椭圆曲线密码体制

• 椭圆曲线密码体制概念
• • 椭圆曲线数学知识
  • • 一般的椭圆曲线
    • 有限域上的椭圆曲线
    • 椭圆曲线上的点数
• 椭圆曲线密码体制流程
• • Diffie-Hellman密钥交换
  • • 参数选择
    • 密钥交换过程
  • ElGamal密码体制
  • 利用椭圆曲线实现ElGamal密码体制
• 椭圆曲线密码体制的优点

椭圆曲线密码体制概念

椭圆曲线密码体制ECC可以用短得多的密钥获得同样的安全性，因此具有广泛的应用前景

椭圆曲线数学知识

一般的椭圆曲线

椭圆曲线的曲线方程为是以下形式的三次方程：
椭圆曲线上的加法法则如下：
1、O为加法单位元，即对椭圆曲线上任一点，有P+O=P
2、设P₁=(x,y)是椭圆曲线上的一点，其加法逆元定义为P₂=-P₁=(x,-y).特别的，O+O=O
3、设Q和R是椭圆曲线上x坐标不同的两点，Q+R的定义如下：画一条通过Q和R的直线，与椭圆曲线交与P₁。由P₁，Q，R三点共线，因此有Q+R+P₁=O，所以Q+R=-P₁
4、点Q的倍数定义如下：在Q点做椭圆曲线的一条切线，设切线与椭圆曲线交于点S，定义2Q=Q+Q=-S

有限域上的椭圆曲线

有限域上的椭圆曲线是指曲线方程定义式中，所有系数都是某一有限域GF§中的元素，密码学中最为常用的是如下方程定义的曲线：

有限域上的椭圆曲线E_p(a,b)上的点集产生方法：

1.对每一个x<p,计算y² mod p
2.判断1中的结果是否有解，若有解，则求出两个平方根y₁，y₂.点(x,y₁)、(x,y₂)在曲线上，否则曲线上没有与x对应的点

E_p(a,b)上的加法法则定义如下：
1、P+O=P
2、若P=(x,y)，其加法逆元定义为P₂=-P=(x,-y)
3.设P=(x₁,y₁),Q=(x₂,y₂),P不是Q的逆元，则P+Q=(x₃,y₃),x₃,y₃如下确定：

椭圆曲线上的点数

椭圆曲线上点的个数可由如下定理去计算：
GF§上的椭圆曲线y²=x³+ax+b在第一象限中共的整数点加无穷远点O共有其中，括号表示Legendre符号。定理中的ε由Hasse定理给出：

椭圆曲线密码体制流程

椭圆曲线上的密码体制其依赖的原理是离散对数问题，典型的代表有Diffie-Hellman密钥交换和ElGamal密码体制

Diffie-Hellman密钥交换

参数选择

流程如下：
1.选取一个素数P(P在2¹⁸⁰左右)和两个参数a、b，得到椭圆曲线及其曲线上面点构成的Abel群E_p(a,b)
2.取E_p(a,b)的一个生成元G(x₁,y₁),要求G的阶是一个非常大的素数，且G的阶是满足nG=O的最小正整数n。E_p(a,b)和G作为公开参数

密钥交换过程

1.A选择一个小于n的整数n_A作为私钥，并由P_A=n_AG产生E_p(a,b)上的一点作为公钥
2.B类似地选取自己的私钥n_B和公钥P_B
3.A、B分别由K=n_AP_B和K=n_BP_A产生出双方共享的私钥

ElGamal密码体制

密钥产生过程如下：
选取一个素数p和两个小于p的随机数g和x，计算y≡ g^x mod p。以(y,g,p)作为公钥，x作为私钥

加密过程如下：
随机选取一个与p-1互素的整数k，计算C₁≡ g^k mod p，C₂≡ y^kM mod p，得到密文C=(C₁,C₂)

解密过程如下：

利用椭圆曲线实现ElGamal密码体制

1.选取一条椭圆曲线，并得到E_p(a,b)，将明文消息m嵌入到曲线上的点P_m，对点P_m做加密变换
2.取E_p(a,b)的一个生成元G，E_p(a,b)和G作为公开参数
3.收方A选n_A作为私钥，并以P_A=n_AG作为公钥。
4.发方B选取一个随机正整数k，对明文消息P_m进行加密：C_m={kG,P_m+kP_A}=(C₁,C₂)
5.收方A对密文C_m进行解密操作，得到明文P_m=C₂-n_AkG

椭圆曲线密码体制的优点

1.安全性高，椭圆曲线密码体制比基于有限域上的离散对数问题的公钥体制更安全
2.密钥量小。在实现相同的安全性能的条件下，椭圆曲线密码体制所需的密钥量远比基于有限域上的离散对数问题的公钥体制的密钥量小
3.灵活性好。GF(q)上的椭圆曲线可以改变曲线参数，得到不同的曲线，形成不同的循环群