第09-12讲 公钥密码体制 现代密码学 培训资料.ppt

ECC的性能 Symmetric Key Size (bits) RSA and Diffie-Hellman Key Size (bits) Elliptic Curve Key Size (bits) 80 1024 160 112 2048 224 128 3072 256 192 7680 384 256 15360 521 NIST Recommended Key Sizes 椭圆曲线的概念和分类 定义：椭圆曲线是一个具有两个变量x和y的三次方程，它是满足： y2+a1xy+a3y=x3+a2x2+a4x+a6 的所有点(x,y)的集合，外加一个零点或无穷远点O 这里系数a1, a2, a3, a4, a6需满足特定的条件 实数域上的椭圆曲线 实数域上的椭圆曲线是对于固定的a、b值，满足形如方程： 　　　 　y2=x3+ax+b　　　　　　　 的所有点的集合，外加一个零点或无穷远点 其中a、b是实数，x和y在实数域上取值 实数域上的椭圆曲线 动画 有限域GF(p)上的椭圆曲线 GF(p)域上的椭圆曲线是对于固定的a、b值，满足形如方程： 　　 　　y2=x3+ax+b (mod p)　　　　　　　 的所有点的集合，外加一个零点或无穷远点，其中a、b，x和y在GF(p)域上取值 有限域GF(p)的直观动画 例子 Hasse定理 如果 是定义在GF(p)域上的椭圆曲线，E上的点的个数记为#E，则： 有限域GF(2m)上的椭圆曲线 是对于固定的a、b值，满足形如方程： 　　　　y2+xy=x3+ax2+b　　　　　　　 的所有点的集合，外加一个零点或无穷远点 其中a、b，x和y在GF(2m)域上取值 GF(2m)域上的元素是m位的串(直观示例) GF(2m)上的椭圆曲线例子 由多项式　　　　　定义的域GF(24)，选基元g=(0010)，则域上的元素可表示为 该域上的一条椭圆曲线如右图 g0=(0001) g1=(0010) g2=(0100) g3=(1000) g4=(0011) g5=(0110) g6=(1100) g7=(1011) g8=(0101) g9=(1010) g10=(0111) g11=(1110) g12=(1111) g13=(1101) g14=(1001) g15=(0001) 椭圆曲线加法规则 椭圆曲线上3个点位于同一直线上，那么它们的和为O 动画 加法规则的几何描述 椭圆曲线的加法规则(GF(p)上) 条件： 加法规则1： 加法规则2： 加法规则3：互逆点 加法规则4：加法交换律 加法规则5：加法结合律 加法规则6： 加法规则7 ： 例子 GF（23）上椭圆曲线 ： 例子 GF（23）上椭圆曲线 ： 设： 求P1＋P2 求2P1 椭圆曲线的加法规则(GF(2m)上) 加法规则3 ′ ： 　　如果　　　，则 加法规则6′ ： 加法规则7′ ： 两个定义 标量乘 椭圆曲线上点的阶 P是椭圆曲线E上的一点，若存在最小的正整数n，使得nP=O，则称n是点P的阶 ，记为ord(P) 椭圆曲线上的离散对数问题(ECDLP) 已知椭圆曲线E和点P，随机生成一个整数d，容易计算:Q=d*P，但给定Q和P，计算d就相对困难 已知Q=d*P，给定Q和P，求d的问题称为椭圆曲线上的离散对数问题(ECDLP) 一般说来，选择合适的椭圆曲线，ECDLP难度远大于素域上的离散对数问题 ECC：基于ECDLP的密码体制 ECELG—椭圆曲线的ElGamal密码体制 ECMO—椭圆曲线Massey-Omura密码体制 ECDH—基于椭圆曲线的D-H密码交换 将信息编码为椭圆曲线上的点 没有多项式复杂度算法能够保证把信息编码为椭圆曲线上的点 常用的编码方法是Kobliz概率式算法 所谓概率式，就是会有部分信息无法编码，实际考虑无法编码的概率为2-30 将信息编码为椭圆曲线上的点 而信息m将对应到E上某点的x坐标值。然而，m3+am+b为完全平方数的概率为0.5，因此可添加若干位在m上，即 使得x3+ax+b为完全平方数，如此便可对应到E(FP)上的一点；而失败的概率，即m’无法对应到的概率是为2-K，其中(m+1)KP。 而接收方收到信息Pm=(x,y)只需计算m = ?x/K? 将信息编码为椭圆曲线上的点—例子 考虑椭圆曲线 E: y2=f(x)=x3+82x+502773 (mod 502807) 将明文m=“coding”编码E上的点 解：用00-26码将明文m编码为(3,15,4,9,14,7) 取K=20，则将明文每三个字母为一个区块编码，