椭圆曲线密码体制探讨.docVIP

椭圆曲线密码体制探讨 　　摘要：椭圆曲线密码体制是一种公钥密码体制，其数学基础是利用椭圆曲线上的有理点构成Aebel加法群上椭圆离散对数的计算。本文简要地阐述了椭圆曲线的背景、原理及其实现和优点，最后简单列举了ECC的应用领域。 　　关键词：公钥密码体制；椭圆曲线密码体制；有限域；离散对数 　　 　　椭圆曲线理论是代数几何、数论等多个数学分支的一个结合点有很广泛的应用。已有100多年的研究历史，积累了大量的研究文献。但椭圆曲线应用到密码学上最早是由Neal Koblitz和Victor Miller在1985年分别独立提出来的。2002年，美国SUN公司将其开发的椭圆加密技术赠送给开放源代码工程。目前比较流行的公钥密码体制根据其所依据的难题一般分为三类：第一类是基于大整数因子分解问题的，其中最典型的代表是RSA体制；第二类是离散对数问题类，如EIGamal公钥密码体制；第三类为椭圆曲线类。有时也把椭圆曲线类归为离散对数类。 　　 　　1 椭圆曲线基础 　　 　　椭圆曲线密码体制来源于椭圆曲线的研究，所谓椭圆曲线指的是由威尔斯特拉斯（Weierstrass）方程： 　　 y2+a1xy+a3y=x3+a2x2+a4x+a6（1） 　　所确定的平面曲线。其中a1,a2,a3,a4,a6定义在某个域上，可以是有理数域，实数域，复数域，还可以是有限域GF(pr), 椭圆曲线密码体制用到的椭圆曲线都是定义在有限域GF(pr)上的。椭圆曲线上所有的点外加一个叫无穷远的特殊点构成的集合连同一个定义的加法运算就构成了一个Abel群。 　　 　　中，已知m 和点p 求Q 比较容易，反之已知Q 和点p 求m 却是很难的，这个问题称为椭圆曲线上点群的离散对数问题。椭圆曲线密码体制正是利用这个困难问题设计出来的。 　　 　　2 椭圆曲线的原理 　　 　　EIGamal算法是基于GF(2n) 中乘群上定义的离散对数。这一算法可以推广到群G 中的任意子群H 上定义的离散对数。也就是说如果在群G 中的离散对数问题是困难的，则可将EIGamal体制推广到子群H 上，其中 　　 　　特别地，当我们在有限域上椭圆曲线E 点集所构成的群G 上，亦可定义离散对数，这就为构造双钥密码体制提供了新的途径。 　　在安全方面，Menezes,Venstone 和Okamoto 指出应避免选用超奇异曲线，否则椭圆曲线群上的离散对数问题将退化为有限域低次扩域上的离散对数问题，从而能在多项式时间上可解。 Menezes和Venstone 曾提出另一种有效的方法，以椭圆曲线作为“掩饰”，对明文和密文可以是域中（而不一定要求为E 上的点）任意非零有序元素。因而这一体制的数据扩展系数为2。 　　 　　3 椭圆密码体制（ECC） 　　 　　每一种公开的密钥密码体制的安全性都依赖与某一种数学问题的难解性。椭圆密码体制，其数学基础是利用椭圆曲线上的有理点构成Abel加法群上椭圆离散对数的计算困难性。下面将给出椭圆曲线的加法运算规则；椭圆离散对数问题和ECC的实现，优点及其适用领域。 　　3.1 曲线上点的运算 　　我们可以构造一种特殊的加法运算，使得椭圆曲线上的点和无穷远点O构成一个Abel加法群，设E表示（Weierstrass）方程： 　　y2+a1xy+a3y=x3+a2x2+a4x+a6 （1） 　　定义加法运算如下：设P,Q,R,O 为椭圆曲线 E上的点 （O为无穷远点） 　　（1） O+P=P+O=P 　　（2） -O=O 　　（3）如果 P(x,y)≠O则 -P(x,y)=(-x,-y) 　　（4）若Q=-P 则P+Q=O 　　（5）如果P≠Q,Q≠O,Q=-P 令R 表示直线PQ，（若P≠Q ）或E 在P 点的切线（若P=Q ）与椭圆曲线E 的另一个交点，则P+Q=-R 　　由以上定义可知，基于有限域的椭圆曲线实际上是由点集组成的，在加密过程中的运算也就是关于点的运算。由于有限域的椭圆曲线上的点集和无穷远点形成阿贝尔群，点的运算也就是阿贝尔群的运算。 　　3.2椭圆离散对数问题 　　椭圆密码体制中用到的椭圆曲线都是定义在有限域上的，而我们基于有限域GF(2) 的椭圆曲线进行定义。设K 是一个特征值为2的有限域，在K 上由点集(x,y) 和一个无穷远点O 构成的椭圆曲线就满足等式E:y2=x3+ax+b 上的问题。 　　定义1 设p 是一个素数， ，α是一个本原元 已知α 和β 求满足αn= βmodp的唯一整数n,03 是一个素数，E 是有限域Zp 上的椭圆曲线。设G 是E 的一个循环子群，α是G 的一个生成元，β G ，已知α 和β，求满足nα=β 的唯一整数n，0 　　正是由于ECC只需较小的开销