椭圆曲线公钥密码体制的研究热点综述张雁.docVIP

1976年 Dif?fie和 Hell?man提出公钥密码思想以来，国际上 提出了许多种公钥密码体制的实现方案。一些已经被攻破， 一些被证明是不可行的。目前，只有 3类公钥密码体制被认 为是安全有效的，按照其所依据的数学难题划分为：基于大 整数分解问题（I FP） ，如R SA体 制和R abin体制；基于有限 域离散对数问题 (DLP)? ，如 Diffie?-Hell?man 体制和 ElGamal?体 制；基于椭圆曲线离散对数问题（ ECDLP），如椭圆密码 体制。椭圆曲线应用到密码学上最早是由 Neal ?Kobli?tz和 Victor? Mill?er 在 1985年分别独立提出的。它是目前已知的公 钥体制中，对每一比特所提供加密强度最高的一种体制。它 具有安全性高、密钥量小、灵活性好的特点，受到了国际上 的广泛关注。而 SET(Se?cure ?Elect?ronic? Tran?sacti?on)协议的制 定者已把它作为下一代S ET协议中缺省的公钥密码算法。深 入研究基于椭圆曲线离散对数问题的公钥密码具有很大的现 实意义。 1 椭圆曲线 1.1 ?椭圆曲线的定义 若 定义给定域G 上 的三元齐次 Weie?rstra?ss方程： Y 2 ?Z+a 1? XYZ+?a 3 Y?Z 2 =?X 3 +?a 2 X? 2 Z+?a 4 X?Z 2 +?a 6 Z? 3 ?(a i ?∈G )?满足 条件 Z F ?Y F X? F ? ?? ? ?? ? ? ?,, F ? (X,Y?,Z)()?≠(0,0?,0) ?时，W eierst?rass ?方程在射影平面P 2 (G)中所有解组成的集合 E： {(X, Y,? Z)∈ ?P 2 (?G)|F(?X, Y,? Z)=0?且 X , Y, Z? 不会为0 }∪ {?O}称 为域G 上 的椭圆曲线E. P ?2 (G)? 由仿射平面A 2 (G)添加一条虚直线（其上的点为虚 点）而成。 Z Y y ?Z X x? = ,=? 令 代入 E： y 2 +?a 1 x?y+a 3? y=x ?3 +a ?2 x 2? +a 4? x+a ?6 称为仿射平面A 2 (G)? 上的椭圆曲线方程，其中的虚点为（0 ， 1 ，0 ）。 在实际的密码学应用中，主要研究和应用的椭圆曲线 方程有以下两种： (1) 有限域上的椭圆曲线 F q ( ?表示q 个 元素的有限域) y? 2 =x? 3 +a?x+b ? ?其中a ,b ∈F ?q , ?满足4a 3 +27?b 2 ≠?0 (2?) 有限域上的椭圆曲线 F 2 m ? y ?2 +xy? =x 3? +ax ?2 +b ? 其 中a ,b∈ F ?2 m ，b≠0 1?.2 椭圆曲线离散对数问题 若给定一条有限域 Fp 上的椭圆曲线E (Fp) ，G 为 E上的一 点，则 E 上关于G 的 ECDLP ?为：给定一点Q , 求解整数 r,使得 rG=Q(?rG为 倍乘，即 r个 G相 加) 。对该系统的攻击依赖于在 Fp上 求解方程：G r≡ Q m?od P ? 或r=log G ?Q mod? P。 DLP求解是 非常困难的， ECDLP ?比有限域上的 DLP更 难求解。在 Fp上 选择一条椭圆曲线E 及 一个具有较高阶的基点G∈E (F?p)，计 算该点的倍乘r G， 相对来说较容易，但已知G 和 rG 要求 r则 是很困难。基于椭圆曲线密码的安全性最终归结为解 ECDLP? 问题。当数据量足够大以致此 ECDLP?问题无法解决 时，认为该密码体制是安全的。 2 建立椭圆曲线公钥密码体制 2.1 椭圆曲线域的参数 在基于椭圆曲线的加解密和数字签名的实现方案中，首 先要给出椭圆曲线域的参数来确定一条椭圆曲线。在 IEEE ?P1363? 标准中，定义其参数为一个七元组： T=(q,FR?,a,b,?G， n,h), 其中q 代表有限域G F(q)? ，q 为 素数或2 m ; ?FR为域表示法， 如 f(x)?为 F 2 m 域元素的不可约多项式的表示法；曲线的方程， 当 q为 素数时，方程为y 2 =x 3? +ax+?b， 当q 为 2 m 时，方程为y 2 +xy ? =x 3? +ax ?2 +b.? a,b ?是方程中的系数；G 为基点；n 为大素数并且等 于点 G的 阶， h 是小整数称为余因子且 h=#E(Fq)?/n. 主要的安 基金项目：云南省信息网络开发技术专项计划资助项目：“基于安 全操作系统平台的 PKI 网络信息软件系统”（ 2001171?0）；云南省 自然科学基金资助项目：“基于网络信息安全的椭圆曲线密