椭圆曲线密码体制.doc

椭圆曲线密码体制 翁健 jianweng@sjtu.edu.cn 1. 实数域上的椭圆曲线 先看实数域上的椭圆曲线的各种例子（见小程序） 1.1实数域上椭圆曲线的定义 射影坐标下椭圆曲线的定义：设为一个域，表示的代数闭域，上的weierstrass方程： （1.1） 决定射影平面上的一条曲线。当曲线非奇异时，称曲线为上的椭圆曲线，记为。 由方程决定的曲线非奇异曲线上不存在使得，，同时为0的点（即满足方程的任意一点都存在切线）。 注： ▲ 是Weierstrass方程（维尔斯特拉斯，Karl Theodor Wilhelm Weierstrass,1815-1897），是一个齐次方程。 ▲ 椭圆曲线的形状，并不是椭圆的。只是因为椭圆曲线的描述方程，类似于计算一个椭圆周长的方程。 ▲椭圆曲线上有一个点（0，1，0）具有坐标，称该点为无穷远点。值得注意的是不是奇异点，。 椭圆曲线的例子： 不是椭圆曲线的例子： why?: 因为他们在（0:0:1）点处（即原点）没有切线。  当时，令，则（1.1）可变成如下形式： （1.2） 此时，曲线就由满足方程(1.2)的所有点连同无穷远点组成。 将（1.2）变为的形式，则曲线非奇异曲线上不存在使得，同时为0的点。 从而得到 椭圆曲线在仿射坐标下的定义：由方程（1.2）定义的非奇异曲线上的点连同无穷远点组成椭圆曲线。 值得注意的是，以前提供的图像可能会给大家产生一种错觉，即椭圆曲线是关于x轴对称的。事实上，椭圆曲线并不一定关于x轴对称。如下图: 1.2实数域上椭圆曲线的运算 任取椭圆曲线E上的两个交点，连接的直线（当时，取通过P的切线）与E交于第三点R，我们定义连接R与无穷点的直线与E的第三个交点记为  现在来推导通用情形的椭圆曲线 （1.3） 的运算公式： i)设,先来推导的表达式 通过与的直线，与的第三个交点即为。 将代入（1.3）得，即 即 ii)设，计算 a. 当时， b. 当时，过的直线为： 记L与E的第三个交点为，则，将直线L的方程代入式（1.3），得： 由此可得：，再将代入L的直线方程可以进一步求出和，最后根据求出i)可以求出 例：（见小程序） 运算具有如下性质： (1) 若直线L与E相交于三点，则 (2) 对任一，有 (3) 对任意有 (4) 对任一，存在上的一点，记为，使 (5) 设,则 注：第（5）非常重要，它是一个集合成为群的一个重要条件。 （群的条件：二元运算，结合律，单位元，逆元） 证明性质（5）要用到如下的一个几何性质：设三条直线和一条曲线交于九个点（允许重复）；若有其它三条直线与曲线交于九个点，若，则必有 。 （由两点确定一条直线知显然成立） 证明性质（5）: 选择椭圆曲线E上的三个不同点（此处只考虑这三个点不同的情形），取如下六条直线： 这样就可以得到三条直线交E于九个点： 及三条直线交E于九个点： 比较这两组交点，不难发现前面八个都是相同的，根据上面的命题结论，得到成立。 2．密码学中的椭圆曲线 前面介绍的是实数域上的椭圆曲线，能否用于密码学？ 不能！因为： 实数域上的椭圆曲线是连续的，有无限个点，密码学要求有限点。 实数域上的椭圆曲线的运算有误差，不精确。密码学要求精确。  为此，为此引入定义在有限域上的椭圆曲线。 2.1有限域上的椭圆曲线方程 下面按椭圆曲线所定义的有限域的特征值的不同类型来考虑椭圆曲线方程的不同形式： 通用形式： 当时 通过变换，式（1.2）可变为： （1.4） 其中 此时， E上没有奇异点 从而椭圆曲线方程为 当时 通过变换，式（1.4）可进一步变为： （1.5） 其中 此时， E上没有奇异点 从而椭圆曲线方程为 且 当时，可以将式（1.4）改写成： (1.6) 同理可以推出E上没有奇异点 若（1.6）中，此时得到 ，E上没有奇异点 若（1.6）中，此时通过变换，可得： ，E上没有奇异点 从而椭圆曲线方程为： 且 或 且 当时， 若，式（1.2）通过变换 ,可得 ，E上没有奇异点 若，式（1.2）通过变换，可得 ，E上没有奇异点 从而椭圆曲线方程为： 且 或 且 总结： 有限域上的椭圆曲线为： 通用 当时 当时 且 当时 且 或 且 当时， 且 或 且 通常采用大素数域或特征值为2的域来定义椭圆曲线，下面来讨论