第4章 公钥密码技术-2.pptVIP

公钥算法加密图示 数学知识：离散对数 对数是指数的反函数： b= ai = i= loga b ; 模运算如何？ b≡ ai mod p = i = logab mod p ？ 本原元（Primitive Root） a是素数p 的一个本原元，如果 a mod p, a2 mod p , …, ap-1 mod p 是1到p-1的排列 例如： n=19，a=3在mod 19下的幂分别为3，9，8，5，15，7，2，6，18，16，10，11，14，4，12，17，13，1。 即3的阶为18=φ(19)，所以3为19的本原元。 离散对数 求模下的整数幂 根据欧拉定理，若gcd(a,n)=1,则af(n) ≡1 mod n。考虑一般am ≡1 mod n, 如果a,n互素，至少有一个整数m满足这一方程。称满足这一方程的最小正整数m为模n下a的阶。 例：a=7,n=19. 71 ≡7 mod 19, 72 ≡11 mod 19, 73 ≡1 mod 19,所以7模19的阶为3。从幂次为4开始出现循环，循环周期与元素的阶相同 定理：设a的阶为m，则ak≡1mod n的充分必要条件是k是m的倍数。 推论：a的阶整除j(n)。 本原元：a的阶m等于j(n)，a为n的本原元。 如果a是n的本原元，a1,a2,...,a j(n)在模n下互不相同且与n互素。 本原元不唯一。 离散对数-（单向函数的一种） y = gx mod p 已知 g, x , p 计算y 是容易的（函数运算） 已知g, y, p , 计算x 是非常困难的（反函数求解） ElGamal Example 1 选择 p=97 及本原元 α=5 recipient Bob 选择 x=58 计算并发布公钥y=558=44 mod 97 Alice 要加密 M=3 to Bob 首先得到 Bob的公开密钥 y=44 选择随机 k=36 计算:yk=4436=75 mod 97 计算密文对: C1 = 536 = 50 mod 97 C2 = 3 *4436 mod 97 = 31 mod 97 发送 {50,31} to Bob Bob 恢复 C1x=5058=75 mod 97 Bob 计算 （C1x） -1 = 22 mod 97 Bob 恢复明文 M = 31*22 = 3 mod 97 ElGamal 加密举例 2 取 p=11, α=2 选择私钥 x=8 计算: y= αx mod p = 28 mod 11 = 3 公钥是: y=3,α=2, p=11 选择随机数 k=9 对 M=5 签名 请练习 请自学P79【例4.3】 4.4 椭圆曲线密码体制 4.4.1概述 背景 RSA中用到了因子分解的困难性，而为了增加困难得加大数的位数，从而导致计算速度变慢。 ECC可以用较小的密钥长度达到较高的计算难度 由Heal Kablitz和Victor Miller在1985年分别提出并在近年开始得到重视。ECC的安全性基于椭圆曲线离散对数问题的难解性。同基于有限域上的离散对数问题的公钥密码体制相比，椭圆曲线密码体制主要有以下两个方面的优点： 1)密钥长度小 2)算法性能好 优点 1)密钥长度小 到目前为止，ECC没有亚指数攻击，所以，在实现相同的安全级别的条件下，ECC所需要的密钥长度远小于基于有限域上的离散对数问题的公钥密码体制的密钥长度。 2)算法性能好 由于密钥长度小很多，因此减少了处理开销，具有存储效率、计算效率和通信带宽的节约等方面的优势。 椭圆曲线的定义及性质　　椭圆曲线的图形并非椭圆，只是因为它的曲线方程与计算椭圆周长的方程类似，而将其叫做椭圆曲线。通常所说的椭圆曲线是指由Weierstrass方程 　　y2+axy+by=x3+cx2+dx+e所确定的平面曲线，其中a、b、c、d、e取自某个域F并满足一些简单的条件。 椭圆曲线通常用字母E表示，满足曲线方程的序偶(x，y)就是域F上的椭圆曲线E上的点。域F可以是数域，也可以是某个有限域GF(pn)。除了满足曲线方程的所有点(x，y)之外，椭圆曲线E还包括一个特殊的点O，称为无穷远点。 EC：P＋Q＝R 椭圆曲线加密算法 GF（p）上椭圆曲线(Elliptic Curve)就是由方程： y2=x3+ax2+b(mod p) 确定的平面曲线 曲线上的点连同无穷远点O的集合 其中a、b、p是满足某个简单条件的实数 另有O点被定义为无穷点/零点 一般方程记作：Ep（a，b） 素域上的EC 在有限域Zp上的简化EC y2≡（x3＋ax＋b ）mod p 其中4a3＋27b2 mod p