5.4.ECCnew.pptVIP

第5章 公钥密码 * 密码学基础 * 密码学基础 群（Group） 半群 群 Abel群 结合律 √ √ √ 零元或单位元 √ √ 可逆 √ √ 交换律 √ 或加、或乘 对应 加群或乘群 或其它运算 背景知识 域（Field） 设F是具有两种结合法（通常表示为加法和乘法） 域 有限域 元素 有限 加法 交换群， 恒等元记为0 √ √ 乘法 Abel群 恒等元记为1 √ √ 加法和乘法间 分配律 √ √ 背景知识 5.6 椭圆曲线密码 椭圆曲线理论在公钥密码领域有着重要的应用，以椭圆曲线上的点为元素定义的Abel群是构造多种公钥密码体制的基础。 优点： — 较短的密钥获得同样的密码强度 现状： 已成为近年来一个非常有吸引力的研究领域，特别是在移动通信安全方面。椭圆曲线密码体制已被IEEE公钥密码标准P1363采用。 5.6.1 椭圆曲线的定义及性质 Weierstrass方程： 通常所说的椭圆曲线是指由Weierstrass方程所确定的平面曲线，其中a,b,c,d,e取自某个域F并满足一些简单条件。 椭圆曲线通常用字母E表示，满足曲线方程的序偶（x,y）就是域 F 上的椭圆曲线 E 上的点。 可以是数域，也可以是某个有限域 。 除了满足曲线方程的所有点（x,y）之外，还包括一个特殊点O，称为无穷点。 椭圆曲线的图形并非椭圆，只是因为它的曲线方程与计算椭圆周长的方程类似，而将其叫做椭圆曲线。 Weierstrass方程 上面的Weierstrass方程用 代替 ，得到： 其中， ， ， 。 因此，椭圆曲线关于x轴对称。 椭圆曲线的例子 椭圆曲线的定义及性质 在椭圆曲线E上定义一个二元运算，使其成为Abel群，通常称这个运算为加法，并用 表示，其定义如下： （续） 这是因为P与 的连线延长到无穷远时将经过无穷远点O，所以P, 和O三点共线，即 ＝O， ， 。而椭圆曲线E是关于x轴对称的，所以可以将－P定义为P点关于x轴的对称点 此外还有，－O＝O。 即 是P与Q的连线L交椭圆曲线E上另一点R关于x轴的对称点。因为 ，所以R是唯一的 P(x1,y1) Q(x2,y2) R -R 点P和Q 不同时求解点R: (x3,y3) (x3,-y3) P(x1,y1) R -R (x3,y3) (x3,-y3) （续） （续） 假设 和 是椭圆曲线 上的点； ※ 如果P和Q关于x轴对称： ※ 否则 ： 则根据椭圆曲线的方程和P、Q连线的方程可以计算出R点的坐标(x3,y3)如下： (续) 实际上，Zp上的椭圆曲线只是一些不连续的点，并不像实数域上椭圆曲线有直观的几何解释，但同样定义的加法运算能够保证 仍然是一个Abel群。 其中： 例 5.7 给定 上的一条椭圆曲线 ，按下述步骤可计算出 中的所有点（无穷远点除外） Euler准则：  计算结果： 是否为平方剩余 0 6 否 1 8 否 2 5 是 4，7 （2,4）（2,7） 3 3 是 5，6 （3,5）（3,6） 4 8 否 5 4 是 2，9 （5,2）（5,9） 6 8 否 7 4 是 2，9 （7,2）（7,9） 8 9 是 3，8 （8,3）（8,8） 9 7 否 10 4 是 2，9 （10,2）（10,9） （续） 选取 为生成元，我们来计算g的幂。 这里的运算是群上的加法，所以群里的幂就是倍乘，即 。 （续） 1）先计算 ，这里 （续） 所以有： 因此， 。 （续） 2）计算 ，这里， 所以有： 因此， 。 （续） 依次可计算出生成元g的所有幂，结果如下： 可以看出 是 的生成元。 椭圆曲线上的密码体制 使用有限域上椭圆曲线产生的Abel群 来构造的离散对数问