应用密码学第5章非对称密码3.ppt

（4）A收到(C1 , C2)后，计算C2-aC1得到消息Pm，因为C2-aC1=(Pm+kβ)－a(kG)= Pm。 可以看到，如同ElGamal密码体制一样，它也是一个不确定性算法，对于一个消息m，加密过程中k的选取不一样，则加密所得的密文也不同。另外，该密码体制也有密文“信息扩展”问题。 * * 5.4.5 算法举例 例5-12：设p=11，E是由y2≡x3+x+6 (mod 11)所确定的有限域Z11上的椭圆曲线。 解：先要确定E中的点，以减少计算过程。对每个x∈Z11，首先计算z= x3+x+6 mod 11，然后再求同余方程y2≡z mod 11的解来实现。 由5.2.7的计算，可以得知，E中有13个点。选取r=(2,7)，计算2r。首先计算： k=(3×22+1)(2×7)-1 mod 11≡8 于是，x3=82-2-2 mod 11≡5 , y3=8×(2-5)-7 mod 11≡2 因此，2r=(5,2)。 * * 再计算3r=2r+r=(5,2)+(2,7)，首先计算k=(7-2)(2-5)-1 mod 11≡2。 于是，x3=22-5-2 mod 11≡8 , y3=2×(5-8)-2 mod 11≡3 因此，3r=(8,3)。 类似地，还可以计算出nr，n≥1，计算结果如下： r=(2,7) 2r=(5,2) 3r=(8,3) 4r=(10,2) 5r=(3,6) 6r=(7,9) 7r=(7,2) 8r=(3,5) 9r=(10,9) 10r=(8,8) 11r=(5,9) 12r=(2,4) 13r=σ 因此，r=(2,7)是E的生成元，E是一个循环群。 * * 由上面的讨论，可以确定E中的所有点，但这只是在例题中，实际应用中，由于给定的椭圆曲线上的点数太多，无法完全列举E中所有的点，也没有必要列举E中所有的点。 要确定z是否是一个模p的平方剩余，可以利用Euler准则来实现，即如果p是一个奇素数，则z是模p平方剩余当且仅当z(p-1)/2≡1 mod p。 当p≡3 mod 4时，如果x是一个模p的平方剩余，则±z(p+1)/4≡1 mod p就是z的两个模p的平方根，这是因为： (±z(p+1)/4)2≡z(p+1)/2 mod p≡zz(p-1)/2≡z mod p 完成上面运算后，下面看例题。 * * 例5-13：假设选取r=(2,7)，B的私钥是7，有β=7r=(7,2). 加密运算是：e(m,k)=(k(2,7),m+k(7,2)) 0≤k≤12, m是要加密的消息 解密运算是：d(c1,c2)=c2-7c1 假设A要加密明文m=(10,9)(这是E上的一个点)，如果随机选择k=3, A计算c1=3r=3(2,7)=(8,3), c2=m+3β=(10,9)+3(7,2)= (10,9)+(3,5) =9r+8r=17r=4r=(10,2) A发送（(8,3),(10,2)）给B. B收到密文后，解密计算如下：m=(10,2)-7(8,3)= (10,2)-21r= (10,2)-8r =(10,2)+5r= 4r+5r=9r= (10,9)，于是恢复了明文。 * * 5.5 RSA、ElGamal及椭圆曲线密码比较 RSA密码体制是基于大数分解难题的，出现的时间是20世纪70年代，到现在已经30多年了。 经过比较长时间的使用和学者们的研究，从算法和计算角度看是安全的，只是随着人类计算能力的提高，RSA算法中选取的参数(p, q)越来越大，现在普遍认为，n=pq的取值为2048比特是安全的，这相当于600位的十进制整数。这也导致了加解密的运算量和存储空间的增加，影响了其在便携产品如手机/PDA等中的使用。 国际上一些标准化组织ISO, ITU及SWIFT等均己接受RSA体制作为标准。在Internet中所采用的PGP中也将RSA作为传送会话密钥和数字签字的标准算法。由于RSA是简单且，比较成熟的一种公钥密码体制，许多公司及研究团体都对它进行了实现。 ECC和RSA安全性能比较 * * ElGamal密码体制是基于离散对数难题的，很多密码算法如著名