密码学第1讲.pptVIP

第五章 公钥密码 公钥密码 数论简介 公钥密码体制的基本概念 RSA算法 椭圆曲线密码体制 RSA算法 RSA Algorithm RSA的安全性 |p-q|要大 p-1,q-1都应有大的素因子。 en且dn1/4,则d能被容易的确定。 对RSA的攻击－共模攻击 每一用户有相同的模数n 设用户的公开密钥分别为e1,e2,且e1,e2互素，明文消息为m,密文为 因为（e1,e2)=1,用欧几里德算法可求 r e1+s e2=1假定r为负数，从而可知由Euclidean算法可计算 (c1-1)r ? c2s=m mod n 对RSA的攻击－低指数攻击 令网中三用户的加密钥e均选3，而有不同的模n1, n2, n3，若有一用户将消息x传给三个用户的密文分别为 y1=x 3 mod n1 x n1 y2=x 3 mod n2 x n2 y3=x 3 mod n3 x n3 一般选n1, n2, n3互素(否则，可求出公因子，而降低安全性)，利用中国余定理，可从y1, y2, y3求出 y=x 3 mod (n1 n2 n3)。 由xn1, xn2, xn3，可得x3 n1 ? n2, ? n3，故有 椭圆曲线(ECC)密码体制 Elliptic Curve Cryptography 概述 获得同样的安全性，密钥长度较RSA短得多 被IEEE公钥密码标准P1363采用 椭圆曲线 椭圆曲线的曲线方程是以下形式的三次方程 y2+axy+by=x3+cx2+dx+e a,b,c,d,e是满足某些简单条件的实数。定义中包含一个称为无穷远点的元素，记为O. 椭圆曲线加法的定义 如果其上的3个点位于同一直线上，那么它们的和为O。 O为加法单位元，即对ECC上任一点P,有P+O=P 设P1=(x,y)是ECC上一点，加法逆元定义为P2=-P1=(x,-y) P1,P2连线延长到无穷远，得到ECC上另一点O,即P1,P2,O三点共线，所以P1+P2+O=O, P1+P2=O, P2=-P1 O＋O＝O,O=-O 椭圆曲线加法的定义 Q,R是ECC上x坐标不同的两点，Q+R定义为：画一条通过Q,R的直线与ECC交于P1(交点是唯一的，除非做的Q,R点的切线，此时分别取P1=Q或P1=R)。由Q+R+P1=O,得Q+R=-P1 点Q的倍数定义如下：在Q点做ECC的一条切线，设切线与ECC交于S,定义2Q=Q+Q=-S。类似可定义3Q=Q+Q+Q,…, 上述加法满足加法的一般性质，如交换律、结合律等 有限域上的椭圆曲线 曲线方程中的所有系数都是某一有限域GF(p)中的元素(p为一大素数)，最为常用的曲线方程为 y2=x3+ax+b mod(p) (a,b∈GF(p),4a3+27b2≠0 mod p) 例：p=23,a=b=1, 4a3+27b2=8 ≠0 (mod23),方程为y2=x3+x+1 mod(p)，图形为连续图形。我们感兴趣的是在第一象限的整数点。设Ep(a,b)表示ECC上点集{(x,y)|0≤xp,0 ≤yp,且x,y均为整数}并上O. 有限域上的椭圆曲线点集产生方法 对每一x(0≤xp且x为整数），计算x3+ax+b mod p 决定求出的值在模p下是否有平方根，如果没有则椭圆曲线上没有与这一x对应的点；如果有，则求出两个平方根。 Ep(a,b)上加法 如果P,Q∈ Ep(a,b) P+O=P 如果P＝(x,y),则(x,y)+(x,-y)＝O P＝(x1,y1),Q= (x2,y2),P≠-Q,P+Q= (x3,y3) x3=l2-x1-x2（mod p） y3=l(x1-x3)-y1 (mod p) 例：E23(1,1) P=(3,10),Q(=9,7) ECC上的密码 ECC上的离散对数问题 在ECC构成的交换群Ep(a,b)上考虑方程Q＝kP，P,Q∈Ep(a,b),kp.由k和P求Q容易，由P,Q求k则是困难的。 由ECC上离散对数问题可以构造Diffie-Hellman密钥交换和Elgamal密码体制 Diffie-Hellman密钥交换 取一素数p≈2180,两个参数a,b,得到Ep(a,b). 取Ep(a,b)的一个生成元G(x1,y1),要求G的阶是一个非常大的素数。(阶是满足nG=O的最小正整数n). Ep(a,b)和G公开，A和B密钥交换过程如下 A选小于n的整数nA作为秘密钥，并有PA=nAG作为公钥 B类似选取自己的秘密钥nB和公开钥PB A和B分别由K=nAPB和K＝nBPA产生共享的秘密钥 攻击者如想获得K，必须由PA和G求出nA或PB