SM2椭圆曲线参数选取.docVIP

关于SM2椭圆曲线参数选取的资料 一．安全的椭圆曲线的选取 1.椭圆曲线上的公钥密码体制的安全性是建立在椭圆曲线离散对数的基础上, 但并不是所有椭圆曲线都可以应用到公钥密码体制中, 为了保证其安全性, 必须选取安全椭圆曲线,即只有选到合适的有限域GF(p)和椭圆曲线(ECC)，能够抵抗攻击ECDLP算法的攻击，才能保证所选ECC的安全性。 若某椭圆曲线存在优于n1/2级（n是基点阶次）计算复杂度的攻击方法，则称此曲线为弱椭圆曲线。Fp上的超奇异椭圆曲线（有限域Fp的特征整除q+1-#E（Fp））和Fp上的异常曲线（#E（Fp）=p）都是弱椭圆曲线。（国密局文档p4，p25A.4抗攻击椭圆曲线满足的条件）。下面是选取曲线时应遵循的原则：（一种椭圆曲线参数生成的快速算法） （1）为了抗击Pollard-ρ攻击，所选取椭圆曲线的阶#E(GF(p))的分解式中应该包含一个大的素数因子，目前应不小于160bit； （2）为了抗击Weil对和Tate对的攻击，对于1≤k≤30，n不能除pk-1（不宜选取超奇异椭圆曲线）； （3）为了抗击Semaev-Smart-Satoh-Araki的攻击所选曲线的阶不能等于该曲线所定义的有限域的阶，即#E(FP)≠p（不宜选取异常椭圆曲线）； （4）对于二进制域GF(2m)的度m不宜为合数。Gaudry，Hess和Smart提出，若m有小约数l（l=4），存