5.5.3elgamal密码体制和椭圆曲线体制.pptVIP

下周二停课1次;4.椭圆曲线密码体制的安全性 目前的有效算法表明，在椭圆曲线上求解离散对数问题，其算法复杂性是完全指数时间，因此一般认为它比大数分解问题和Zp*上的离散对数问题要难。;但对于某些椭圆曲线，已有一些有效攻击方法。 例如当椭圆曲线点群E(Fq)的阶也是q时，就能容易求解离散对数，其有效算法由Semave,Smart和Satoh,Araki分别独立给出。这类椭圆曲线我们称为反常椭圆曲线，在实际使用时应去除这类曲线。 除此之外，Menizes,Okamoto和Vanstone(MOV)提出了一种方法，当(|E(Fq)|,q)=1时，可将E(Fq)上的离散对数问题化归到有限域上的离散对数问题。;在构造椭圆曲线密码体制时，应避免上述两类椭圆曲线。 用合适的椭圆曲线可以构造安全强度高的公钥密码体制。 根据现有结论，使用160bit模的椭圆曲线密码体制与1024bit模的RSA有同样的密码安全强度，其加解密速度则比1024bit模的RSA快近10倍，等同于RSA采用低加密指数的速度，因此应用前景有可能较广。;对于椭圆曲线E通常有2种情形： (1)E是域Fp上的椭圆曲线，p为素数，a是E中阶为素数q=|E|/h的元素，典型的是h=1,2,4 (2) E是域F2n上的椭圆曲线，p为素数，a是E中阶为素数q=|E|/h的元素，典型的是h=2,4 有估计，安全性要保持到2020年，一般应取p为160位。 在2000年4月，联合了40个国家，9500台计算机完成了Certicom公司发出的ECC2K-108挑战，解决了定义在F2109上的椭圆曲线的离散对数问题;3.5.5 概率加密;对给定的公开密钥，对一个确定的明文加密总是得到一个相应的密文，因此攻击者就可采用已知明文进行攻击。 如果对于一个明文，在给定密钥下，加密结果不是确定的，而是概率的，使一个明文在同一个密钥下可对应多个密文，就使得上述攻击变得相当困难。 ElGamal密码体制以及椭圆曲线上的ElGamal密码体制属于这类。 ;定义3.4：一个概率公钥密码体制是一个6元组(M,C,K,E,D,R)。其中M、C、K分别是明文空间、密文空间和密钥空间，E和D分别是公开加密规则集和秘密解密规则集，R为随机量空间，它们满足以下要求： (1)对每个k?K，每个Ek?E，Dk?D，有 Dk(Ek(m,r))=m(对?m?M, ?r?R)，并且当m?m(m?M)时，有Ek(m,r)? Ek(m,r) 其中Ek：M?R→C，Dk：C→M (2)设ε是安全参数，对任意k?K，任意m?M，在C上定义一个概率分布Pk,m。 这里Pk,M(c)表示在给定密钥k和明文的条件下c是密文的概率(概率在所有r?R上计算)。 如果m、m?M，有m?m且k?K，则概率分布Pk,m ?Pk,m’不是ε可区分的。;1.Goldwasser-Micali概率公钥密码体制 Goldwasser-Micali在1984年给出了一个概率公钥密码方案。 该体制是基于奇合数n平方剩余难解问题建立的。 奇合数n平方剩余问题:对于给定的一个奇合数n和整数a，决定a是否为模n的平方剩余，即判定x2=a mod n是否有解，若有解，则a是mod n的平方剩余，否则a是模n的非平方剩余。;Goldwasser-Micali的方案具体过程： 设N表示正整数集，n?N。令Zn*={x|1≤xn,(x,n)=1}， Zn={x|1≤xn,J(n,x)=1}。 在Zn上定义谓词Qn：;(1)密钥生成 在给定安全参数k(k是正偶数)后，每个用户I随机选取两个k/2 bit的互异素数pI,qI，令nI=pIqI，随机选取模nI的非平方剩余yI?Z’nI，然后将{nI,yI}作为公开密钥，而pI,qI则作为秘密密钥。 (2)加密过程 A向B发送信息m=(m1m2?ml )?{0,1}l，则 for i=1 to l do { 随机选取x?Z*nB， if mi=1 then ei=x2 mod nB else ei=x2y mod nB} 然后将e1e2?el发送个B。 (3)解密过程 用户B在收到密文e1e2?el后，计算 for i=1 to l do mi=QnB(ei)可求出所有明文。;容易证明上述解密过程是正确的。 在Goldwasser-Micali概率公钥密码体制中，明文m的密文不是唯一的，而是依赖于随机量x。 已有分析结论表明该方案有较强的安全性。但缺陷是密文数据扩展为明文的k倍，而通常k?664，故实用价值不大。;2.Blum-Goldwasser概率公钥密码体制 Blum-Goldwasser在1984年给出了另一个概率公钥密码方案。该体制同样基于平方剩余难解问题建立。其基本思想是利用BBS发生器产生l bit的伪随机序列作为