现代密码学原理与应用第5章 .pptVIP

练习：用Fermat方法因数分解n=1763 3．加密密钥e的选择 加密密钥e不能选得太小。对于明文m，密文 ，若e选得太小时，且 ，可直接将c开e次方得到明文。 4．解密密钥d的选择 为了提高解密效率，应尽可能设想选择较小的d，但可通过尝试法验证这种追求片面的利益是有安全隐患的。比如已知明文m，加密得到密文 ，可通过d穷举依次检验 是否成立。因此不应选得太小d，一般为 。 5.3 ElGamal公钥密码体制 ElGamal密码体制是T.ElGamal于1985年提出，除了RSA密码体制之外著名的公钥密码体制之一，它的安全性是基于求解离散对数问题的困难性，该密码体制既可用于加密又可用于数字签名。 1．ElGamal算法的加密和解密 (1) 参数定义和密钥生成 选取大素数p， 是一个本原元素（生成元）。p,g为系统中所有用户共享。系统中每个用户U都随机挑选一个整数 ， 并计算： 用户的公钥为 ，私钥为 。 (2) 加密算法 假设某一用户A想把明文M发送给用户B，用户A执行下面几步来加密消息M： ① 用户A将明文M进行编码为一个在0到p-1之间的整数m作为传输的明文； ② 用户A挑选一个秘密随机数 并计算； ，得到 密文组，其中 是用户B的公钥； ③ 用户A把密文组 传送给用户B。 (3) 解密算法 用户B接收到密文二元组 后，计算： 进行解密，明文消息m被恢复，其中 是用户B的私钥。 【例5-13】在ElGamal加密体制中，设素数p=11，本原元素g =7 ，发送方A选择随机整数向接收方B发送信息，使得明文m=20加密后的密文是 ，已知接收方B的公开钥是 ，求 。 5.3.2 ElGamal的安全性 1．ElGamal的安全性表现 ElGamal密码体制的安全性具体表现在以下几个方面： (1) ElGamal密码体制的安全性基于有限域上的离散对数问题的困难性。离散对数计算是模幂运算的逆运算，求模幂运算容易，但计算有限域上的离散对数就相当困难了。 (2) 加密中使用的随机数r必须是一次性的，否则，攻击者获得r就能够在不知道私钥的情况下解密新的密文。 (3) 为了抵抗已知的攻击，要仔细地选择p，且g应是模p的本原元素，p应该至少是300位的十进制整数，并且p-1应该至少有一个较大的素数因子。 2．对ElGamal密码体制的攻击 针对ElGamal密码体制的主要有两种攻击方式：基于低模的攻击和基于已知明文的攻击。 (1) 低模攻击 如果的p值不是足够大，攻击者可以运用一些有效的算法，来解决求 或r 的离散对数问题。 (2) 已知明文攻击 如果A使用相同的随机指数r，加密两个明文m和 ，攻击者如果知道m就可以发现 。 3．Shanks离散对数求法 ElGamal密码体制的安全性基于有限域上的离散对数问题的困难性。已知ax≡y(mod p) ，求loga y≡x(mod p)的运算就是离散对数计算问题。离散对数计算法有Shanks法、Pohlig-Hellman法和Pollard法等。 5.4 椭圆曲线密码体制 椭圆曲线密码体制（Elliptic Curve Cryptography，简称ECC）利用有限域上椭圆曲线的点集构成的群实现了离散对数密码算法，其安全性基于椭圆曲线上求离散对数问题的困难性。 由于椭圆曲线密码体制具有计算量小，处理速度快、存储空间占用小、带宽要求低等优点，在电子商务、电子政务等应用领域得到广泛关注。 5.4.1 有限域上的椭圆曲线 1．定义 椭圆曲线主要有实数域上的椭圆曲线、有限域GF(P)上的椭圆曲线和有限域 上的椭圆曲线，不同数域上的椭圆曲线的表示形式不一样，甚至其上的运算也不一样。对于椭圆曲线上的密码体制，最为常用的是由方程： y2≡ (x3+ax+b) mod p 所定义的有限域GF(P)上的椭圆曲线，其中非负整数a和b满足 , p为素数，且有 2．加法运算 设是E椭圆曲线，曲线示意图如图5-4所示，P、Q是曲线上的两个点，连接