数字认证：第二讲v2分解.ppt

椭圆曲线ECC密码 Elliptic Curve Cryptosystem以高效性著称，由Neal Koblitz和Victor Miller在1985年分别提出。ECC的安全性基于椭圆曲线离散对数问题的难解性，密钥长度大大地减小。 有限域上的椭圆曲线 GF(p)域上的椭圆曲线是对于固定的a、b值，满足形如方程 　　　　Y2=X3+aX+b mod(p)　　　　　　　 的所有点的集合，外加一个零点或无穷远点。 其中，a、b，X和Y在GF(p)域上取值。 方程分析： Y2说明是X轴对称函数； 给定c=Y2 ，那么X3+aX+b=c是3次方程，最多有3个根，即与X轴相交最多3点； X3+aX+b必须大于等于零，这意味着x0成立，但x0只有有限区间满足。 椭圆曲线与直线相交的点 P1 P2 P’ P3 椭圆曲线加法 令无穷远点为O （说明） 如果P=（x，y），那么-P=（x,-y) 如果R是过P和Q的直线与E的交点，那么P+Q=-R P+Q+R=O 给定椭圆曲线上任意两点P，Q，R，我们有 P+Q=Q+P :交换 P-P=O；P+O=P ：零点 P+(Q+R)=(P+Q)+R ：结合 椭圆曲线加法 Abelian群 具有交互律的群（Group with communicative property） 群: {G, ?} G: a set of elements ? : 任意元素对(a,b)上的二元操作 规则（obeys）: closure: a?b is also in G associative law: (a?b)?c = a?(b?c) 结合 has identity e: e?a = a?e = a 幺元/零元 has inverses a-1: a?a-1 = e 逆元 Public ciphers based on an abelian group Exponentiation (repeated multiplication) in RSA and D-H algorithm Idea: Find another abelian group! In elliptic curves, we define the addition operation such that it forms an abelian group k times hard problem k times 　　*　　　　　　 Abel群 ： 加法规则1：零元 加法规则2：逆元 加法规则3：结合律 加法规则4：交换律 椭圆曲线的加法规则（交换群） Elliptic curve y^2=x^3-x on finite field Z89 椭圆曲线密码 椭圆曲线的离散对数问题 给定椭圆曲线E和点G 随机选择整数k,计算Q=[k]G 给定G,Q,计算k困难的 信息在椭圆曲线上点的表示 在有限域E上，任何X值对应至少2个点 G=(x,y)，x是随机的，y是固定的 信息利用率只有1/2 需要进行计算平方剩余 EC discrete log problem example: E23(9,17) EC: P=(16,5), Q=(4,5), determine k s.t. Q=[k]P Brute force method: P=(16,5); [2]P=(20,20); [3]P=(14,14); [4]P=(19,20) [5]P=(13,10); [6]P=(7,3); [7]P=(8,7); [8]P=(12,17); [9]P=(4,5) 椭圆曲线加密算法 选择椭圆曲线E和生成元G 保证其DL问题是安全的 用户选择私钥：整数 nAn 用户计算公钥：PA=[nA]G 加密Pm : Cm={[k]G, Pm+[k]PA}, k随机整数 解密Cm: (Pm+[k]PA)–[nA]([k]G) = Pm+[k*nA]G–[nA*k]G= Pm Example: ECC encryption EC curve on Zp : y2 = x3 -x + 188 G = (0, 376), p = 751 A’s public key PA = (201, 5) Plaintext Pm=(562, 201) B selects random k=386, then encryt Pm as Cm={kG, Pm+kPA} = {386(0,376), (562, 201)+386(201, 5)} = {(676, 558), (385, 328)} 　　*　　　　　　 椭圆曲线上的公钥密码体制的优点：速度快、安全性高、密钥短、灵活性好。 椭圆曲线密码体制（ECC） EC