crypto4c-ch10-密钥管理及其他公钥体制.ppt

/ecc_tutorial/ecc_twopoints.html EC：P＋Q＝R 动画演示加法 素域上的EC 在有限域Zp上的简化EC y2≡x3＋ax＋b mod p 其中4a3＋27b2 mod p ≠ 0 （这是一个离散点的集合） 举例 y2≡x3＋18x＋15 mod 23 y2≡x3＋17x＋15 mod 23 EC (1) EC (2) 动画演示加法（离散点） EC上的离散对数问题（ECDLP） Q＝k×P中的k计算也是极其困难的 k×P表示k个P相加：P + P + … + P 在DH密钥交换中 使用了y＝gx mod p中x的计算困难性 同样在ECC中 将使用Q＝kP中计算k的困难性 有两个应用 密钥交换 加密解密 10.4 椭圆曲线密码学ECC ECC利用EC上的离散对数难题(ECDLP)，这和利用Zp*上的离散对数难题(DLP)是一样的方法。 在一般数域上的离散对数问题（以及大数分解问题）存在亚指数级时间复杂度求解算法，而ECDLP只有纯指数算法。 使用EC的密钥交换（D-H） 步骤 y2≡x3＋ax＋b mod p 选择素数p(得约160＋比特)和参数a、b 选择一个生成点G＝(x1，y1) p、a、b和点G是公开的 A：选取秘密的数Na，计算Pa＝Na×G B：选取秘密的数Nb，计算Pb＝Nb×G 交换Pa，Pb A：计算K＝Na×Pb＝Na×Nb×G B：计算K’＝Nb×Pa＝Nb×Na×G 分析 攻击者得求Na和Nb，就是P＝?×G中的? 用EC的加解密 准备 曲线参数p、a、b、G，y2≡x3＋ax＋b mod p A有自己的私钥Na，并产生公钥Pa＝Na×G B有自己的私钥Nb，并产生公钥Pb＝Nb×G 加密 （A要给B发送消息） 对明文m的编码点Pm，选择随机数k，密文 C＝{C1，C2} ＝ {k×G，Pm＋k×Pb} 解密： 编码点Pm＝C2－Nb×C1，因为 ＝(Pm＋k×Pb)－Nb×k×G ＝Pm＋k×Nb×G－Nb×k×G ＝ Pm 用EC的加解密 原理 先是通过k×Pb掩盖Pm (即m)，又通过k×G掩盖k 知道陷门Nb则可以轻松恢复之 分析 攻击者解C1＝k×G中的k困难性 关于速度 速度 在密钥长度相等的情况下，RSA和ECC的速度相当； 但是在相同的安全强度要求下，ECC可以使用较少的位数就可以； 故 ECC较好 适合嵌入式设备中 ECC vs. RSA RFC 4050 Using the ECDSA for XML Digital Signatures ECC STD PKCS#13 proposal ECC Cryptography Tutorial / ANSI X9.42($100) ANSI X9.62/FIPS 186-2 IEEE P1363: Standard Specifications For Public Key Cryptography /groups/1363/ ECC - Elliptic Curve Cryptography /resources/ecc_tutorial/ecc_tutorial.html /~dpj/elliptic.html /elliptic.htm ISO/IEC 15946 关键词 Key Terms abelian group binary curve cubic equation Diffie-Hellman key exchange discrete logarithm elliptic curve elliptic curve arithmetic elliptic curve cryptography finite field key distribution key management man-the-middle attack prime curve primitive root public-key certificate public-key directory zero point 小结 公钥算法没有对称算法那样多，但是对称算法都是基于替代和置换的组合应用技巧，而公钥算法各自使用不同的背景难题。 目前常用有三个背景难题：大数分解(IFP)，离散对数问题(DLP)，椭圆曲线上的DLP(ECDLP)。 随着计算能力的日益增长，公钥算法的密钥宽度也需要与时俱进。 公钥算法仍需要和对称算法结合使用，各自发挥优点，避免缺点。 Q A * 原版 “Cryptography and Network Security”, 4/e, by William S