c第三、四周 密码学概述（第3章）.pptVIP

* 椭圆曲线上的加法 运算法则：任意取椭圆曲线上两点P、Q （若P、Q两点重合，则做P点的切线）做直线交于椭圆曲线的另一点R’，过R’做y轴的平行线交于R。 我们规定P+Q=R。 * 椭圆曲线上的加法 加法公式: 如果P=(x1,y1)，Q=(x2,y2)，则 P+Q=(x3,y3)为x3=s2-x1-x2 (mod p)y3=s(x1-x3)-y1 (mod p) 其中，如果P?Q，则 s = (y2-y1)/(x2-x1) 如果P=Q，则 s = (3x12+a)/(2y1) * 椭圆曲线上的零元／负元 根据运算法则，椭圆曲线无穷远点O∞与椭圆曲线上一点P的连线交于P’，过P’作y轴的平行线交于P 所以有：无穷远点 O∞+ P = P 。无穷远点 O∞的作用与普通加法中零的作用相当。 我们把无穷远点 O∞ 称为 零元。同时我们把P’称为P的负元（记作-P）。（参见右图）  * Ep(a,b) 并不是所有的椭圆曲线都适合加密。y2=x3+ax+b是一类可以用来加密的椭圆曲线，也是最为简单的一类。下面我们就把y2=x3+ax+b 这条曲线定义在Fp上： ? ?选择两个满足下列条件的小于p(p为素数)的非负整数ap、b p且? ? ? 4a3+27b2≠0　(mod p) 则满足方程 y2=x3+ax+b ?(mod p)的所有点(x,y)，再加上无穷远点O∞ ，构成一条椭圆曲线。 ? ?其中 x,y属于0到p-1间的整数，并将这条椭圆曲线记为Ep(a,b)。 ? ?我们看一下y2=x3+x+1 ?(mod 23)的图像  * * 椭圆曲线难题 对n个P连续进行⊕操作，记为nP= P ⊕… ⊕ P 也可写作Pn=Q，或n=logPQ因此这也称为椭圆曲线上的离散对数问题，同样是难解问题 * DH实现对比 实现Diffie-Hellman的DLP模型 全局公开量: 大素数 q g ，q且是q的本原根 用户密钥的产生（步骤1.） 选择随机数: xA q 计算公开量: yA = gxA mod q 产生密钥（步骤4） KAB = yAxB mod q = yBxA mod q = gxA.xB mod q 同理，可以产生KBA（步骤2、3） * 实现Diffie-Hellman的ECC模型 设椭圆曲线为 ，在加法群中的阶为 n，点 为该椭圆曲线上的点（公开），A和B为进行通信的双方用户。该椭圆曲线上的密钥交换协议如下： A随机产生 a （＜n）,计算 , 发送 B； B随机产生 b （＜n）,计算 , 发送 A； A计算 ＝abP0； B计算 ＝abP0 。 至此，A , B双方具有秘密并且一致的会话密钥K： 椭圆曲线密码体系的实现 传送数据m 加密 A选择随机数k （＜n） ， 计算R＝ kP0,密文c=m ? x 　mod n ，其中x为(x,y)＝kRB中的横坐标，RB是刚才定义的Ｂ的公钥, 将（Ｒ,c）发给B 解密 B收到R=kP0, c ＝ m ? x　mod n（后者为普通模乘运算） B计算b ?R=bkP0=kbP0=(x,y), 获得x 计算x-1mod n, 计算 c ? x-1　mod n =m （普通模乘运算） ECC如何做数字签名？？IEEE公钥密码标准P1363，其中包含ECDSA 椭圆曲线数据加密 * Comparison with RSA 国家信息安全基础设施(NISI)中，公钥基础设施PKI支持RSA和ECC两种算法—摘自《电子政务总体设计与技术实现》 * RSA习题 1/ p=3,q=11,d=7,M=5 2/ p=5,q=11,e=3,M=9 3/ p=7,q=5,e=7,M=8 4/ p=3,q=7,e=17,M=5 5/ p=3,q=5,e=11,M=2（如果M=5?） * 欢迎辞 * 华南理工大学电子商务学院本科课程－－电子商务安全与保密 第3章 信息加密技术 * 本章要点： →密码学基本模型 →对称密码 →基于大数分解的密码体制(RSA) →基于离散对数的密码体制(Elgamal) →基于椭圆曲线的密码体制 * 密码学的Shannon模型 Z ′ Z,Z ′ * 密码学的Shannon模型-组成部分 X,明文（plain-text）： 作为加密输入的原始信息。 Y,密文（cipher-text）：对明文变换的结果。 E,加密（encrypt）：是一组含有参数的变换，将可识别的明文变为密文。密文可识别→阈下信道。 D,解密（decrypt）：加密的逆变换。 Z,密钥（key）：是参与加密解