素域上椭圆曲线密码体制软件实现的几个问题论文.pdfVIP

江苏省通信学会论文集 素域上椭圆曲线密码体制软件实现的几个问墨 赵小龙，王衍波 10007 解放军理工大学通信工程学院电子信息工程系，江苏南京，2 恭蔓l本文讨论了在32位平台上用软件实现素域上椭圆曲线密码体制时应考虑的一些实际问题，涉及参数的选取，素域巾 元素的表示，混合坐标的使用等，特别的改进了倍点运算的滑动窗口算法，减少了预计算量。 关键词t椭圆曲线密码体制素域倍点运算滑动窗口法 1．引言 于非超奇异椭圆曲线上离散对数问题求解的困难性，目前还没有解决此类问题的亚指数时间算法，这使得 ECC密钥短、处理速度快、存贮空间小、 ECC成为已知单位安全强度最高的公钥密码体制。与RSA相比， 带宽要求低、抗攻击性强，是开放的计算机网络、数据通信、新闻媒体、移动通讯和电子商务等最理想的信 的标准。 ECC的实现受到多种因素的制约，如安全要求、应用平台、计算环境和通信条件等都会对其产生影响， 不同条件下实现方法也不尽相同。本文讨论了在32位PC平台上用软件实现素域上椭圆曲线时应考虑的一 些问题，包括椭圆曲线参数的选取，素域中元素的表示，混合坐标的使用和快速的k倍点算法。 2．参数的选择 在选择参数构建椭圆曲线密码体制时，应从ECC的安全性和实现速度是两方面进行考虑。辟上椭圆曲 线的一般定义方程为 E：y2兰x3+ax+b(modp)，(口，b∈‘，4a3+27b2≠o)， 数选择问题。 2．1安全性的考虑 素数的P大小与ECC的安全性直接相关，基本要求是P应该足够大从而使R上的椭圆曲线离散对数问 广泛认可的Pollard 致相等，故素数P的比特长至少为普通分组密码密文块长度的两倍。 rho算法攻击，拌耳邝)必须被一个大于2160的素数整除； 为抗SSA攻击，满足j|}E(C)≠P；(3)为抗Pollard 中k取20。 在实现时可行的方法是先选择一个合适的阶撑以昂)，然后根据这个阶确定珥b的值，构造一个具有这个 阶的椭圆曲线【4】【51。 259 ——．． 望莶宣望笪堂垒笙壅叁． 2．2实现速度上的考虑 素数都有非常快速的模约算法，但由于它们的结构性过强，使得以其为底域的椭圆曲线的安全性受到质疑．。 (算法中大整数的表示采用了§3中说明的R中元素的表示法)。 输出：amodpl92。． 1．定义192比特整数： ^=(％，口l，口2，口3，a4，a5，口6，吗，％，a9，qo，q1)口， J2=(a12,口13，口14，015，口12，n13，口14，口15，0，0，0，o)丑， 巳=(o，0，0，o’呸6，口17，qB，oi9，q6，口17，q8，口19)口， ‘=(口加，口2l，口22，口23，口20，口2l，口篮，口23，口20，口2l，口22，口23)口 4 2．输出‘+s2+s3+s4 roodPt92。 更快的倍点算法，同时由于昂上椭圆曲线的半数同构类均有口=一3的表达式，故这种选择也不失一般性。 3．厅中元素的表示 出于ECC安全性的考虑，素数P的长度至少为150比特，这远远超过了32位平台标准数据类型的容量， 因此需要借助计算机内存单元的逻辑顺序来表示和处理素域运算。为提高运算速度和最大限度的利用系统资 源，在用C++实现时以unsignedshort型(16比特)的数组表示素域中的元素，这样unsignedlong型(32比 short型的运算结果，通过编译器把素域上的运算转化为CPU寄存器的算术运算。 特)可以完全接受unsigned 对n∈R，在内存中的表示格式为： n=(no，，lI，，12，…，吩一1)8，z=Ln，B-J+1，0≤惕B，(f=o，1，…，z一1)， 这里的曰