一种椭圆曲线参数生成的快速算法-Read.docVIP

一种椭圆曲线参数生成的快速算法 谷勇浩 刘勇 （北京邮电大学通信网络综合技术研究所） 摘要：椭圆曲线密码体制是公钥密码中的研究热点。该文介绍了椭圆曲线密码体制的基本概念及相关知识，讨论了目前基于离散对数问题的椭圆曲线密码的研究动态。本文的创新点是针对目前椭圆曲线研究重点之一——椭圆曲线参数生成算法，给出了一种生成参数a、b的快速算法。这种算法利用了Jacobi符号和二次剩余的理论，并且用matlab计算出利用这种算法生成一个椭圆曲线的平均时间，最后我们分析了今后椭圆曲线密码系统的研究方向和重点。 关键词：椭圆曲线；离散对数问题；Jacobi符号；二次剩余；阶 1976年Diffie和Hellman提出公钥密码思想以来，国际上提出了许多种公钥密码体制的实现方案。一些已经被攻破，一些被证明是不可行的。目前，只有3类公钥密码体制被认为是安全有效的，按照其所依据的数学难题划分为：基于大整数分解问题（IFP），如RSA体制和Rabin体制；基于有限域离散对数问题（DLP），如Diffie-Hellman体制和ElGamal体制；基于椭圆曲线离散对数问题（ECDLP），如椭圆密码体制。椭圆曲线应用到密码学上最早是由Neal Koblitz和Victor Miller在1985年分别独立提出的。它是目前已知的公钥体制中，对每一比特所提供加密强度最高的一种体制。它具有安全性高、密钥量小、灵活性好的特点，受到了国际上的广泛关注。而SET(Secure Electronic Transaction)协议的制定者已把它作为下一代SET协议中缺省的公钥密码算法。深入研究基于椭圆曲线离散对数问题的公钥密码具有很大的现实意义。 1建立椭圆曲线公钥密码体制 1.1椭圆曲线域的参数 在基于椭圆曲线的加解密和数字签名的实现方案中，首先要给出椭圆曲线域的参数来确定一条椭圆曲线。在 IEEE P1363标准中，定义其参数为一个七元组：T=(q,FR,a,b,G,n,h)，其中q代表有限域GF(q)，q为素数或;FR为域表示法，如f(x)为域元素的不可约多项式的表示法；曲线的方程，当q为素数时，方程为，当q为时，方程为，a,b是方程中的系数；G为基点；n为大素数并且等于点G的阶，h是小整数称为余因子且。主要的安全性参数是n，因此ECC密钥的长度就定义为n的长度。 1.2椭圆曲线密码的密钥 选取了基域和椭圆曲线后，得到了在有限域上的曲线E确定的具体形式，即上述的椭圆曲线域参数的一个七元组。每个用户选取一个整数d(1≤d≤n-1) 作为其私钥，而以点Q=dG(G为基点)作其公钥，这样形成一个椭圆曲线公钥密码系统。在这个密码体制中，具体的曲线，基域，基点G及其阶n，以及每个用户的公钥都是该系统的公开参数，每个用户的私钥是保密的。 1.3基于椭圆曲线密码体制的加解密 假设用户A欲将明文m加密后发送给B，A执行以下操作： （1）查找B的公钥（E(，G，n，)）； （2）将m表示成一个域元素，即； （3）在区间[1，n-1]内选取一个随机数k； （4）计算点； （5）依据B的公钥计算点，若＝0，则返回到第（3）步； （6）计算； （7）传送加密数据给B。 B收到A的密文后，执行以下操作。 （1）使用私钥，计算点，再计算中； （2）计算m=C，得到明文m。 2 椭圆曲线密码的研究动态 2.1椭圆曲线密码的安全性 ECC的安全性是建立在离散对数问题计算难度基础之上，如果离散对数可以计算，从一个用户的公钥就可得到他的私钥，ECC就不安全了。对于一般的ECDLP，目前有两种较好的求解法[1]：Pohlig-Hellman方法和Pollard-ρ方法。但是对于两类特殊的椭圆曲线，已经有了其他有效的求解方法。一类特殊的椭圆曲线——超奇异椭圆曲线[2]（设的特征为p，的q阶Frobenius变换的迹t是p的倍数时，E称为超奇异的），采用概率亚指数算法——MOV算法和FR算法可以解决ECDLP。另一类特殊椭圆曲线是异常(anomalous)椭圆曲线[2]（设，p≠2,3为素数，由方程定义，的阶为p。当p=q时，异常曲线上的p阶Frobenius变换的迹t=1），SSSA算法可以解决ECDLP。 2.2 椭圆曲线的选取 要保证椭圆曲线密码的安全性，就是要使所选取的曲线能抵抗上述的关于ECDLP 解决的方法和算法，所以选取一条安全的椭圆曲线，是一个深刻的数学难题，在此，仅提供几点椭圆曲线选取的安全准则[3]： （1）为了抗击Pollard-ρ攻击，所选取EC的阶#E(GF(q))的分解式中应该包含一个大的素数因子，目前应不小于160bit； （2）为了抗击Weil对和Tate对的攻击，对于1≤k≤30，n不能除（不宜选取超奇异椭圆曲线）； （3）为了抗击Semaev-Smart-Satoh-Ara