第09-12讲 公钥密码体制.pptVIP

§4.7　椭圆曲线密码体制ECC §4.7　椭圆曲线密码体制ECC 椭圆曲线密码体制以高效性著称 由Neal Koblitz和Victor Miller在1985年分别提出 ECC的安全性基于椭圆曲线离散对数问题的难解性 密钥长度大大地减小 是目前已知公钥密码体制中每位提供加密强度最高的一种体制 已被IEEE公钥密码标准P1363采用 ECC的性能 Symmetric Key Size (bits) RSA and Diffie-Hellman Key Size (bits) Elliptic Curve Key Size (bits) 80 1024 160 112 2048 224 128 3072 256 192 7680 384 256 15360 521 NIST Recommended Key Sizes 椭圆曲线的概念和分类 定义：椭圆曲线是一个具有两个变量x和y的三次方程，它是满足： y2+a1xy+a3y=x3+a2x2+a4x+a6 的所有点(x,y)的集合，外加一个零点或无穷远点O 这里系数a1, a2, a3, a4, a6需满足特定的条件 实数域上的椭圆曲线 实数域上的椭圆曲线是对于固定的a、b值，满足形如方程： 　　　 　y2=x3+ax+b　　　　　　　 的所有点的集合，外加一个零点或无穷远点 其中a、b是实数，x和y在实数域上取值 实数域上的椭圆曲线 动画 有限域GF(p)上的椭圆曲线 GF(p)域上的椭圆曲线是对于固定的a、b值，满足形如方程： 　　 　　y2=x3+ax+b (mod p)　　　　　　　 的所有点的集合，外加一个零点或无穷远点，其中a、b，x和y在GF(p)域上取值 有限域GF(p)的直观动画 例子 Hasse定理 如果 是定义在GF(p)域上的椭圆曲线，E上的点的个数记为#E，则： 有限域GF(2m)上的椭圆曲线 是对于固定的a、b值，满足形如方程： 　　　　y2+xy=x3+ax2+b　　　　　　　 的所有点的集合，外加一个零点或无穷远点 其中a、b，x和y在GF(2m)域上取值 GF(2m)域上的元素是m位的串(直观示例) GF(2m)上的椭圆曲线例子 由多项式　　　　　定义的域GF(24)，选基元g=(0010)，则域上的元素可表示为 该域上的一条椭圆曲线如右图 g0=(0001) g1=(0010) g2=(0100) g3=(1000) g4=(0011) g5=(0110) g6=(1100) g7=(1011) g8=(0101) g9=(1010) g10=(0111) g11=(1110) g12=(1111) g13=(1101) g14=(1001) g15=(0001) 椭圆曲线加法规则 椭圆曲线上3个点位于同一直线上，那么它们的和为O 动画 加法规则的几何描述 椭圆曲线的加法规则(GF(p)上) 条件： 加法规则1： 加法规则2： 加法规则3：互逆点 加法规则4：加法交换律 加法规则5：加法结合律 加法规则6： 加法规则7 ： 例子 GF（23）上椭圆曲线 ： 例子 GF（23）上椭圆曲线 ： 设： 求P1＋P2 求2P1 椭圆曲线的加法规则(GF(2m)上) 加法规则3 ′ ： 　　如果　　　，则 加法规则6′ ： 加法规则7′ ： 两个定义 标量乘 椭圆曲线上点的阶 P是椭圆曲线E上的一点，若存在最小的正整数n，使得nP=O，则称n是点P的阶 ，记为ord(P) 椭圆曲线上的离散对数问题(ECDLP) 已知椭圆曲线E和点P，随机生成一个整数d，容易计算:Q=d*P，但给定Q和P，计算d就相对困难 已知Q=d*P，给定Q和P，求d的问题称为椭圆曲线上的离散对数问题(ECDLP) 一般说来，选择合适的椭圆曲线，ECDLP难度远大于素域上的离散对数问题 ECC：基于ECDLP的密码体制 ECELG—椭圆曲线的ElGamal密码体制 ECMO—椭圆曲线Massey-Omura密码体制 ECDH—基于椭圆曲线的D-H密码交换 例：取p=47, q=61时, n=2867, ?(n)=(47-1)(61-1)=2760，可取SK=167，PK=1223 Q X1 X2 X3 Y1 Y2 Y3 1 0 2760 0 1 167 16 0 1 167 1 -16 88 Extended Euclid(f, d) （设 f d） (X1,X2,X3)←(1,0,f); (Y1,Y2,Y3)←(0,1,d); :loop if Y3=0 then return gcd(f, d)=0; i