安全椭圆曲线选取的研究.docVIP

安全椭圆曲线选取的研究 　　摘要:安全椭圆曲线的选取是椭圆曲线密码体制的研究热点。本文介绍了椭圆曲线的椭圆曲线离散对数问题,在对主要的ECDLP的求解算法分析的基础上,得出为抵抗目前的各种攻击的椭圆曲线安全性要求,最终归纳出椭圆曲线选取的安全性准则。 　　关键词:有限域;安全性;椭圆曲线;离散对数;椭圆曲线密码体制; 　　O 引言 　　椭圆曲线密码体制(ECC),是用有限域上的椭圆曲线有限群代替基于离散对数问题的密码体系中的有限循环群而得到的一类新型密码体系,是已有的各种密码编码方案在椭圆曲线上的实现。 　　椭圆曲线密码体制最早是在l985年分别由Miller和Koblitz独立提出的,由于它具有许多独特的优点,如抗攻击性强、计算量小、处理速度快、密钥尺寸小、系统参数小以及带宽要求低等,二十多年以来,椭圆曲线密码体制成为了信息安全领域研究的热点。许多研究成果和应用实例不断涌现。目前,椭圆曲线密码体制的整个理论已趋于完善和成熟,其标准化和产业化也逐渐成熟,并有取代RSA成为通用的公钥加密算法的趋势。 　　1 椭圆离散对数问题 　　公钥密码体制的安全性都是基于复杂的数学难题。根据所基于的数学难题来分类,有以下三类系统目前被认为是安全和有效的:大整数因子分解系统(如RSA)、离散对数系统(如DSA)和椭园曲线离散对数系统(ECC)。而椭圆曲线密码体制的安全性就是建立在椭圆曲线离散对数的困难性基础上的。 　　椭圆曲线密码体制来源于对椭圆曲线的研究,所谓椭圆曲线指的是由韦尔斯特拉斯(Weierstrass)方程: 　　所确定的平面曲线。其中系数 (i=1,2,…,6)定义在某个域上,可以是有理数域、实数域、复数域和有限域,与椭圆曲线密码体制有关的有限域有三类: 、 、 。 　　加法运算法则:任意取椭圆曲线上两点P、Q(若P、Q两点重合,则做P点的切线)做直线交于椭圆曲线的另一点 ,过 做y轴的平行线交于R。我们规定P+Q=R。 　　椭圆曲线上所有的点外加一个叫做无穷远点的特殊点构成的集合连同一个定义的加法运算构成一个Abel群。在等式 　　kP=P+P+…+P=Q (2) 　　中,已知k和点P求点Q比较容易,反之已知点Q和点P求k却是相当困难的,这个问题称为椭圆曲线上离散对数问题,简记为ECDLP(Elliptic Curve Discrete Logarithm Problem),相对于Q点,P点称为基点(Base Point)。椭圆曲线密码体制正是利用这个困难问题设计而来。 　　 在公钥体制中,椭圆曲线密码体制是对每比特所提供加密强度最高的一种体制。目前对椭圆曲线离散对数问题的最好攻击算法是Pollard-ρ方法,其时间是完全指数阶的。 　　2 ECDLP可能受到的攻击类型 　　若椭圆曲线的基点为P,P的阶(Order)为n,则ECDLP为,已知Q(Q=k*P)、P,求k,目前,针对ECDLP的比较好攻击算法有4种。 　　1.Pohlig-Hellman算法[1] (Pohlig-Hellman Algorithm) 　　步骤 1 :分解n= (其中pi均为素数,i=0,1,…,t-1); 　　步骤 2 :i从0到t-1重复下述步骤 　　1) 设 　　2) 设 则 的阶均为 ,所以有以下等式成立: 　　求解该ECDLP问题,唯一确定 　　3) 设 ,则有以下等式成立: 　　 求解该ECDLP问题,唯一确定 ,类似重复该过程直至完全唯一确定序列4) 根据系列可求出 　　步骤 3 根据序列 ,用中国剩余定理(CRT)求解k。 　　Pohlig-Hellman算法主要是基于对椭圆曲线的阶的因式分解,若n为可因式分解的整数,则计算ECDLP中Q=k*P的k值时,可分解k mod n的因数,再使用中国剩余定理建立同余方程组加速还原k的值。当基点的阶的因子全部是小素数因子时,这种算法非常有效。因此,为使攻击者无法分解n值,基点P的阶n必须为一个大素数(n2160)。 　　2.Pollard-ρ算法[2] (Pollard-ρAlgrorithm) 　　步骤1:为了计算k,首先将 划分为大致相等的三个集合: = ; 　　步骤2:定义一个序列 , =P,对于i≥0, 　　计算 　　+Q ,若 　　这样序列中的每个元素都形如 ; 　　步骤3:计算上述序列,直至找到一个i使得 ,即 ,令u = ,v = ,从而得到uQ = vP 。 　　步骤4 利用扩展欧几里得算法计算 d = gcd(u,N)=λu+μN,进而得到λu #61626;d mod N,并代入uQ = vP,则有dQ=λvP,则必存在 ,满足#61548;v=dmod N, 进而得到Q= P+j(N/d)P,其中0≤j