密码学第五章 公钥密码 5.4 椭圆曲线公钥密码体制
合集下载
公钥密码体制公钥密码体制
首次公开提出了“公开密钥密码编码学”的概念。
这是一个与对称密码编码截然不同的方案。
提出公开密钥的理论时,其实用性并没有又得到证明:
❖ 当时还未发现满足公开密钥编码理论的算法; ❖ 直到 1978 年,RSA 算法的提出。
2.基本特征
❖ 加密和解密使用两个不同的密钥 公钥PK:公开,用于加密,私钥SK:保密,用作解密 密钥
3.优点
❖ 密钥管理
加密密钥是公开的; 解密密钥需要妥善保存; 在当今具有用户量大、消息发送方与接收方具有明显的信息不对称
特点的应用环境中表现出了令人乐观的前景。 新用户的增加只需要产生一对公共/私有密钥。
❖ 数字签名和认证
只有解密密钥能解密,只有正确的接收者才拥有解密密钥。
缺点:公共密钥系统的主要弱点是加密和解密速度慢。
加密与解密由不同的密钥完成; 知道加密算法,从加密密钥得到解密密钥在计算上是不可行的; 两个密钥中任何一个都可以作为加密而另一个用作解密。
6.公钥密码算法
除RSA算法以外,建立在不同计算问题上的其他公钥密码算法 有:
基于因子分解问题的Rabin算法; 椭圆曲线公钥算法; 基于有限域中离散对数难题的ElGamal公钥密码算法 基于代数编码系统的McEliece公钥密码算法; 基于“子集和”难题的Merkle-Hellman Knapsack(背包)公钥密码算 法; 目前被认为安全的Knapsack型公钥密码算法Chor-Rivest。
实际应用中的加密方式
❖ 混合加密技术 对称密码体制:密钥分发困难 公钥体制:加解密效率低 将对称加密算法的数据处理速度和公钥算法对密钥的保 密功能相结合 利用对称加密算法加密传输数据 利用非对称加密算法交换会话密钥
实际应用中的加密方式
椭圆曲线公钥密码体制(ECC)
F2m上椭圆曲线的点的加法逆元
• P = (xP, yP)的加法逆元 -P = (xP, xP + yP) • P + (-P) = O • P+O=P
F2m上椭圆曲线不同的点的加法运算
P = (xP, yP) 。如果 P和 Q是不同的点并且P不等于 -Q, 则P + Q = R
s = (yP - yQ) / (xP + xQ) xR = s2 + s + xP + xQ + a yR = s(xP + xR) + xR + yP
F上的椭圆曲线 2m
定义: 对于曲线
y2 +xy= x3 + ax2 + b b不为0,a,b 属于 F2 m
的解的集合构成
F2m 上的椭圆曲线群。记为 E ( F m )
2
F2m上的椭圆曲线举例
• 作为一个简单的例子, 考略 F2 4 , 其上的不可约多项式为 f(x) = x4 + x + 1. • 元素g = (0010)是生成元. • g的幂为: g0 = (0001) g1 = (0010) g2 = (0100) g3 = (1000) g4 = (0011) g5 = (0110) g6 = (1100) g7 = (1011) g8 = (0101) g9 = (1010) g10 = (0111) g11 = (1110) g12 = (1111) g13 = (1101) g14 = (1001) g15 = (0001)
例题
椭圆曲线T=(m=4,f(x)=x4+x+1,g=0010,a=g4,b=g0) 点P=(g6,g8) 求点R=2P
ElGamal公钥密码体制及安全性
下面我们首先计算
γ
2,0
=α
0×(p-1)/2
mod 29
= 20 mod 29 = 1, γ
2,1
=α
1×(p-1)/2mod
29
= 228/2 mod 29
= 28. 因为 = 28 =γ
2,1 ,
0
ß mod 29 = 1828/2 mod 29
所以 a = 1.令
ß = ß α 1 因为
0, 1 e i 1
i
根据目前的计算能力,只有当p-1 的素因子是小素数时,才 能有效分解 p-1求得 。因此,Pohlig-Hellman 算法适用于p1 的素因子是小素数的情况。 例5.8 设p = 29, 则 p-1= 28 = 22×7.设α = 2, ß 18. = 求log 。令log a .
s ( p 1 ) qi
mod p
qi ,s
· ,k, · ·
s = 0, 1,2, ·· i -1. 将这些 q ·
ei i
排成一个
下面利用表L求 a mod q
a mod q
ei i
, i= 1,2,
1 i
· ,k. · ·
e i 1
设
q
ei 1 i
a a q a
0
ß=αd mod p,
所以
k c2(c1d)–1≡mß (α
dk
)
–1
(mod p)
–1(mod
≡mα
dk
(α
dk
)
p) α ∈zp*
≡m(mod p). 因此,解密变换能正确的从密文恢复相应的明文。
5.4.2. ElGamal公钥密码体制的安全性
《应用编码与计算机密码学》 第5章 公钥密码体制
5.3 基于离散对数的公钥密码体制
5.3.2 离散对数Diffie-Hellman算法 设p是一个满足要求的大素数,0 < α < p, α是循环群Z p的生成元,α和p公开,它 们也将在一组用户中共用。 在两个用户Alice与Bob要通信时,他们可 通过下面的步骤协商通信时所使用的密钥:
5.3 基于离散对数的公钥密码体制
while r > 0
5.2 RSA 公钥密码体制
if b0 ≠ 1 then b 没有模a的逆 else return(t)
5.2 RSA 公钥密码体制
中国剩余定理及欧拉定理 定理 5.2.2(中国剩余定理)假设m1 ,…, mr是 两两互素的正整数,a1 ,…, ar为整数。那么 同余方程组 x ≡ ai ( mod mi ) (1≤ i ≤ m) 有模M = m1 m2 … , m 的唯一解,具体解表 r r 达式为 x = ∑ a i M i y i mod M i =1 −1 M 其中 M i = ,且 yi = Mi modmi ,1 ≤ i ≤ r。 mi
5.2 RSA 公钥密码体制
算法5.2.3 Multiplication Inverse(a , b)
a0 ← a b0 ← b t0 ← 0
t←1
5.2 RSA 公钥密码体制
⎧ temp ← ( t 0 − qt ⎪ ← t t 0 ⎪ ⎪ t ← temp ⎪ ⎪ a 0 ← b0 do ⎨ b0 ← r ⎪ ⎪ ⎢ a0 ⎥ ⎪ q← ⎢ ⎥ ⎪ ⎣ b0 ⎦ ⎪ ⎩ r ← a 0 − qb 0
5.2 RSA 公钥密码体制
算法5.2.1 Euclidean Algorithm(a ,b) r0 ←a ⎧ ⎢ rm − 1 ⎥ qm ← ⎢ r1 ←b ⎪ ⎥ rm ⎦ ⎣ ⎪ m ←1 ⎪ while rm ≠ 0 do ⎨ rm + 1 ← rm −1 − q m rm m ←m - 1 ⎪ m ← m +1 ⎪ return ( q1,…, qm, rm ) ⎪(a,b) Comment : rm = gcd ⎩
公钥密码体制的介绍
2012,Hanaoka等人[44]在CT-RSA会议上给出了一个更强的代理重加密安全模型,并给出了一个通用方法用于构造CCA安全的单向代理重加密方案。Sun等人[45]提出了第一个CCA安全的单向广播代理重加密(Broadcast PRE,BPRE),该方案在标准模型下满足自适应选择密文安全。
在AsiaCCS 2009会议上,Weng等人[33]第一次介绍了条件代理重加密(C-PRE)的概念,当且仅当密文满足委托者设置的条件时。
相对于对称体制中的密钥必须保密,非对称密钥体制有一个可公开的公钥为其最大特征,因此也叫公钥密码体制。在非对称密码体制中,不再有加密密钥和解密密钥之分。可以使用公钥加密,而用私钥解密,这多用于保护数据的机密性;也可以用私钥加密而公钥解密,这多用于保护信息的完整性和不可否认性。1976年,公钥密码体制(Public Key Cryptography,PKC)的概念被Diffie和Hellman[2]首次提出。PKC在整个密码学发展历史中具有里程碑式的意义。随后出现了一些经典的公钥密码体制,比如RSA[3]Rabin算法[4]ElGamal[5]密码体制和椭圆曲线密码体制[6][7][8]等。公钥密码体制的安全性依赖于不同的计算问题,其中RSA密码体制基于大整数分解的困难性,而ElGamal密码体制则基于离散对数问题的困难性。
第三阶段:伴随着相关理论的完善,以及由集成电路和因特网推动的信息化工业浪潮,密码学进入了一个全新爆发的时代:研究文献和成果层出不穷,研究的方向也不断拓展,并成为了一个数学、计算机科学、通信工程学等各学科密切相关的交叉学科,同时各种密码产品也走进了寻常百姓家,从原来局限的特殊领域进入了人民群众的生产、生活之中。
数据接收者需要先利用其自身私钥解密出对称密钥,接着再使用得到的对称密钥解密出共享数据。
在AsiaCCS 2009会议上,Weng等人[33]第一次介绍了条件代理重加密(C-PRE)的概念,当且仅当密文满足委托者设置的条件时。
相对于对称体制中的密钥必须保密,非对称密钥体制有一个可公开的公钥为其最大特征,因此也叫公钥密码体制。在非对称密码体制中,不再有加密密钥和解密密钥之分。可以使用公钥加密,而用私钥解密,这多用于保护数据的机密性;也可以用私钥加密而公钥解密,这多用于保护信息的完整性和不可否认性。1976年,公钥密码体制(Public Key Cryptography,PKC)的概念被Diffie和Hellman[2]首次提出。PKC在整个密码学发展历史中具有里程碑式的意义。随后出现了一些经典的公钥密码体制,比如RSA[3]Rabin算法[4]ElGamal[5]密码体制和椭圆曲线密码体制[6][7][8]等。公钥密码体制的安全性依赖于不同的计算问题,其中RSA密码体制基于大整数分解的困难性,而ElGamal密码体制则基于离散对数问题的困难性。
第三阶段:伴随着相关理论的完善,以及由集成电路和因特网推动的信息化工业浪潮,密码学进入了一个全新爆发的时代:研究文献和成果层出不穷,研究的方向也不断拓展,并成为了一个数学、计算机科学、通信工程学等各学科密切相关的交叉学科,同时各种密码产品也走进了寻常百姓家,从原来局限的特殊领域进入了人民群众的生产、生活之中。
数据接收者需要先利用其自身私钥解密出对称密钥,接着再使用得到的对称密钥解密出共享数据。
大连理工大学网络安全与密码学 chap5-公钥密码
基于背包问题的公钥密码系统 ——MH公钥算法
• 加密 – 将明文分为长度为n的块X=(x1,…,xn) – 然后用公钥A ' = (a1 ', …, an '),将明文变为密文 S = E(X) = ∑ai ' xi
• 解密 – 先计算S ' = w-1S mod m – 再求解简单背包问题 S ' = ∑aixi
Eaxmple-从私钥计算公钥
• 私钥{2,3,6,13,27,52} • N=31, m=105 2*31 mod 105= 62 3*31 mod 105=93 6*31 mod 105=81 13*31 mod 105= 88 27*31 mod 105=102 52*31 mod 105= 37 • 公钥{62,93,81,88,102,37}
• 涉及到各方:发送方、接收方、攻击者 • 涉及到数据:公钥、私钥、明文、密文 • 公钥算法的条件: – 产生一对密钥是计算可行的 – 已知公钥和明文,产生密文是计算可行的 – 接收方利用私钥来解密密文是计算可行的 – 对于攻击者,利用公钥来推断私钥是计算不可行的 – 已知公钥和密文,恢复明文是计算不可行的 – (可选)加密和解密的顺序可交换
公钥密码
一般要求: 1、加密解密算法相同,但使用不同 的密钥 2、发送方拥有加密或解密密钥,而 接收方拥有另一个密钥 安全性要求: 1、两个密钥之一必须保密 2、无解密密钥,解密不可行 3、知道算法和其中一个密钥以及若 干密文不能确定另一个密钥
对公钥密码算法的误解
• 公开密钥算法比对称密钥密码算法更安全? – 任何一种算法都依赖于密钥长度、破译密码的工 作量,从抗分析角度,没有一方更优越 • 公开密钥算法使对称密钥成为过时了的技术? – 公开密钥很慢,只能用在密钥管理和数字签名, 对称密钥密码算法将长期存在 • 使用公开密钥加密,密钥分配变得非常简单? – 事实上的密钥分配既不简单,也不有效
《公钥密码体系》课件
03
保障国家安全
公钥密码体系在国家安全领域 中也有广泛应用,如军事通信
、政府机密保护等。
公钥密码体系的历史与发展
03
起源
公钥密码体系起源于20世纪70年代,最 早的公钥密码体系是RSA算法。
发展历程
未来展望
随着计算机科学和数学的发展,公钥密码 体系不断得到改进和完善,出现了多种新 的算法和应用。
随着互联网和物联网的普及,公钥密码体 系将面临更多的挑战和机遇,需要不断探 索和创新。
性能问题
1 2 3
加密和解密速度
公钥密码体系的加密和解密速度通常较慢,需要 优化算法和提高计算能力,以提高加密和解密的 速度。
资源消耗
公钥密码体系通常需要较大的计算资源和存储空 间,需要优化算法和资源利用方式,以降低资源 消耗。
适应性
公钥密码体系需要适应不同的应用场景和需求, 需要开发适用于不同场景的公钥密码算法和解决 方案。
人工智能与机器学习
人工智能和机器学习技术在公钥密码体系中也有着广阔的应用前景。这些技术可以帮助自动识别和防御 网络攻击,提高公钥密码体系的安全性和可靠性。
应用领域拓展
物联网安全
随着物联网技术的普及,公钥密 码体系在物联网安全领域的应用 将越来越广泛。物联网设备需要 使用公钥密码算法进行身份认证 和数据加密,以确保设备之间的 通信安全。
非对称加密算法可以支持多种加密模式,如对称加密算法中的块加 密和流加密模式。
数字签名
验证数据完整性和身份
数字签名使用私钥对数据进行加密,生成一个数字签名。 接收者使用公钥解密数字签名,验证数据的完整性和发送 者的身份。
防止数据被篡改
数字签名可以防止数据在传输过程中被篡改,因为任何对 数据的修改都会导致数字签名无效。
浅析椭圆曲线密码体制
开, 谁都可以 使用, 解密密钥( 秘密密钥) 只有解密人自己 知道, 非法使用者根据公开的加密密钥无法推算出解密密钥, 顾其可
称为公钥密码体制。如果一个人选择并公布了他的公钥, 另外任 何人都可以用这一公钥来加密传送给那个人的消息。私钥是秘 密保存的, 只有私钥的所有者才能利用私钥对密文进行解密。目 前, 有三类公钥密码体制被认为是安全有效的, 按照其所依据的 和 Rb 体制; ai n 基于有限域离散对数问题 (DP), Dfe L 如 i — i f
通信的贸易双方之间 确保密钥安全交换的问题。非对称密码体 上的。 除了椭圆曲线 E的所有点外 , 尚需加上一个叫做无穷点的 制也叫公钥加密技术, 该技术就是针对私钥密码体制的缺陷被 特殊点 0 。 提出来的。在公钥加密系统中, 加密和解密是相对独立的, 加密 和解密会使用两把不同的密钥, 加密密钥( 公开密钥) 向公众公
收 稿 日期 :0 2 07—0 —2 5 3
在实际的密码学应用中, 主要研究和应用椭圆曲线方程主 要是以下两种: ¨
() 1有限域上的椭圆曲线 F( q 。表示 个元素的有限域) Y= a+ , x+ x b其中ab F, ,∈ 。满足4 2b≠0 a+ 7
() 2 有限域上的椭圆曲线 F : Y + y x + x + , ab F ,≠ x = a b其中 , ∈ 2 b 0
1 密码体制的介绍
曲 线的离散对数计算困 难性, S 公钥算法相比, 与RA 具有抗攻击 性强、 计算量小、 处理速度快、 密钥尺寸小、 系统参数小以及带宽
EC正受到国内外学者的广泛关注, 国际上已 目 在多数情况下, 码技术仍是保证信息的机密性的唯 前, 密 要求低等优点。 C 制定了椭圆曲线公钥密码标准 IE 16。 E EP33 的方法, 该技术根据其运算机制的不同, 可以分为以下两种类 2 椭圆曲线密码体制原理 型: 对称密码体一种安全度很 高的密码技术 , 易于实现 , 良 的应 用前景。 有 好
密码学第五章 公钥密码 5.4 椭圆曲线公钥密码体制
目前,前两个问题都有了亚指数时间算法。
一、ECC应用背景
1985年,Koblitz 和Miller独立地提出了椭圆曲 线公钥密码体制(ECC),安全性基于椭圆曲线群上 的离散对数问题的难解性,该问题目前最好的解法 是指数级时间的算法。
一般认为,RSA和D-H密钥交换协议需用1024 比特以上的模数才安全,但对ECC,只要160比特 的模数就可达到同样级别的安全性。
y
x
c
解得
P(x1, y1)
Q(x2, y2)
R=P+Q
x
R’
x3
y3
2 ( x1
x1 x2 x3 )
y1
二、有限域上的椭圆曲线
y2 x3 ax b
当P≠Q时,
y2 y1
x2 x1
当P=Q时,
3x12 a
2 y1
y
P(x1, y1) Q(x2, y2)
R
x
R’
R=2P
x R’Biblioteka 二、有限域上的椭圆曲线2、椭圆曲线上的加法运算
y
当P与Q关于x轴对称时,
P
定义P与Q的和为O ,即
P+Q=O
x
并称 O 为无穷远点
Q
二、有限域上的椭圆曲线
可以证明,有限域上的椭圆曲线在我们定义 的加法运算下构成群。
既然构成群,就必然有零元和负元,这里的 零元就为无穷远点O,P的负元就是它关于x轴的对
(1)在[1,n-1]内随机选取整数 k,计算 kP = ( x1,y1 )
(2)计算 kQ = (x2,y2),若 x2= 0,则回到(1)
(3)计算 c = mx2 密文为 (x1,y1 ,c)
三、椭圆曲线公钥密码体制
一、ECC应用背景
1985年,Koblitz 和Miller独立地提出了椭圆曲 线公钥密码体制(ECC),安全性基于椭圆曲线群上 的离散对数问题的难解性,该问题目前最好的解法 是指数级时间的算法。
一般认为,RSA和D-H密钥交换协议需用1024 比特以上的模数才安全,但对ECC,只要160比特 的模数就可达到同样级别的安全性。
y
x
c
解得
P(x1, y1)
Q(x2, y2)
R=P+Q
x
R’
x3
y3
2 ( x1
x1 x2 x3 )
y1
二、有限域上的椭圆曲线
y2 x3 ax b
当P≠Q时,
y2 y1
x2 x1
当P=Q时,
3x12 a
2 y1
y
P(x1, y1) Q(x2, y2)
R
x
R’
R=2P
x R’Biblioteka 二、有限域上的椭圆曲线2、椭圆曲线上的加法运算
y
当P与Q关于x轴对称时,
P
定义P与Q的和为O ,即
P+Q=O
x
并称 O 为无穷远点
Q
二、有限域上的椭圆曲线
可以证明,有限域上的椭圆曲线在我们定义 的加法运算下构成群。
既然构成群,就必然有零元和负元,这里的 零元就为无穷远点O,P的负元就是它关于x轴的对
(1)在[1,n-1]内随机选取整数 k,计算 kP = ( x1,y1 )
(2)计算 kQ = (x2,y2),若 x2= 0,则回到(1)
(3)计算 c = mx2 密文为 (x1,y1 ,c)
三、椭圆曲线公钥密码体制
chapter 5 公钥密码体制(ro)
• • • 线性筛选法 高斯整数法 数域筛选法
3. 计算离散对数不因数分解有着密切的关系,如果能成功解 决离散对数问题,则也能解决因子分解问题。(注:其逆命 题的正确性还有待证明)
主要内容
• • • • • • • 问题提出与公钥密码基本概念 公钥密码基本应用 陷门单向函数 RSA密码体制 DH密钥交换算法 离散对数密码体制 椭圆曲线密码体制
群
• 群的概念
– 是由一个非空集合G组成,在集合G中定义了一个二元运算符“· ”, – 并满足以下性质的代数系统,记为{G, ·}
离散对数问题
1. 设p是一大素数,a < p,已知x,求解ax (mod p)的模指数 运 算比较容易。模指数运算的逆问题是找出某个数的离散对 数,即:已知y, a以及大素数p ,求x使得:ax = y (mod p)。 2. 在素数域中有三种计算离散对数的方法:
陷门单向函数
定义 陷门单向函数是一类满足下述条件的单向函数: (1) 正向计算容易。若已知Pk和消息x, y=f Pk(x) (2) 在不知密钥Sk (Sk是陷门信息)的情况下, 反向计算是不可行的。
(3) 在已知密钥Sk的情况下,反向计算是容易的。 即 x=f -1Sk(y)
(3) 公钥系统
在一个公钥系统中,所有用户共同选定一个陷门单 向函数,加密运算E。用户i从陷门集中选定zi,并 公开Ezi。
–传统加密算法无法实现抗抵赖的需求
公钥密码体制
• 公钥密码又称为双钥密码、非对称密码 • 公钥密码体制提出的标志性文献:
– W.Diffie and M.E.Hellman, New Directions in Cryptography, IEEE Transaction on Information Theory, V.IT-22.No.6, Nov 1976, PP.644-654
3. 计算离散对数不因数分解有着密切的关系,如果能成功解 决离散对数问题,则也能解决因子分解问题。(注:其逆命 题的正确性还有待证明)
主要内容
• • • • • • • 问题提出与公钥密码基本概念 公钥密码基本应用 陷门单向函数 RSA密码体制 DH密钥交换算法 离散对数密码体制 椭圆曲线密码体制
群
• 群的概念
– 是由一个非空集合G组成,在集合G中定义了一个二元运算符“· ”, – 并满足以下性质的代数系统,记为{G, ·}
离散对数问题
1. 设p是一大素数,a < p,已知x,求解ax (mod p)的模指数 运 算比较容易。模指数运算的逆问题是找出某个数的离散对 数,即:已知y, a以及大素数p ,求x使得:ax = y (mod p)。 2. 在素数域中有三种计算离散对数的方法:
陷门单向函数
定义 陷门单向函数是一类满足下述条件的单向函数: (1) 正向计算容易。若已知Pk和消息x, y=f Pk(x) (2) 在不知密钥Sk (Sk是陷门信息)的情况下, 反向计算是不可行的。
(3) 在已知密钥Sk的情况下,反向计算是容易的。 即 x=f -1Sk(y)
(3) 公钥系统
在一个公钥系统中,所有用户共同选定一个陷门单 向函数,加密运算E。用户i从陷门集中选定zi,并 公开Ezi。
–传统加密算法无法实现抗抵赖的需求
公钥密码体制
• 公钥密码又称为双钥密码、非对称密码 • 公钥密码体制提出的标志性文献:
– W.Diffie and M.E.Hellman, New Directions in Cryptography, IEEE Transaction on Information Theory, V.IT-22.No.6, Nov 1976, PP.644-654
05_密码学基础(四)_公开密钥密码算法
密钥分配
使用对称密码算法 保密通信双方需共享密钥:A&B,B&C,C&A N个用户集需要N(N-1)/2个共享密钥 共享密钥需要经常更换,更换方式有
A选择密钥并手工传递给B 第三方C选择密钥分别手工传递给A,B 用A,B原有共享密钥传送新密钥 与A,B分别有共享密钥的第三方C传送新密钥给A和/ 或B
数论简介
欧拉定理 表述1: 将Z/(n)表示为 Zn,其中n=pq; p,q为素数且相异。 若Z*n={g∈ Zn|gcd(g,n)=1},易见Z*n为(n)阶的乘 法群,且有 g(n)1(mod n),而 (n)=(p-1)(q-1)。 表述2: 若整数g和n互素,则g(n) ≡1(mod n);其中(n)为比 n小,但与n互素的正整数个数, 称为(n)的欧拉函数 表述3: 给定两个素数p和q,以及两个整数m、n,使得n=pq ,且0<m<n,对于任意整数k下列关系成立,
公钥密码学的历史
76年Diffie和Hellman发表了“密码学的新方向 ”,奠定了公钥密码学的基础 公钥技术是二十世纪最伟大的思想之一
改变了密钥分发的方式 可以广泛用于数字签名和身份认证服务
78年,RSA算法 PKI
公钥加密模型
公开密钥的加密
公开密钥密码的重要特性 加密与解密由不同的密钥完成 加密: X –>Y:Y = EKU(X) 解密: Y –>X: X = DKR(Y) = DKR(EKU(X)) 知道加密算法,从加密密钥得到解密密钥在计算上是 不可行的; 两个密钥中任何一个都可以用作加密而另一个用作解 密 X = DKR(EKU(X)) = EKU(DKR(X))
网络安全_双(公)钥密码体制
明文
DA
EB
密文 信道 保密
DB
EA
明文
认证
dBob(Z)=dBobeBob(x,y)=(x,y) 然后检验 VerAlice(x,y)= 真 问题:若Alice首先对消息x进行加密,然后再签名,结果 如何呢?Y=SigAlice(eBob(x)) Alice 将(z,y)传给Bob,Bob先将z解密, 获取x;然后用VerAlice检验关于x的加密签名y。这个方法的一个潜 在问题是,如果Oscar获得了这对(z,y),他能用自己的签名来替 代Alice的签名 y=SigOscar(eBob(x)) (注意:Oscar能签名密文eBob(x),甚至他不知明文x也能做。Oscar 传送(z,y )给Bob,Bob可能推断明文x来自Oscar。所以,至今人 么还是推荐先签名后加密。)
(3)存在δ,已知δ 时,对给定的任何y,若相应的x 存在,则计算x使y=f(x)是容易的。 注:1*. 仅满足(1)、(2)两条的称为单向函数;第(3)条称 为陷门性,δ 称为陷门信息。 2*. 当用陷门函数f作为加密函数时,可将f公开,这 相当于公开加密密钥。此时加密密钥便称为公开 钥,记为Pk。 f函数的设计者将δ 保密,用作解 密密钥,此时δ 称为秘密钥匙,记为Sk。由于加 密函数时公开的,任何人都可以将信息x加密成 y=f(x),然后送给函数的设计者(当然可以通过 不安全信道传送);由于设计者拥有Sk,他自然 可以解出x=f-1(y)。 3*.单向陷门函数的第(2)条性质表明窃听者由截获的 密文y=f(x)推测x是不可行的。
2 、模 算术
全体整数构成的集合对整数的加法和乘法的两种 运算是封闭的且满足算术运算的所有定律,此时我们 称整数集合z为整数环。 带余除法: a∈z,>0,可找出两个唯一确定的整数q和r, 使a=qm+r, 0<=r< m,q和r这两个数分别称为以m去 除a所得到的商数和余数。 (若r=0则m∣a) 整数同余式和同余方程: 定义(同余)称整数a模正整数m同余于整数b, 并写a≡b(mod m)是指m∣a-b, m称为模数。 eg: 4≡6(mod 2); 3≡9(mod 6) 注:1*.m∣a-ba=q1m+r,b=q2m+r即a和b分别 除以 m有相同的余数。“同余”二字的来源就在于此。
密码学第5章公钥密码
一方面公钥密码算法的基本工具不再是代换和置换, 而是数学函数; 另一方面公钥密码算法是以非对称的形式使用两个密 钥,两个密钥的使用对保密性、密钥分配、认证等都 有着深刻的意义。可以说公钥密码体制的出现在密码 学史上是一个最大的、真正的革命。
公钥密码体制的概念是在解决对称密码体制中最 难解决的两个问题时提出的,这两个问题是密钥 分配和数字签名。
认证、保密模型
公钥密码体制的认证、保密框图
认证、保密步骤
①发方首先用自己的私钥SKA对消息m加密,用于 提供数字签名。再用收方的公钥PKB进行第二次 加密,表示为 c=EPKB [ESKA [m]] ②解密过程为 m=DPKA [DSKB [c]] 即收方先用自己的私钥、再用发方的公钥对收到 的密文进行两次解密。
模运算
一般的,定义Zn为小于n的所有非负整数集合, 即Zn={0, 1,…, n1},称Zn为模n的同余类集合 。Zn中的加法(+)和乘法()都为模n运算,具有 如下性质: ①交换律 (w+x)mod n = (x+w) mod n (wx)mod n = (xw) mod n ②结合律 [(w+x)+y] mod n =[w+(x+y)] mod n [(wx)y] mod n =[w(xy)] mod n
多项式求根问题 有限域GF(p)上的一个多项式:
y f ( x) x an1 x
n
n1
a1 x a0 mod p
已知 a0 , a1 ,..., an1, p和x,求y是容易的,而 已知 a0 , a1 ,..., an1 和y,求x则是困难的。 判断Diffie-Hellman问题(decision Diffie-Hellman problem, DDHP) x a g 给定素数p,令g是的一个生成元。已知 , b g y , c g z ,判断等式:z=xy mod p 是否成 立。
公钥密码体制的概念是在解决对称密码体制中最 难解决的两个问题时提出的,这两个问题是密钥 分配和数字签名。
认证、保密模型
公钥密码体制的认证、保密框图
认证、保密步骤
①发方首先用自己的私钥SKA对消息m加密,用于 提供数字签名。再用收方的公钥PKB进行第二次 加密,表示为 c=EPKB [ESKA [m]] ②解密过程为 m=DPKA [DSKB [c]] 即收方先用自己的私钥、再用发方的公钥对收到 的密文进行两次解密。
模运算
一般的,定义Zn为小于n的所有非负整数集合, 即Zn={0, 1,…, n1},称Zn为模n的同余类集合 。Zn中的加法(+)和乘法()都为模n运算,具有 如下性质: ①交换律 (w+x)mod n = (x+w) mod n (wx)mod n = (xw) mod n ②结合律 [(w+x)+y] mod n =[w+(x+y)] mod n [(wx)y] mod n =[w(xy)] mod n
多项式求根问题 有限域GF(p)上的一个多项式:
y f ( x) x an1 x
n
n1
a1 x a0 mod p
已知 a0 , a1 ,..., an1, p和x,求y是容易的,而 已知 a0 , a1 ,..., an1 和y,求x则是困难的。 判断Diffie-Hellman问题(decision Diffie-Hellman problem, DDHP) x a g 给定素数p,令g是的一个生成元。已知 , b g y , c g z ,判断等式:z=xy mod p 是否成 立。
密码学公钥密码-PPT
RSA算法得论证
假设截获密文C, 从中求出明文M。她知道 M≡Cd mod n,
因为n就是公开得,要从C中求出明文M,必须先求出d,而d 就是保密得。但知道,
ed≡1 mod Ø(n), E就是公开得,要从中求出d,必须先求出Ø(n),而Ø(n)就是 保密得。
RSA算法得论证
在计算上由公开密钥不能求出解密密钥 但知道,Ø(n)=(p-1)(q-1) 要从中求出Ø(n),必须先求出p与q,而p与q就是保密得。 知道 n=pq,要从n求出p与q,只有对n进行因子分解。 而当n足够大时,这就是很困难得。 只要能对n进行因子分解,便可攻破RSA密码。由此可以 得出,破译RSA密码得困难性<=对n因子分解得困难性。 目前尚不能证明两者就是否能确切相等,因为不能确知除 了 对n进行因子分解得方法外,就是否还有别得更简捷得破译 方法。 目前只有Rabin密码具有:
注:严格来说,公开钥为 e,秘密钥为 d, n 算做公开信息,p,q 为保密信息
2. 加密 先将明文比特串分组,使得每个分组对应的十进制数小于 n,
即分组长度小于 log2n,设分组大小为 k, 2k < n ≤ 2k+1。 然后对每个明文分组 m,作加密运算: c≡me mod n
3. 解密 对密文分组的解密运算为: m≡cd mod n
见:第8章 数论入门、
经典例子
RSA算法 Diffe-Hellman密钥交换算法 ElGamal密码体制 椭圆曲线密码体制ECC
RSA公开密钥算法
RSA算法描述 RSA得实现问题 RSA得安全性
RSA公开密钥算法
1977年由Ron Rivest、Adi Shamir与Len Adleman发明,1978年公布 就是一种分组加密算法
《密码学》金晨辉 第五章 公钥密码 5.2 RSA安全性分析
分解 N
d 分解 N
分解 N d
求 d 的难度 分解 N 的难度
三、不动点攻击
定义 如果
me(modN)m
则称 m 为RSA的一个不动点。
特点: (1) 密文就是明文,因而直接暴露了明文。
三、不动点攻击
(2) 利用一个非零不动点可以超过1/2的概率分解N 对于任一非零不动点 w
gcd(w, N)≠1
四、共模RSA体制的分析
RSA共模体制:在网络环境中,所有用户 共用一个相同的模数 N。
(1)任一个用户A 均可由其密钥对
(eA, d A )
用户A可分解大合数 N
eB
dB
结论:系统中的任何一个用户都能破译其它 用户加密的信息。
四、共模RSA体制的分析
(2)通播信息是不安全的
设一个用户A要向 r 个用户发送同一信息 m, 则可得密文:
密码学
第五章 公钥密码
RSA安全性分析
RSA安全性分析1Fra bibliotek大合数分解进展
2 由N和e求d的难度分析
3
不动点攻击
4 共模RSA体制的分析
回顾RSA密码体制
选取两个大素数 p , q,计算
参数 N = pq , (N ) lc m (p 1 ,q 1 )
选取 选取 e , gcd(e, (N)) = 1, 求 d 使得
N|(w2s1r1)(w2s1r1) NN |w |2 (sw w 1r22ss 221 rr且 11)N ((w w |22ssw 222 rrs 1r11 ))1
对要于有可一t以=个分s-满1解,…足N,1,0, 只
N|可(w以2t r分解1)(Nw2t r 1)
N|w 2 …s2r…1 …且 …N|w 2s2r1 N | w2t r 1且N | w2t r 1
d 分解 N
分解 N d
求 d 的难度 分解 N 的难度
三、不动点攻击
定义 如果
me(modN)m
则称 m 为RSA的一个不动点。
特点: (1) 密文就是明文,因而直接暴露了明文。
三、不动点攻击
(2) 利用一个非零不动点可以超过1/2的概率分解N 对于任一非零不动点 w
gcd(w, N)≠1
四、共模RSA体制的分析
RSA共模体制:在网络环境中,所有用户 共用一个相同的模数 N。
(1)任一个用户A 均可由其密钥对
(eA, d A )
用户A可分解大合数 N
eB
dB
结论:系统中的任何一个用户都能破译其它 用户加密的信息。
四、共模RSA体制的分析
(2)通播信息是不安全的
设一个用户A要向 r 个用户发送同一信息 m, 则可得密文:
密码学
第五章 公钥密码
RSA安全性分析
RSA安全性分析1Fra bibliotek大合数分解进展
2 由N和e求d的难度分析
3
不动点攻击
4 共模RSA体制的分析
回顾RSA密码体制
选取两个大素数 p , q,计算
参数 N = pq , (N ) lc m (p 1 ,q 1 )
选取 选取 e , gcd(e, (N)) = 1, 求 d 使得
N|(w2s1r1)(w2s1r1) NN |w |2 (sw w 1r22ss 221 rr且 11)N ((w w |22ssw 222 rrs 1r11 ))1
对要于有可一t以=个分s-满1解,…足N,1,0, 只
N|可(w以2t r分解1)(Nw2t r 1)
N|w 2 …s2r…1 …且 …N|w 2s2r1 N | w2t r 1且N | w2t r 1
椭圆曲线密码体制所使用的域的参数
椭圆曲线密码体制所使用的域的参数
椭圆曲线密码体制所使用的域的参数包括:
1. 椭圆曲线参数:选择一个椭圆曲线,以及其阶数和基点。
2. 有限域参数:选择一个有限域,通常是一个素域或一个二次扩域。
3. 曲线上的点:选择一个椭圆曲线上的点,作为公钥和私钥的起点。
4. 哈希函数:选择一个哈希函数,将消息映射到椭圆曲线上的点。
5. 参数共享:对于多个用户的情况,选择一个共享的参数,用于生成多个用户的公钥和私钥。
这些参数的选择对于椭圆曲线密码体制的安全性和效率都非常重要。
在选择这些参数时,需要考虑到诸如计算效率、安全性和参数的易管理性等因素。
第5章-第2讲 双钥密码体制(二)
安全性是基于计算离散对数的困难性
Diffie-Hellman 应用的问题
一
两个主体每次可以选择新的秘密钥(私钥),并计算及 交换新的公钥
可以抵抗被动攻击,但不能抵抗主动攻击
二
三 四
为抵抗主动攻击,需要其它新的协议
每次可以给出新的密钥,也可以建立长期公钥
双钥密码体制(第2讲)
一 Diffie-Hellman密钥交换
Diffie-Hellman 密钥分配方案
1. 2. 3. 4. 5. 6. 两个通信主体Alice和Bob ,希望在公开信道上建 立共享密钥 选择一个大素数p (~200 digits) 一个生成元a Alice 选择一个秘密钥( private key) xA < p Bob选择一个秘密钥( private key )xB < p Alice and Bob 计算他们的公开密钥: yA = axA mod p, yB = axB mod p
选择p=211,E211(0,-4),即椭圆曲线为y2≡x3-4mod 211
G=(2,2)是E211(0,-4)上的一个生成元,阶n=241,241G=O
A取私钥为nA=121,可计算公钥PA=121 ×(2,2)=(115,48) B取私钥为nB=203,可计算公钥PB=203 ×(2,2)=(130,203) A计算共享密钥:121×PB=121× (130,203)=(161,169) B计算共享密钥:203×PA=203× (115, 48)=(161,169) 可见,此时A和B共享密钥是一对数据。 如果在后续采用单钥体制加密时,可以简单地取其中的 一个坐标,比如x坐标,或x坐标的一个简单函数作为共 共享的密钥进行加密/解密运算。
7 2 mod23 (93 9 1) mod23 49 mod23 739mod23 3 mod23 3 mod23
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2、椭圆曲线公钥密码算法
1)参数选取
选取有限域 F 上的椭圆曲线
E : y2 x3 ax b
和其上一个阶为素数 n 的点 P = ( xP,yP )。 在[1,n-1]内随机选取整数 d,计算Q = dP
用户公钥:点 Q 用户私钥:整数 d
三、椭圆曲线公钥密码体制
2)加脱密算法
加密: 用户A给用户B发送信息 m,m F
ECC标准:ANSI X9.62、IEEE P1363等。
二、有限域上的椭圆曲线
椭圆曲线指的是由Weierstrass方程
y2 a1xy a3 y x3 a2 x2 a4 x a6
所确定的曲线。
先从 y2 x3 ax c 来探讨椭圆曲线的图像。
二、有限域上的椭圆曲线
实数域 R 上的椭圆曲线 y2 x3 ax b
三、椭圆曲线公钥密码体制
1、安全性基础
定义3 设 E 是有限域 F 上的椭圆曲线,G 是 E 的一个循环子群,点 P 是 G 的一个生成元,即
G = { kP : k 1},在已知 P, Q 的条件下,求解
整数n,使得 nP = Q 的问题,称为椭圆曲线 E 上 的离散对数问题。
三、椭圆曲线公钥密码体制
R=2P
x R’
二、有限域上的椭圆曲线
2、椭圆曲线上的加法运算
y
当P与Q关于x轴对称时,
P
定义P与Q的和为O ,即
P+Q=O
x
并称 O 为无穷远点
Q
二、有限域上的椭圆曲线
可以证明,有限域上的椭圆曲线在我们定义 的加法运算下构成群。
既然构成群,就必然有零元和负元,这里的 零元就为无穷远点O,P的负元就是它关于x轴的对
例:F23上的一个椭圆曲线为y2 = x3 + x ,
则该方程在F23上的解(即该椭圆曲线上的点)为 ( 0, 0),( 1, 5),( 1,18),( 9, 5),( 9,18), (11,10),(11,13),(13, 5),(13,18),(15, 3), (15,20),(16, 8),(16,15),(17,10),(17,13), (18,10),(18,13),(19, 1),(19,22),(20, 4), (20,19),(21, 6),(21,17), 无穷远点Ο.
目前,前两个问题都有了亚指数时间算法。
一、ECC应用背景
1985年,Koblitz 和Miller独立地提出了椭圆曲 线公钥密码体制(ECC),安全性基于椭圆曲线群上 的离散对数问题的难解性,该问题目前最好的解法 是指数级时间的算法。
一般认为,RSA和D-H密钥交换协议需用1024 比特以上的模数才安全,但对ECC,只要160比特 的模数就可达到同样级别的安全性。
y
x
c
解得
P(x1, y1)
Q(x2, y2)
R=P+Q
x
R’
x3
y3
2 ( x1
x1 x2 x3 )
y1
二、有限域上的椭圆曲线
y2 x3 ax b
当P≠Q时,
y2 y1
x2 x1
当P=Q时,
3x12 a2 y1yP来自x1, y1) Q(x2, y2)
R
x
R’
y
P(x1, y1)
R
x
R’
二、有限域上的椭圆曲线
k(k>2)个相同的点P相加为
3P P P kP
k
此时称之为点乘运算
y
2P P
x
二、有限域上的椭圆曲线
定义2 设 P E(F), n min{k | k 0, kP O} 称n为点P 的阶,记为 n=ord(P)。
由阶为 n 的点 P 在上述加法定义下生成的循环 群<P> 是椭圆曲线群 (E(F), +)的一个n阶子群。
y
x
二、有限域上的椭圆曲线
1、有限域上椭圆曲线的定义
定义1 有限域 F 上的椭圆曲线 y2 x3 是ax由满b
足F 上的方程
y的2 所x有3 点ax和无b 穷远点 O 构
成的集合
E(F ) {O}{(x, y) F F : y2 x3 ax b}
有时也记作E 。
二、有限域上的椭圆曲线
二、有限域上的椭圆曲线
2、椭圆曲线上的加法运算
设P, Q是E上的任意两 点, 连接P, Q交E于R’, 则称R’关于x轴的对称 点R为P与Q的和, 记为
P+Q=R
y
P Q
R=P+Q
x R’
二、有限域上的椭圆曲线
2、椭圆曲线上的加法运算
y
当P与Q重合时
P(Q)
R = P+Q = P+P = 2P
此时称之为倍乘运算
( x2,y2 ) = d( x1,y1 )
(2)通过计算 m = cx2-1,恢复出明文数据 m
相关问题
有限域 F 的选择 椭圆曲线的选择 点乘的快速实现
称点,记为–P。
显然有 P+O=O+P=P 若 P=(x, y),则 –P = (x, –y) 且 P + (–P) = O
二、有限域上的椭圆曲线
3、加法运算的代数表示
已知E(F)上两点P = (x1, y1), Q = (x2, y2) , 求P+Q。
解:设P+Q=R =(x3, y3),
y
y2 x3 ax b
密码学
第五章 公钥密码
5.4 椭圆曲线公钥密码体制
5.4 椭圆曲线公钥密码体制
1 ECC应用背景 2 有限域上的椭圆曲线 3 椭圆曲线公钥密码体制
一、ECC应用背景
公钥密码体制都建立在数学难题之上,现在 被广泛认可和使用的三类数学难题是: 1、大整数因子分解问题; 2、有限域乘法群上的离散对数问题; 3、椭圆曲线上的离散对数问题。
(1)在[1,n-1]内随机选取整数 k,计算 kP = ( x1,y1 )
(2)计算 kQ = (x2,y2),若 x2= 0,则回到(1)
(3)计算 c = mx2 密文为 (x1,y1 ,c)
三、椭圆曲线公钥密码体制
脱密: 用户B收到密文( x1,y1 ,c )后,
(1)用自己的私钥 d 计算
一、ECC应用背景
ECC与RSA性能比较
破解所需时 间(MIPS年)
104 108 1012 1020
RSA 密钥大小
512 768 1024 2048
ECC 密钥大小
106 132 160 210
RSA/ECC 密钥大小之比
5:1 6:1 7:1 10:1
ECC的高强度安全性带来了许多优点:可使用较 短的密钥;数字签名和证书小;运算速度快等。
1)参数选取
选取有限域 F 上的椭圆曲线
E : y2 x3 ax b
和其上一个阶为素数 n 的点 P = ( xP,yP )。 在[1,n-1]内随机选取整数 d,计算Q = dP
用户公钥:点 Q 用户私钥:整数 d
三、椭圆曲线公钥密码体制
2)加脱密算法
加密: 用户A给用户B发送信息 m,m F
ECC标准:ANSI X9.62、IEEE P1363等。
二、有限域上的椭圆曲线
椭圆曲线指的是由Weierstrass方程
y2 a1xy a3 y x3 a2 x2 a4 x a6
所确定的曲线。
先从 y2 x3 ax c 来探讨椭圆曲线的图像。
二、有限域上的椭圆曲线
实数域 R 上的椭圆曲线 y2 x3 ax b
三、椭圆曲线公钥密码体制
1、安全性基础
定义3 设 E 是有限域 F 上的椭圆曲线,G 是 E 的一个循环子群,点 P 是 G 的一个生成元,即
G = { kP : k 1},在已知 P, Q 的条件下,求解
整数n,使得 nP = Q 的问题,称为椭圆曲线 E 上 的离散对数问题。
三、椭圆曲线公钥密码体制
R=2P
x R’
二、有限域上的椭圆曲线
2、椭圆曲线上的加法运算
y
当P与Q关于x轴对称时,
P
定义P与Q的和为O ,即
P+Q=O
x
并称 O 为无穷远点
Q
二、有限域上的椭圆曲线
可以证明,有限域上的椭圆曲线在我们定义 的加法运算下构成群。
既然构成群,就必然有零元和负元,这里的 零元就为无穷远点O,P的负元就是它关于x轴的对
例:F23上的一个椭圆曲线为y2 = x3 + x ,
则该方程在F23上的解(即该椭圆曲线上的点)为 ( 0, 0),( 1, 5),( 1,18),( 9, 5),( 9,18), (11,10),(11,13),(13, 5),(13,18),(15, 3), (15,20),(16, 8),(16,15),(17,10),(17,13), (18,10),(18,13),(19, 1),(19,22),(20, 4), (20,19),(21, 6),(21,17), 无穷远点Ο.
目前,前两个问题都有了亚指数时间算法。
一、ECC应用背景
1985年,Koblitz 和Miller独立地提出了椭圆曲 线公钥密码体制(ECC),安全性基于椭圆曲线群上 的离散对数问题的难解性,该问题目前最好的解法 是指数级时间的算法。
一般认为,RSA和D-H密钥交换协议需用1024 比特以上的模数才安全,但对ECC,只要160比特 的模数就可达到同样级别的安全性。
y
x
c
解得
P(x1, y1)
Q(x2, y2)
R=P+Q
x
R’
x3
y3
2 ( x1
x1 x2 x3 )
y1
二、有限域上的椭圆曲线
y2 x3 ax b
当P≠Q时,
y2 y1
x2 x1
当P=Q时,
3x12 a2 y1yP来自x1, y1) Q(x2, y2)
R
x
R’
y
P(x1, y1)
R
x
R’
二、有限域上的椭圆曲线
k(k>2)个相同的点P相加为
3P P P kP
k
此时称之为点乘运算
y
2P P
x
二、有限域上的椭圆曲线
定义2 设 P E(F), n min{k | k 0, kP O} 称n为点P 的阶,记为 n=ord(P)。
由阶为 n 的点 P 在上述加法定义下生成的循环 群<P> 是椭圆曲线群 (E(F), +)的一个n阶子群。
y
x
二、有限域上的椭圆曲线
1、有限域上椭圆曲线的定义
定义1 有限域 F 上的椭圆曲线 y2 x3 是ax由满b
足F 上的方程
y的2 所x有3 点ax和无b 穷远点 O 构
成的集合
E(F ) {O}{(x, y) F F : y2 x3 ax b}
有时也记作E 。
二、有限域上的椭圆曲线
二、有限域上的椭圆曲线
2、椭圆曲线上的加法运算
设P, Q是E上的任意两 点, 连接P, Q交E于R’, 则称R’关于x轴的对称 点R为P与Q的和, 记为
P+Q=R
y
P Q
R=P+Q
x R’
二、有限域上的椭圆曲线
2、椭圆曲线上的加法运算
y
当P与Q重合时
P(Q)
R = P+Q = P+P = 2P
此时称之为倍乘运算
( x2,y2 ) = d( x1,y1 )
(2)通过计算 m = cx2-1,恢复出明文数据 m
相关问题
有限域 F 的选择 椭圆曲线的选择 点乘的快速实现
称点,记为–P。
显然有 P+O=O+P=P 若 P=(x, y),则 –P = (x, –y) 且 P + (–P) = O
二、有限域上的椭圆曲线
3、加法运算的代数表示
已知E(F)上两点P = (x1, y1), Q = (x2, y2) , 求P+Q。
解:设P+Q=R =(x3, y3),
y
y2 x3 ax b
密码学
第五章 公钥密码
5.4 椭圆曲线公钥密码体制
5.4 椭圆曲线公钥密码体制
1 ECC应用背景 2 有限域上的椭圆曲线 3 椭圆曲线公钥密码体制
一、ECC应用背景
公钥密码体制都建立在数学难题之上,现在 被广泛认可和使用的三类数学难题是: 1、大整数因子分解问题; 2、有限域乘法群上的离散对数问题; 3、椭圆曲线上的离散对数问题。
(1)在[1,n-1]内随机选取整数 k,计算 kP = ( x1,y1 )
(2)计算 kQ = (x2,y2),若 x2= 0,则回到(1)
(3)计算 c = mx2 密文为 (x1,y1 ,c)
三、椭圆曲线公钥密码体制
脱密: 用户B收到密文( x1,y1 ,c )后,
(1)用自己的私钥 d 计算
一、ECC应用背景
ECC与RSA性能比较
破解所需时 间(MIPS年)
104 108 1012 1020
RSA 密钥大小
512 768 1024 2048
ECC 密钥大小
106 132 160 210
RSA/ECC 密钥大小之比
5:1 6:1 7:1 10:1
ECC的高强度安全性带来了许多优点:可使用较 短的密钥;数字签名和证书小;运算速度快等。