为逆的．ci的加法规则) 争＆，，¨)∈￡(z，，)，(r、，、^j∈酬zi，j是两个满足。I≠_：∞鲁，则 (r，√，)+扛。l：)_fk．、：)．：￡-扫 Y、=z：一』l一_!．J·：=i*fT】一Y．J一。l-。．』j^：±二立 f÷j一，z： 、1)(佬电规【l!|I， 令(』】．Y，)∈E(z，)是一个点，。。；0．j／J12(x、，y．)=x，．)一、)．其 吐] 5工，+a 1， 、 旺线就称为是超奇异的，否则称为非超奇异的。 月÷#E【cJ=P十l 例1 Z～Lfl?-o、椭圆曲线j 令、，?=Ti+T+1芝凡：f．的一个方程。骱“=I，6=1)，则该椭圆曲线 方群在Z～E的解是： (5．4) (5,19) 1，3)Ol，20)(12，4) 3、1 (12．19)(13．7)(16)(I7，3)(17．20)(18,3)(18，20)(19，5)(19，18)