-2公开密钥体制ecc.pptVIP

阶(order) 椭圆曲线的阶是指椭圆曲线的点个数 椭圆曲线中的点P的阶是指满足kP=O的最小的整数k 椭圆曲线的离散对数问题 给定椭圆曲线上的点 P 和点 Q , 寻找数 k 使得 kP = Q， 其中k称为Q基于P的离散对数。 例如: 对于椭圆曲线： y2 = x3 + 9x + 17 over F23, 求点Q = (4,5) 基于点 P = (16,5)的离散对数k 椭圆曲线的离散对数问题的遍历求法 计算kP, 直到的到Q为止 P = (16,5) 2P = (20,20) 3P = (14,14) 4P = (19,20) 5P = (13,10) 6P = (7,3) 7P = (8,7) 8P = (12,17) 9P = (4,5) 离散对数为k = 9.  ECElGamal加密体制 主要参数： 1. 选取有限域Fp、椭圆曲线Ep及基点P∈E(p) (这些参数可由一组用户公用). 2. 选取随机数a, 计算Q=aP.{计算aP存在标量乘法，；而通过Q和P计算a，只能使用类似于椭圆曲线的离散对数问题的遍历求法，现在比较主流的破解算法为大步小步算法。} 3. Q作为公钥, a作为私钥 ECElGamal加密体制的加/解密过程 加密： Bob发送秘密消息m给Alice：: 1.将消息m转化为椭圆曲线上的点M; 2.随机选取正整数k. 3.计算kP, kQ=(x, y),若x=0或y=0返回第2步,直到 x≠0,y≠0. 发送C=(kP,M+kQ)给Alice. 解密： 收到密文C后, Alice计算a(kP)=kQ,得到M,进而的到明文m 举例 取p=751，Ep(-1,188)， 即椭圆曲线为y2≡x3-x+188, Ep(-1,188)的一个生成元是G=(0,376)， A的公开钥为PA=(201,5)。 假定B已将欲发往A的消息嵌入到椭圆曲线上的点Pm=(562,201)， B选取随机数k=386，由kG=386(0,376)=(676,558)，Pm+kPA=(562，201)+386(201,5)=(385,328)， 得密文为{(676,558),(385,328)}。 密钥长度比较 安全级别 对称密码 ECC(n) DSA/RSA(模） 56 56 112 512 80 80 160 1024 112 112 224 2048 128 128 256 3072 192 192 384 7680 256 256 512 15360 公钥密码系统中ECC与RSA的对比 RSA算法的特点之一是数学原理简单、在工程应用中比较易于实现，但它的单位安全强度相对较低。 一般数域筛(NFS)方法去破译和攻击RSA算法，它的破译或求解难度是亚指数级的。 ECC算法的数学理论非常深奥和复杂，在工程应用中比较难于实现，但它的单位安全强度相对较高。 Pollard rho方法去破译和攻击ECC算法，它的破译或求解难度基本上是指数级的。 公钥密码现状 大素数的因式分解 离散对数 椭圆曲线 公钥密码方案的实际应用 实现速度 通常用于交换对称算法的加密密钥 数字签名算法 下次课内容 数字签名与密钥管理 下次课再见！ * 山东大学的博士生导师王小云教授 ,著名数学家潘承洞教授攻读解析数论方向的硕士研究生 . 技术进步使穷举搜索成为可能 1997年1月28日，RSA公司发起破译RC4、RC5、MD2、MD5，以及DES的活动，破译DES奖励10000美金。明文是：Strong cryptography makes the world a safer place. 结果仅搜索了24.6%的密钥空间便得到结果，耗时96天。 1998年在一台专用机上(EFF)只要几天时间即可 1999年在超级计算机上只要22小时! Des 97 96天。99年22小时 信息安全等级保护管理办法（试行） * * 1. Does the elliptic curve equation y2 = x3 + 10x + 5 define a group over F17? No, since: = 4(10)3 + 27(5)2 mod 17 = 4675 mod 17 = 0 Thus this elliptic curve does not define a group because 4a3 + 27b2 mod p is 0 2. Do the points P(2,0) and Q(6,3)