9 ECC研讨.ppt

椭圆曲线上点的阶 P是椭圆曲线E上的一点，若存在最小的正整数n，使得nP=O，则称n是点P的阶 ，记为ord(P) 例如在椭圆曲线E17(2,2)上，点P=(5,1)的阶为19 椭圆曲线上点的循环群 例如椭圆曲线E17(2,2)上，点P=(5,1)的标量积可以生成E17(2,2)上的所有19个点，所以E17(2,2)上的所有点构成一个循环群 又因为19是素数，所以E17(2,2)上除了无穷远点O以外，其它点都是这个循环群的生成元 椭圆曲线上点的循环群 如果椭圆曲线E上点P的阶存在, 由群论中的拉格朗日定理知ord(P) | #E 有限域上的椭圆曲线上所有的点P的阶都是存在的 有限域上的椭圆曲线点加群是有限生成群，是循环群或两个循环群的直积 椭圆曲线上的离散对数问题(ECDLP) 已知椭圆曲线E和E上的一个点P，随机生成一个整数d，容易计算点T=dP，但给定点T和P，计算d就极其困难 已知T=dP，给定T和P，求d的问题称为椭圆曲线上的离散对数问题(ECDLP) 一般说来，选择合适的椭圆曲线，ECDLP难度远大于素域上的离散对数问题 ECC：基于ECDLP的密码体制 ECELG—椭圆曲线的ElGamal密码体制 ECDH—基于椭圆曲线的D-H密码交换 将信息编码为椭圆曲线上的点 没有多项式复杂度算法能够保证把信息编码为椭圆曲线上的点 常用的编码方法是Kobliz概率式算法 所谓概率式，就是会有部分信息无法编码，实际考虑无法编码的概率为2-30 将信息编码为椭圆曲线上的点 将信息m对应到E上某点的x坐标值。然而，m3+am+b模p的可开方的概率为0.5，因此可添加若干位在m上，即选固定的整数K，计算 使得m3+am +b模p可开方，如此便可对应到E上的一点；而失败的概率，即m无法对应到E上的一点的概率是为2-K，其中(m+1)Kp 而接收方收到信息Pm=(x, y)只需计算m = ?x/K? 给定椭圆曲线： 将信息编码为椭圆曲线上的点—例子 考虑椭圆曲线 E: y2=f(x)=x3+82x+502773 (mod 502807) 试将明文m = 2596编码为E上的点 解：取K=20，j取0到19之间的整数，依次计算 m = 20m1+j 使得f(m)模p=502807可开方，经计算，当m = 51920时，即f(m) = 465711时满足条件。因为p = 502807 = 3 mod 4，计算 y = 465711(p+1)/4 (mod p) = 362503 得明文m = 2596编码到椭圆曲线上的点为 Pm = (51920, 362503) 解码时：m = ?m /20? = 2596 ECELG－椭圆曲线ElGamal密码体制 任务：Alice给Bob发送信息m 约定公开参数: 一个基域GF(p)和定义在该基域上的椭圆曲线Ep(a,b) 椭圆曲线E上的一个拥有素数阶n的点G，称为生成元 有限域GF(p) ，椭圆曲线参数a,b和生成元G是公开信息 Bob选取随机数(私钥)d，产生公钥B = dG并发给Alice Alice选取随机数(私钥)i，并计算kE = iG Alice将信息m嵌入椭圆曲线得到点Pm Alice计算并向Bob发送(kE， Pm+ iB) Bob解密： Pm+ iB - dkE ＝ Pm ECELG例子 椭圆曲线 设Bob的私钥为d = 7，则其公钥为： 1)设Alice的消息m编码后为　　　，且选取了随机数 2)Alice计算：　　　　　，　 　　　　　　　　　　 3)Alice向Bob发送消息： 4)Bob计算： 5)Bob计算： 椭圆曲线密钥交换协议（ECDH） 选择参数　　　，确定椭圆曲线　　 ：　　　　，选择一个基点G，要求G的阶n是一个足够大的素数。E和G公开 A选择一个比n小的整数dA，计算 B选择一个比n小的整数dB，计算 A计算 　　　，B计算　　　　 ECDH例子 取p = 211，a = 0，b = -4，即曲线为：y2 = x3 - 4 取G = (2,2)，可计算241G = O，即G的阶为241 设A的私钥为dA=121，则A的公钥 PA = 121(2,2) = (115, 48) 设B的私钥是dB = 203，则B的公钥 PB = 203(2,2) = (130,203) 那么双方通信的秘密密钥是 K = 121(130,2