ECC 信息安全概论课件与复习提纲.ppt

五 椭圆曲线密码系统ECC 1985年，Neal Koblitz和V. S. Miller把椭圆曲线的研究成果应用到密码学中，分别提出在公钥密码系统中使用椭圆曲线的思想。 从1998年起，国际化标准组织开始了椭圆曲线密码的标准化工作。 1998年底美国国家标准与技术研究所（NIST）公布了专门针对椭圆曲线密码的ANSI-F9.62和ANSI-F9.63标准。 1998年IEEE-P1363工作组正式将椭圆曲线密码写入了当时正在讨论制定的“公钥密码标准”的草案中。 椭圆曲线密码算法 椭圆曲线密码系统的安全性基于求解椭圆曲线离散对数问题的困难性，亦即椭圆曲线离散对数问题ECDLP（Elliptic curve discrete logarithm problem）是椭圆曲线密码系统的基础。 椭圆曲线离散对数问题是指对于有限域上的椭圆曲线Ep（a,b），有两点P和Q，P，Q∈Ep（a,b），P的阶为n,寻找一个整数k,0≤k≤n-1,使Q=kP,则k称为Q对于基P的离散对数问题。如果k,P已知，则计算kP就很快，而仅知道P和Q却很难计算k。椭圆曲线离散对数问题目前尚无多项式时间算法。 基于椭圆曲线的ElGamal密码系统 首先，用户A选择Ep(a,b)的上一个点G,使得G的阶n是一个大素数,秘密选择整数dn.计算P=dG,公开(p,a,b,G,P),保密d。 ① 加密： 如果用户B要给A发送信息m,先将m编码为Ep(a,b)的点Pm，并选择随机数k,计算 C={kG, Pm +kP)。 注意，若k使得kG（或者kP）为Ο,则要重新选择k。 ② 解密: 用户A收到C后，利用自己掌握的私钥d, 计算 (Pm +kP)-d(kG)= Pm +kdG-dkG= Pm， 然后将Pm解码为m。 椭圆曲线密码系统ECC Weierstrass方程和椭圆曲线 任意一条椭圆曲线总可以用一个三次方程来表示，这个三次方程一般称为Weierstrass方程： y2+a1 x y+a3 y=x3+a2 x2+a4 x+a6 在密码系统中，比较关心的是有限域上的椭圆曲线。 1）实数域上的椭圆曲线群 实数域上的椭圆曲线是指满足方程： y 2= x 3 + ax + b (x, y, a ,b ∈R,R是实数) 的点(x,y)所形成的平面曲线（通常称为E）。 若4a3 + 27b2 ≠0, 则椭圆曲线y2 = x3 + ax + b可以形成一个群。实数域上的椭圆曲线群由椭圆曲线上的点，加上一个称为无穷远点的一个特殊点Ο组成。 定理 椭圆曲线E上的点及其上的无穷远点Ο构成加法阿贝尔群。设P和Q是E上任意两点，Ο是E的无穷远点， P和Q相加的加法法则如下：对所有的P，Q ∈E，有 (a) Ο+P=P并且P+Ο=P，即Ο是恒元 (b) –Ο=Ο (c) 若–P是P的逆元，则有P+（-P）=Ο (d) 如果P≠Ο，Q≠Ο，Q≠-P，R是P、Q连线（P≠Q时）交椭圆曲线E所得的 另一交点，或曲线E在点P的切线（P=Q时）交曲线E所得的另一交点R，那么P+Q=-R。 ① 点加公式 若 P = (xP, yP) ， Q = (xQ, yQ) 是椭圆曲线E ： y2 = x3 + ax + b 上的任意两点，且P≠Ο，Q≠Ο，Q≠-P ，P、Q连线交椭圆曲线E于R=(xR, yR)；沿x轴作关于R的对称点将得到另一个点，称该点为P + Q = -R , -R=(xR, -yR)。 因此，P + Q=(xR, -yR) = {(( yQ - yP)/( xQ –xp))2- xP -xQ ， -yP + ( yQ - yP)/( xQ –xp) (xP - xR)}。 【例】 对于椭圆曲线y2 = x3 - 5x + 4，若P=（0，2）， Q=（1，0），求P+Q=? ① 点加公式 若 P = (xP, y