(现代密码学教材）04公钥密码.ppt

RSA的安全性 RSA编号 十进制位数 悬赏奖金 分解日期 分解者 RSA-576 174 1万美元 2003年 J. Franke等 RSA-640 193 2万美元 2005年 J. Franke等 RSA-704 212 3万美元 --- --- RSA-768 232 5万美元 2009年 T. Kleinjung等 RSA-896 270 7.5万美元 --- --- RSA-1024 309 10万美元 --- --- RSA-1536 463 15万美元 --- --- RSA-2048 617 20万美元 --- --- 1991年，RSA实验室提出了大数分解挑战，2007年截止。 RSA的安全性 密钥长度应该介于1024比特到2048比特之间 p和q的位数应该差不多 |p-q|要比较大 p-1和q-1都应该有大的素因子。 p+1和q+1都应该有大的素因子。 d应该大于n1/4 对RSA的攻击－共模攻击 每一用户有相同的模数n 设用户的公开密钥分别为e1,e2,且e1,e2互素，明文消息为m,密文为 因为(e1,e2)=1,用欧几里德算法可求re1+se2=1，设r为负数，进而可计算出(c1-1)-r?c2s=m(mod n) 对RSA的攻击－低指数攻击 设三用户的加密钥e均选3，而有不同的模n1,n2, n3，若有一用户将消息m传给三个用户的密文分别为 c1=m3 (mod n1) mn1 c2=m3 (mod n2) mn2 c3=m3 (mod n3) mn3 一般选n1,n2,n3互素(否则可求出公因子，而降低安全性)，利用中国剩余定理，可从c1,c2,c3求出 m3=c (mod n1n2n3)。由mn1,mn2,mn3，可得m3n1n2n3，故有 RSA密码练习 用快速指数计算算法求 10500 mod 561 在RSA密码体制中，设公钥(e,n)为(5,35) 如果明文M=10，求密文C 如果密文C=10，求明文M 五、椭圆曲线密码体制 Elliptic Curve Cryptography 椭圆曲线密码概述 椭圆曲线密码体制(ECC)利用有限域上的椭圆曲线的代数结构来实现公钥密码 1985年由 Neal Koblitz 和 Victor S. Miller 这两位数学家分别独立提出 获得同样的安全性，密钥长度较RSA短得多 被IEEE公钥密码标准P1363采用 椭圆曲线 椭圆曲线的曲线方程是以下形式的三次方程 y2=x3+ax+b 其中判别式Δ=4a3+27b2≠0。定义中还包含一个称为无穷远点的元素，记为O。 椭圆曲线的所有点加上无穷远点O之后组成一个加法群。 椭圆曲线例子 椭圆曲线的加法 如果其上的3个点位于同一直线上，那么定义它们的和为O。 O为加法单位元，即对EC上任一点P,有P+O=P 设P1=(x,y)是EC上一点，加法逆元定义为P2=-P1 =(x,?y) P1,P2连线延长到无穷远，得到EC上另一点O,即P1,P2,O三点共线，所以P1+P2+O=O, P1+P2=O, P2=-P1 O＋O＝O,O=-O 椭圆曲线的加法 Q,R是EC上x坐标不同的两点，Q+R定义为：画一条通过Q,R的直线与EC交于P1(交点是唯一的，除非做的Q,R点的切线，此时分别取P1=Q或P1=R)。由Q+R+P1=O,得Q+R=-P1 点Q的倍数定义如下：在Q点做EC的一条切线，设切线与EC交于S,定义2Q=Q+Q=-S。类似可定义3Q=Q+Q+Q,…, 上述加法满足加法的一般性质，如交换律、结合律等 有限域上的椭圆曲线 密码中普遍采用的是有限域上的椭圆曲线 曲线方程中的所有系数都是某一有限域GF(p)中的元素(p为大素数)，即曲线方程为 y2=x3+ax+b (mod p) a,b∈GF(p), Δ=4a3+27b2≠0 (mod p) 判别式不为零保证任何点Q的切线总是存在，即Q+Q总可以定义。 有限域上的椭圆曲线 例：p=23,a=b=1, 4a3+27b2=8≠0 (mod23),方程为y2=x3+x+1 (modp)，曲线图形如前面。因为是模p的曲线，我们可以令0≤xp,0≤yp 。设Ep(a,b)表示EC上点集{(x,y)|0≤xp,0≤yp,且x,y均为整数}并上O. 椭圆曲线点集产生方法 对每一x(0≤xp且x为整数），计算x3+ax+b (mod p) 决定求出的值在模p下是否有平方根，如果没有则椭圆曲线上没有与这一x对应的点；如果有，则求出两个平方根。 有限域上EC的加法 如果P,Q∈Ep(a,b) P+O=P 如果P＝(x,y),则(x,y)+(x,?y)＝O P＝(x1,y1),Q=(x2,y2),P≠-Q, P+Q