第04章节椭圆曲线密码体制ECC.pptVIP

　　　　　 对于椭圆曲线上的点可以定义一种形式的加法：如果一个椭圆曲线上的三个点处于一条直线上，那么它们的和为O。从这个定义可以导出椭圆曲线上点的加法法则。 (1) O是加法的单位元，因而O＝－O；对于椭圆曲线上的任何一点P，有P+O＝P。 (2) 一条与x轴垂直的线和曲线相交于两个x坐标相同的点P1=(x，y)和P2＝(x,－y)，同时它也和曲线相交于无穷远点，因此P1+P2+O＝O。因而一个点的负值是与其有着相同x坐标和相反的y坐标的点，如图4.1(a)所示。 (3)要对具有不同x坐标的两个点Q与R进行相加，先在它们之间画一条直线并求出第三个交点P1。容易看出这种交点是惟一的。 注意到Q+R+P1＝O，有Q+R＝－P。 　　　特别地，当Q=R时，相当于对一个点Q加倍，只需画出一条切线并求出另一个交点S，那么Q+Q=2Q=－S。 显然，根据定义，此类加法满足交换率和结合率.而一个点的倍乘定义为 nP＝P+P+P+……+P 4.4.2 有限域上的椭圆曲线 密码学中关心的是有限域F上的椭园曲线。讨论比较多的是素域Fp上的椭圆曲线，这里P是一个素数。选择两个小于P的非负整数a和b满足 4a3 + 27b2 (mod p) ≠ 0 用Ep(a，b)表示如下模p的椭圆群中的点(或如下有限域Fp上的椭圆曲线的点)，再加上一个无穷远点O。 设(x，y)是Ep(a，b)中的点，x和y是小于p的非负整数，则有如下椭圆曲线方程： y2≡ x3 + ax + b (mod p) 如取p＝23，a=b=l，有 4*13 + 27 * 12 (mod 23 ) ＝8 ≠ 0， 则y2=x3 + x +1 是椭圆曲线。因此E23(1，1)是一个模23的椭圆群。产生E23 (1，1)是中点的过程如下： (1) 对x=0,1,2,…,p-1, 计算x3 + x +1 (mod p)； (2)对于上一步骤得到的每个结果确定它是否有一个模P的平方根，如果没有，则E23 (1，1)中没有具有与该结果相应的x坐标的点。如果有，就有两个平方根y和p－y，从而点(x，y)和(x，p－y)是E23 (1，1)中的点(特别情况下，如果结果是0，只有一个点(x，0))。 椭圆曲线E23(1，1)上的点 Ep(a，b)上的加法规则 P十O＝P； 如果P＝(x , y)，则P + ( x , y) =O，点(x，－y)是P的加法逆元，记为 －P； 如果P＝(x1，y1)，Q＝(x2，y2)，并且P≠Q，则P + Q = (x3，y3)由下列规则确定: x3≡λ2 – x1 –x2 ( mod p ) y3≡λ ( x1 – x3) –y1 (mod p ) 其中： (y2-y1)/(x2－x1) 如果P≠Q λ= (3x12－a)/2y1 如果 P=Q 例子： 考虑P=(3,10) , Q=(9,7) 则： λ=(7－10)/(9－3)=－3/6=－1/2=11 mod 23 x3=112－3－9=109 17 mod 23 y3=11(3－(－6))－10=89 =20 mod 23 因而P+Q=(17,20). 计算2P: λ=(3(32)+1)/(2*10)=5/20=1/4=6 mod 23 x3=62－3－3=30=7 mod 23 y3=6(3－7)－10=－34= 12 mod 23 因此 2P=(7,12) 　　　椭圆曲线群中的离散对数也属于难解问题。与通常理解的对数概念不同，由于椭圆曲线群中的运算是加法，加法的倍数对应于原来乘法的指数，因而椭圆曲线群中的离散对数问题是指已知群中的Q和R，求解方程： 　　　　　R＝kQ　中k值的问题。 　 　　对基于F23的椭圆群y2＝x3 + 9x + 17，求R=(4，5)对于Q=(16，5)的离散对数,最直接的方法就是计算Q的倍数，直到找到R。 Q＝(16，5)，2Q=(20，20)，3Q＝(14，14), 4Q=(19，20)，5Q＝(13，10)， 6Q＝(7，3)， 7Q＝(8，7)，8Q＝(12，17)，9Q＝(4