3eigamal公钥密码系统.pptVIP

3.2 EIGamal公钥密码系统 3.2.1离散对数问题 EIGamal公钥密码系统在众多协议中广泛应用。它的安全性是基于离散对数问题的困难性。离散对数问题： ☆p是素数,α是 的本原元素， 。求唯一的整数a， 使得 。 记整数为 。 若小心选择p，对于离散对数问题尚没有多项式时间算法，故认为它是困难问题。为了抵抗已经知道的攻击，一般p至少150 bit，p-1应至少有大的素因子。 3.2.2 ElGamal公钥密码系统 P是素数,α是 的本原元素, .整数a, 0≤a≤p-2使得 .其中p,α,β是公开的,a是秘密的. 加密算法选择随机数 ，密文 ， 其中 , 解密算法 ElGamal公钥密码系统是非确定的，它的密文依赖于明文与加密者所选择的随机数k。相同的密文加密得到的密文不一定相同。 是明文的x掩码 (masked)。 显然 。 为攻破ElGamal公钥密码系统直接的方法是计算离散对数。当 所有的因子都是小素数时可以采用Pohlig—Hellman算法。此外可以仿照因子分解算法引入因子库，先计算因子库中素数的离散对数，然后计算期望元素的离散对数，这就是目前最有效的指标计算方法。（应密106—110页） EIGamal公钥密码系统可以在任何循环群上实现。选择群的标准是： ①群中的运算容易实现，以保证有效性 ②在群中离散对数问题在计算上是困难的，以保证安全性 目前最受关注的是 、 和定义在有限域上的椭圆曲线的点所构成的循环群。椭圆曲线群的特点是对同一个基域F上可以选择不同的椭圆曲线。这样，域的运算相同使用可采用相同芯片实现。 3.2.3 椭圆曲线 令素数p≥3, . 上的椭圆曲线E: 是 满足同余方程 的解 ,和一个无穷远 点O组成。这里 不成立.在椭圆曲线E上定义二元 运算“+”。假设P,Q 是E上的两点， , P+O=O+P=P 不难证明(E, +)为交换群，O为零元。对任何 , 例如： 上的椭圆曲线 。首先确定该曲线上的点 上有13个点O, (2,4), (2,7), (3,5), (3,6), (5,2), (5,9), (7,2), (7,9), (8,3), (8,8), (10,2),(10,9), 它对前面定义的加法构成循环群，生成元为(2, 7)。下面计算= (2, 7) + (2, 7) , , ,所以 2α= (5, 2) 同样可以算出 一般，椭圆曲线上点数|E| 我们要找E的循环子群，在它上面离散对数是难解问题，所以需要研究E的结构。可以证明：在 上定义的椭圆曲线E，存在整数 使得 ，而且 ， 由此如果能计算出整数 ，我们就知道E有循环子群同构于 把它用到ElGamal公钥密码系统中。 3.2.4 Menozes-Vanstone椭圆曲线密码系统 Menozes-Vanstone于1993年提出一个新版本的椭圆曲线密码系统。它只把椭圆曲线用在掩码上。 令E是 （素数 3）上的椭圆曲线，E的循环子群H上的离散对数是难解问题。取 ， ，保存密钥a,公开椭圆曲线方程 α、β。 加密算法 明文 随机选取 ,