第5章-ElGamal公钥讲解学习.ppt

第5章-ElGamal公钥

一、若干数论概念本原元离散对数

本原元(primitiveroot)Euler定理表明,对两个互素的整数a,n, a?(n)?1modn定义：素数p的本原元定义：如果a是素数p的本原元，则数 amodp,a2modp,…,ap-1modp是不同的并且包含1到p-1的整数的某种排列。我们又称a为Zp的生成元。

离散对数

离散对数的计算 已知,a,p,计算是容易的已知,,p,计算a是困难的小心地选择素数，对于离散对数问题目前还没有多项式时间算法。人们认为离散对数问题是困难问题。为了抵抗已经知道的攻击，一般至少150位，应该至少有大的素因子。

二、

加密：加密：证明：＝

ElGamalExample选择p=97及本原根α=5recipientBob选择秘密钥a=58计算并发布公钥β=558=44mod97(p,α,a,β)=(97,5,58,44)Alice要加密M=3toBob首先得到Bob的公开密钥β=44选择随机x=36计算密文对:C1=αxmod97=536mod97=50mod97C2=mβxmod97=3×4436mod97=31mod97发送{50,31}toBobBob恢复messagekeyBob恢复明文M=C2(C1a)-1mod97=31×(5058)-1mod97=31×22mod97=3mod97

三、离散对数计算问题

椭圆曲线密码介绍1985年Miller,Koblitz独立提出y2+axy+by=x3+cx2+dx+e曲线上的点连同无穷远点O的集合运算定义：若曲线三点在一条直线上,则其和为OO用作加法的单位：O=-O;P+O=P一条竖直线交X轴两点P1、P2，则P1+P2+O=O，于是P1=-P2如果两个点Q和R的X轴不同，则画一连线，得到第三点P1，则Q+R+P1=O，即Q+R=-P12倍，一个点Q的两倍是，找到它的切线与曲线的另一个交点S，于是Q+Q=2Q=-S

椭圆曲线密码示意图

有限域上椭圆曲线有限域上椭圆曲线y2?x3+ax+bmodp p是奇素数,且4a3+27b2?0modp针对所有的0=xp，可以求出有效的y，得到曲线上的点(x,y)，其中x,yp。记为Ep(a,b)Ep(a,b)中也包括O加法公式:P+O=P如果P=(x,y)，则P+(x,-y)=O，(x,-y)点是P的负点，记为-P。而且(x,-y)也在Ep(a,b)中如果P=(x1,y1)，Q=(x2,y2)，则P+Q=(x3,y3)为

x3=?2-x1-x2(modp)

y3=?(x1-x3)-y1(modp)

其中，如果P?Q，则?=(y2-y1)/(x2-x1)

如果P=Q，则?=(3x12+a)/(2y1)

椭圆曲线用于加密找到一个难题：考虑等式Q=kP，其中Q、P属于Ep(a,b)，kp已知k和P，计算Q，是容易的已知Q和P，计算k，是困难的选择Ep(a,b)的元素G,使得G的阶n是一个大素数G的阶是指满足nG=O的最小n值秘密选择整数r，计算P=rG，然后公开(p,a,b,G,P)，P为公钥保密r加密M：先把消息M变换成为Ep(a,b)中一个点Pm然后，选择随机数k，计算密文Cm={kG,Pm+kP)如果k使得kG或者kP为O，则要重新选择k.解密Cm:(Pm+kP)-r(kG)=Pm+krG-rkG=Pm加密信息有扩张

椭圆曲线密码的安全性难点:从P和kP获得k对椭圆曲线研究的时间短椭圆曲线要求密钥长度短,速度快对比:ECCRSA

*Pollardrho分析方法KeysizeMIPS-Yrs1503.8161047682101112801?101415363?101620483?1020

ECC密钥长度mRSA密钥长度MIPS-年16032060021000107