公钥密码1021 幻灯片.pptVIP

离散对数问题与 ElGamal算法 离散对数问题 给定一个素数p，z*p上的一个生成元g， 及一个元素y， 寻找整数x（0=x=p-2）， 使得gx = ymod p。 离散对数问题 与离散对数问题密切相关的是Diffie-Hellman问题（DHP），它对公钥密码是很重要的。 Diffie-Hellman问题：给定一个素数p，z*p上的一个生成元g，给定ga mod p， gb mod p ， 求gab mod p 。 ElGamal公钥密码 ElGamal的密钥生成 选择一个大的素数p。选择g，1g p。选择x，1x p-1。 计算y=gxmod p。 Bob的公钥是(p, g, y)，对外公布。Bob的私钥是x，自己私藏。 ElGamal的加密过程 Alice欲发送明文m给Bob，其中 0mp 。 Alice选择随机数k，(k, p－1)=1，计算： y1=g kmodp 再用Bob的公钥y，计算： y2=mykmod p 密文由y1、y2级连构成，即密文c=y1||y2。 ElGamal的解密过程 Bob 收到密文c后，用自己的私钥x计算 m=y2/y1x =myk/(gk)x =mgxk/gxk modp 。 实例 p=2597,取g＝2，秘密密钥为x=765，可以计算出公开密钥为y＝2765 mod 2597＝949。 取明文M＝1299，随机数k＝853，则 C1＝2853 mod 2597＝435， C2＝1299×949853 mod 2597＝2396 所以密文为: （C1，C2）＝（435，2396） 解密时计算: M＝2396×(435765)-1 mod 2597＝1299 ElGamal特性 特点：密文由明文m和随机数k来定，因而是非确定性加密，一般称之为随机化加密，对同一明文由于不同时刻的随机数k不同而给出不同的密文。 问题：两次不同消息的加密，随机参数k是否可以一样？ 代价：使数据扩展一倍。 安全性：基于有限域Zp离散对数问题的困难性。 为了抵抗已知的攻击，p应该选取至少160位以上的十进制数。 ElGamal数字签名 密钥生成：选择一个大的素数p。选择g为域GF(p)的本原元素。选择正整数x。计算y=gx(modp)。 Alice的公钥是（p，g，y）， 私钥是x。 设Alice欲发消息m给Bob。 签名 （1） Alice用H将消息m进行处理，得h=H(m)。 （2） Alice选择秘密随机数k，满足 0kp-1，且(k, p-1)=1， 计算 r=gk(modp)； s=(h-xr)k-1(mod (p－1))。 （3） Alice将(m，r，s)发送给Bob。 验证 接收方接收到消息m和签名(r,s)后： （1） 计算h=H(m)。 （2） 用Alice的公钥，检验是否 yrrs=gH(m) ( mod p)。 若是则(m，r，s)是Alice发送的签名消息。 椭圆曲线公钥密码学 Elliptic Curve Cryptography 椭圆曲线公钥密码ECC 椭圆曲线(Elliptic curve)作为代数几何中的重要问题已有100多年的研究历史 1985年，N. Koblitz和V. Miller独立将其引入密码学中，成为构造公钥密码体制的一个有力工具。 利用有限域GF(2n )上的椭圆曲线上点集所构成的群上定义的离散对数系统，可以构造出基于有限域上离散对数的一些公钥体制--椭圆曲线离散对数密码体制(ECDLC )，如Diffie-Hellman，ElGamal，Schnorr，DSA等。 续 10余年的研究，尚未发现明显的弱点。 获得同样的安全性，密钥长度较RSA短得多 被IEEE公钥密码标准P1363采用 椭圆曲线公钥密码ECC 有限域上满足方程 y2+axy+by=x3+cx2+dx+e 的所有点P=(x, y)，加上一个“无穷远点”，构成的集合称为一个“椭圆曲线”。 （其中方程中的常数a、b、c、d、e需要满足一些简单的条件。） 该“椭圆曲线”上的所有点之间可以定义一种特殊的“加法”，记为“+” ：P+Q=R。 “椭圆曲线”上的点关于此“加法”构成交换群（Abel群）。 椭圆曲线加法的定义 如果其上的3个点位于同一直线上，那么它们的和为O。 O为加法单位元，即对ECC上任一点P,有P+O=P 设P1=(x,y)是ECC上一点，加法逆元定义为 P2= -P1=(x,-y