第十一讲椭圆曲线

合集下载

第十一讲-椭圆曲线

第十一讲-椭圆曲线.ppt
1984年，Hendrik Lenstra提出了依靠椭圆曲线性质分解整数的精妙算法。这一发现激发了学者进一步研究椭圆曲线在密码和计算数论的其它应用。
椭圆曲线密码在1985年分别由Neal Koblitz 和Victor Miller提出。椭圆曲线密码方案为公钥机制，提供如同RSA一样的功能。但是，它的安全性依赖不同的困难问题，也就是椭圆曲线离散对数问题(ECDLP)。
2.3 加法法则(续) 弦和切线法则(续)
2.3 加法法则(续)
No Image
2.3 加法法则(续)
2.3 加法法则(续) 代数公式
2.3 加法法则(续)
3 有限域上的椭圆曲线
3.1 模素数p的椭圆曲线，p≠2，3情形 3.1.1 加法法则
3.1.2 例子
3.1.2 例子(续)
3.2 有限域GF(2n)上的椭圆曲线
我们知道解决分解整数问题需要亚指数时间
复杂度的算法，而目前已知计算ECDLP的
最好方法都需要全指数时间复杂度。这意味
着在椭圆曲线系统中我们只需要使用相对于 RSA 短多的密钥就可以达到与其相同的安全强度。例如，一般认为160比特的椭圆曲线密钥提供的安全强度与1024比特RSA密
钥相当。使用短的密钥的好处在于加解密速度快、节省能源、节省带宽、存储空间。
5.1 椭圆曲线分解算法
5.1 椭圆曲线分解算法(续)
5.1 椭圆曲线分解算法(续)
5.1 椭圆曲线分解算法(续)
5.1 椭圆曲线分解算法(续)
5.1 椭圆曲线分解算法(续)
5.2 退化曲线
5.2 退化曲线(续)
4.1 明文表示(续)
4.2 椭圆曲线ElGamal密码系统

椭圆曲线——精选推荐

椭圆曲线⼀、概述椭圆曲线加密算法依赖于椭圆曲线理论，后者理论涵盖的知识⽐较深⼴，⽽且涉及数论中⽐较深奥的问题。

经过数学家⼏百年的研究积累，已经有很多重要的成果，⼀些很棘⼿的数学难题依赖椭圆曲线理论得以解决（⽐如费马⼤定理）。

本⽂涉及的椭圆曲线知识只是抽取与密码学相关的很⼩的⼀个⾓落，涉及到很浅的理论的知识，同时也是⼀点⽐较肤浅的总结和认识，重点是利⽤椭圆曲线结合数学技巧阐述加密算法的过程和原理。

本⽂特意构造有⽐较多的实例⽅便理解其过程和原理。

⼆、椭圆曲线椭圆曲线⽅程来源于椭圆积分，后者来最初来源于计算椭圆周长的问题，有⼀段时间的历史了，在欧拉时期就开始研究。

椭圆周长没有精确的初等函数的公式表⽰，只有近似的公式表⽰，精确的椭圆周长可以⽤不定积分表⽰。

现在⼀般将形如如下形式的积分定义为椭圆积分：其中R是其两个参数的有理函数，P是⼀个⽆重根的3或4阶多项式，⽽c是⼀个常数。

椭圆曲线⽅程与P(t)表现形式⽐较相像。

数学上的椭圆曲线⼀般由如下形式给出：椭圆曲线都是关于X轴对称的曲线。

典型的椭圆曲线如：，其图像为：更多的椭圆曲线图像：限定Δ不为零有特殊的意义。

如果判别式Δ(E)等于零，由三次⽅程判别式判定理可知，⽅程x3+ax2+bx+c=0存在⼆重根或者三重根，曲线表现为"⾃相交"或者有“尖点”。

两个典型的例⼦是:在密码学中⽤到的椭圆曲线⽅程⼀般限定为：也即是这⾥的⼆次项系数为0。

三、椭圆曲线算术椭圆曲线上可以定义⼀些很有意思的特殊运算规则。

⼀般来说会定义两种运算：加法和数乘运算。

加法运算是点与点之间的运算；数乘运算基于加法运算，重复的加法运算就是数乘。

1、实数域的加法运算1.1、加法运算的⼏何解释已知椭圆曲线上两个不同的点P和Q，则这两个点之和R=P+Q可以通过如下操作得到：过P、Q两点做直线L，与椭圆曲线相交于第三点，该点关于X轴的对称点即是所求的R点。

椭圆曲线的这种加法运算有⽐较明确的⼏何含义。

椭圆基本知识PPT课件

（2）若 a=c ，则集合P为线段；（3）若 a＜c，则集合P为空集.
(2)第二定义：动点 M 到定点 F 的距离和它到定直线 l 的距离之比等于常数 e(0<e<1)，则动点 M 的轨迹是椭圆，定点 F 是椭圆的焦点，定直线 l 叫做椭圆的准线，常数 e 是椭圆的离心率．这里要注意：一是动点 M 到定点的距离除以它到定直线的距离，其商是常数 e；二是这个常数 e 的取值范围是(0,1)；三是定点 F 不在定直线 l 上． 2．椭圆的两种标准方程 ax22＋by22＝1，ay22＋bx22＝1. (1)a>b>0；(2)a2－b2＝c2.
第1页/共61页
3.椭圆的几何性质
标准方程
x2 a2
y2 b2
1(a
b
0)
y2 a2
x2 b2
1(a
b 0)
图形
第2页/共61页
范围对称性
顶点
-a≤x≤a -b≤y≤b
对称轴：坐标轴
A1(-a,0),A2(a,0) B1(0,-b),B2(0,b)
-b≤x≤b -a≤y≤a
对称中心：原点
[8分]
设A，B的坐标分别为（x1,y1）,(x2,y2).
由题意x1≠x2,
x12 y12 1
①
94
x22 y22 1 94
②
由①-②得：
(x1 x2 )( x1 x2 ) ( y1 y2 )( y1 y2 ) 0.
60°=
3 b2 , 3
即△PF1F2的面积只与短轴长有关.
第23页/共61页
探究提高（1）椭圆上一点与两焦点构成的三角
形，称为椭圆的焦点三角形，与焦点三角形有关的

椭圆曲线

15
椭圆曲线E23(1,0) 的点的构造
即 y2
= x3 + x在有限域F23上的点的构造
16
椭圆曲线E23(1,0) 的点的构造
满足条件的23个点是: (0,0) (1,5) (1,18) (11,10) (11,13) (13,5) (15,20) (16,8) (16,15) (18,10) (18,13) (19,1) (20,19) (21,6) (21,17) (9,5) (13,18) (17,10) (19,22) (9,18) (15,3) (17,13) (20,4)
( E , )是阿贝尔群。
11
加法运算的结合律
O
C
A
B
Maple 程序 with(plots): k:=1.1; expr:={x*(x-1)*(x+1)-k*y*(y+1)*(y-1),x,y,x-1,x+1,y-1,y+1,y-(x+1)/2}; contourplot(expr,x=-3..3,y=-3..3, contours=[0],axes=BOXED,thickness=3, numpoints=10000);
27Biblioteka 椭圆曲线群• 椭圆曲线E(Fq)和椭圆曲线E(F2m)对于点的加法运算形成一个Abel群
28
阶(order)
• 椭圆曲线的阶是指椭圆曲线的点个数 • 椭圆曲线中的点P的阶是指满足kP=O的最小的整数k
29
椭圆曲线的离散对数问题
给定椭圆曲线上的点 P 和点 Q , 寻找数 k 使得 kP 例如: 对于椭圆曲线：
过P点作切线
R
P
2*P
9
求点P的二倍的特例

椭圆的概念动图制作

椭圆的概念动图制作椭圆，又称为椭圆曲线，是数学中的一个基本几何图形。

它是把平面上到两个固定点F1和F2的距离之和等于定值2a的所有点P的轨迹。

而F1和F2为椭圆的焦点，a为离心率，而b为半短轴的长，b均为角度而论。

而b为半长轴的长，所以a和b是椭圆长短轴的长度。

椭圆曲线在几何形状上的定义为，一对焦点F1和F2之间的距离大于2a，而未展开时的形状近似横向椭圆；而其斜率以及切线造成的精确评判上的偏差最沉至的度量，如何作点直连而成的斜率进行求解，而未展开的点斜式变化率作为度量，及其切线的位置关系，显示了精确评判上椭圆曲线的垂直因子和平行倾向。

尽管椭圆曲线的公式看起来有些抽象和复杂，但它在现代数学和密码学中有着广泛的应用。

例如，在密码学中，椭圆曲线被用来构建一种称为椭圆曲线密码算法的加密方法，这种方法比传统的RSA算法更难破解，因此更加安全可靠。

此外，椭圆曲线也被广泛应用于无线通信领域，例如在4G和5G通信协议中就使用了椭圆曲线密码算法来保护通信安全。

所以动图制作上来说，椭圆曲线的动态演示可以通过展示椭圆的一些特性，比如焦点、离心率、长轴、短轴等，来帮助观众更直观地理解椭圆曲线的几何特性。

在动图中，可以通过动态展示椭圆曲线的构造过程，展示出椭圆曲线的特点，增加了对椭圆曲线的直观感受，帮助理解椭圆曲线的数学概念。

首先，动图可以以一个初始点为起点，通过变化离心率不同的椭圆曲线来展示椭圆曲线的基本几何特性。

比如，可以展示当离心率为0时，椭圆变成一个圆；当离心率在0到1之间变化时，椭圆曲线的形状如何改变。

通过动态的图示，观众可以清楚地看到椭圆曲线的形状是如何随着离心率的变化而变化的。

其次，动图可以展示椭圆曲线的焦点。

椭圆曲线的焦点是一个重要的几何特性，它表示了所有到两个固定点的距离之和等于常数的点的轨迹。

通过动态展示椭圆曲线的焦点，观众可以直观地理解椭圆曲线的构造过程，从而更好地理解椭圆曲线的特性。

另外，动图也可以展示椭圆曲线的参数方程。

第十一讲椭圆曲线

本讲提要
Weierstrass方程实域上的椭圆曲线有限域上的椭圆曲线椭圆曲线密码椭圆曲线在分解中的应用
1 Weierstrass方程
定义1 定义1 域K上的椭圆曲线E由下述方程定义： E : y 2+a1 xy+a3 y=x 3+a2 x 2+a4 x+a6，其中a1，a2，a3，a4，a6 ∈ K且 ∆ ≠ 0，是E的判别式，具体定义如下： ∆
2.3 加法法则(续) 弦和切线法则(续)
(2) 按如下方法求出P的倍点R。首先，在P点做椭圆曲线的切线，这条切线与椭圆曲线相交于第二点，这个交点关于x轴的对称点就是R点。这一几何表示如上图(b)。
2.3 加法法则(续)
9) 例子1 例子1 假定一条椭圆曲线E被定义为 y 2 = x 3 + 73。令P = (2，和Q = (3，。通过 P 和Q的直线 L是 y = x + 7。代入E的方程 10) 得到( x + 7) 2 = x 3 + 73。因此，椭圆曲线与直线相交于第三点有x = −4。由于y = x + 7，我们有y = 3。因此，R = (−4， 3)。 − 假定我们做 R倍点(自加)。R点的椭圆曲线E的斜率可以通过对E的方程求导数得到： dy 3 x 2 2 ydy = 3x 2 dx，因此， = = −8。 dx 2 y 在这种情况下，直线L是y = −8( x + 4) − 3。代入E的方程可以得到(−8( x + 4) − 3) 2 = x 3 + 73。 4是重根。椭圆曲线与直线相交 − 的第三点有x = 72。我们有y = −611。因此，R = (72，11)。 6
2 3

【推选】椭圆曲线PPT资料

9.3 椭圆曲线的加法原理
运算法则：任意取椭圆曲线E上两点P、Q （若P、Q两点重合，则做P点的切线）做直线交于椭圆曲线的另一点R’，过R’做y轴的平行线交于R。我们规定P+Q=R
9.3 椭圆曲线的加法原理
（E,+）构成交换群
封闭单位元：P+e=P e=O∞，即零元逆元：P+(-P)=e 交换律：P+Q=Q+P 结合律：P+Q+T=P+(Q+T)
成另一个图形的映射，就叫做射影变换。 P(x1,y1),Q(x2,y2)的和R(x3,y3) 有如下关系 x3≡k2-x1-x2(mod p)
y3≡k(x1-x3)-y1(mod p)
概括的说，射影几何学是几何学的一个重其中若P=Q 则 k=(3x2+a)/2y1 若P≠Q，则k=(y2-y1)/(x2-x1)
一条直线的无穷远点只有一个，相交直线的无穷远点不同
都存在切线。 3、pt≠1 (mod n)，1≤t<20；
Fp上的椭圆曲线的加法交换律：P+Q=Q+P
右边不是椭圆曲线所以无穷远点：（X：Y：0）
3 椭圆曲线的加法原理
一条直线的无穷远点只有一个，相交直线的无穷远点不同表示一个点P=(x,y)T 齐次坐标：P=(xz,yz,z) T ；
经过同一无穷远点的所有直线平行一条直线的无穷远点只有一个，相交直线的无穷远点不同
平面上全体无穷远点构成一条无穷远直线。平面上全体无穷远点与全体平常点构成射影平面。
射影几何——无穷远点
十七世纪真正成为几何学的重要分支
因为C1-kC2=M+rK-k(rG)=M+rK-r(kG)=M

1椭圆曲线密码学：简介

1椭圆曲线密码学：简介原⽂链接：https:///2015/05/17/elliptic-curve-cryptography-a-gentle-introduction/你们中知道公钥密码学的⼈可能已经听说过ECC, ECDH或ECDSA。

第⼀个是椭圆曲线密码学（Elliptic Curve Cryptography）的⾸字母缩写，其他两个是基于它的算法的名称。

今天，我们可以在TLS、PGP和SSH中找到椭圆曲线密码系统，这只是现代⽹络和IT世界所基于的三种主要技术之⼀，更不⽤说⽐特币和其他加密货币了。

在ECC流⾏之前，⼏乎所有的公钥算法都是基于RSA、DSA和DH等（基于模块化算法的可选加密系统）。

RSA及其友类算法在今天仍然⾮常重要，并且经常和ECC⼀起使⽤。

然⽽，虽然RSA及其友类算法背后的魔⼒（原理）可以很容易解释，被⼴泛理解，粗略的代码实现也可以很容易地编写，但是ECC的实现基础对⼤多数⼈来说仍然是⼀个谜。

本⽂将通过⼀系列的博客⽂章介绍椭圆曲线密码学的世界。

本⽂的⽬标不是提供⼀个完整详细的ECC指南(⽹上有很多关于这个⽅⾯的信息)，⽽是提供⼀个简单的“ECC是什么”和“为什么它被认为是安全”的概述，⽽不是浪费时间在冗长的数学证明或枯燥的实现细节。

我还将提供⼀些有⽤的⽰例，以及可视化交互⼯具和脚本。

具体来说，以下是我将涉及的主题:1. 实数域上的椭圆曲线和群公理(包括在这篇博客中)2. 有限域上的椭圆曲线与离散对数问题3. 密钥对的⽣成和两种ECC算法:ECDH和ECDSA4. 破坏ECC安全性的算法，并与RSA进⾏⽐较为了理解这⾥所写的内容，您需要了解集合论、⼏何和模运算的⼀些基本知识，并熟悉对称和⾮对称密码学。

最后，您需要清楚地知道什么是“易解”问题，什么是“难解”问题，以及它们在密码学中的作⽤。

准备好了吗？开始！椭圆曲线⾸先，什么是椭圆曲线？Wolfram数学世界给出了⼀个优秀⽽完整的定义。

椭圆曲线参数选取

关于SM2ffi圆曲线参数选取一．安全的椭圆曲线的选取1.椭圆曲线上的公钥密码体制的安全性是建立在椭圆曲线离散对数的基础上, 但并不是所有椭圆曲线都可以应用到公钥密码体制中, 为了保证其安全性，必须选取安全椭圆曲线，即只有选到合适的有限域GF(p)和椭圆曲线(ECC)，能够抵抗攻击ECDLP!法的攻击，才能保证所选ECC的安全性。

若某椭圆曲线存在优于n1/2级(n是基点阶次)计算复杂度的攻击方法，则称此曲线为弱椭圆曲线。

Fp 上的超奇异椭圆曲线(有限域Fp 的特征整除q+1-#E(Fp))和Fp上的异常曲线(#E(Fp)二p)都是弱椭圆曲线。

(国密局文档p4，p25A.4 抗攻击椭圆曲线满足的条件) 。

下面是选取曲线时应遵循的原则：(一种椭圆曲线参数生成的快速算法)(1)为了抗击Pollard- p攻击，所选取椭圆曲线的阶#E(GF(p))的分解式中应该包含一个大的素数因子，目前应不小于160bit ；(2)为了抗击Weil对和Tate对的攻击，对于1< k< 30, n不能除p k-1 (不宜选取超奇异椭圆曲线) ；(3)为了抗击Semaev-Smart-Satoh-Araki 的攻击所选曲线的阶不能等于该曲线所定义的有限域的阶，即#E(F P)工p (不宜选取异常椭圆曲线)；(4)对于二进制域GF(2)的度m不宜为合数。

Gaudry, Hess和Smart 提出，若m有小约数I (1=4 )，存在比Pollard's rho 算法更快求解ECDLP 的方法。

(5)选择GF(p)的子域H,满足它的阶|H|是#丘的最大素因子n,并在H 上实现ECC。

2.一般来说有 4 种寻找安全椭圆曲线的方法: (椭圆曲线密码体制及其参数生成的研究.2006.DR)(1)有限域GF( p) 上随机生成一椭圆曲线, 直接计算其阶, 判断阶是否为大素数或含大素数因子, 若是即确定, 否则继续选取曲线, 直至符合条件。

椭圆曲线的性质

2 2 2 2 2
x p + x p + xr = 2 x p + xr = (
所以
)2
xr = (
3x p + p 2 yp
2
)2 − 2 x p
＋ Q=(x'，y')的坐标公式这样就得到了 P=Q=(xp，yp)时，P○
-7-
x' = (
3x p + p 2yp
2
)2 − 2 x p
2
y' = − y p − (
＋ P=2P=(x'，y') ② P=(-2，3)，求 P○ 已知：方程系数 p=0，q=17，已知 xp=-2，yp=3 可求出 m=2，n=7， x'=8 y'=-23
③ P=(-2，3)，求-P x'=-2 y'=-3
Байду номын сангаас
㈥椭圆曲线点的 ○运算的阶的概念＋椭圆曲线点的○
定义：P 是椭圆曲线 E 上的一点，若存在最小的正整数 n，使得 nP=O∞=0 ，则称 n 是 P 点的阶。当然，不一定存在有限的 n，但我们感兴趣的是求椭圆曲线 E 上有有限阶的点，特别是定义在有理数域上的椭圆曲线。例如：已知椭圆曲线 E 的方程是：y2=x3+1。在 P=(2,3) 点的切线斜率为 m=2，而 n=-1，2P=(x'，y') 为
2。阿贝尔群（Abelian Group）
又称交换群或可交换群，是这样一类群 (G, *)：对任意 a，b 属于 G，满足 a * b = b * a。
-1-
)的概念 3。域(Field Field)
定义：设一个至少含有两个元素的集 F，且定义了两个二元运算，如加法“+”和乘法“*” ，如满足下列三个条件，则称 F 是一个域。 ⑴ F 的元素关于加法运算“+” ，构成阿贝尔群，设其单位元为 0。 ⑵ F\{0}(不包含 0 的 F)于乘法运算“*” ，构成阿贝尔群。 ⑶ 对于 a, b, c ∈ F 分配率成立。即 (a + b) * c = a * c + b * c c * (a + b) = c * a + c * b

椭圆曲线l-函数-概念解析以及定义

椭圆曲线l-函数-概述说明以及解释1.引言1.1 概述椭圆曲线l-函数是数论和代数几何领域的重要研究对象。

它们广泛应用于密码学、编码理论、以及如因子分解等许多领域。

本文将首先介绍椭圆曲线的基础知识，然后详细解释l-函数的定义和数论中的应用。

最后，我们将对目前的研究进行总结，并展望未来可能的发展方向。

本文的目的是为读者提供一个全面的理解椭圆曲线l-函数的基础知识，并鼓励他们进一步探索这一领域的研究。

1.2 文章结构文章结构部分的内容可以包括关于整篇文章的布局和组织，以及各个部分的主题和内容概要。

可以简单介绍每个部分的主要内容和意图，让读者对整篇文章有一个清晰的认识和期待。

例如：文章结构部分介绍了整篇文章的布局和组织，包括引言、正文和结论部分。

引言部分将简要概述本文的主题和目的，引出文章的主要内容。

正文部分将介绍椭圆曲线的基础知识，l-函数的定义以及在数论中的应用。

结论部分将总结全文的内容，展望未来该领域的研究方向，并得出结论。

通过该结构，读者可以清晰地了解整篇文章的内容组织和逻辑发展。

1.3 目的:本文的目的在于介绍椭圆曲线l-函数的概念，并探讨其在数论领域中的应用。

我们将深入讨论l-函数的定义及其性质，以及它在数论中的重要作用。

通过本文的阐述，读者将能够更深入地理解椭圆曲线l-函数的意义和价值，以及它在数论研究中的实际应用。

此外，本文还将展望未来椭圆曲线l-函数在数论和其他领域的潜在发展方向，以期为相关研究提供一定的参考和启发。

通过本文的阐述，我们希望能够为读者提供一个全面深入的了解椭圆曲线l-函数的视角，以及它在数学研究中的重要地位。

2.正文2.1 椭圆曲线基础椭圆曲线是代数几何学中一种重要的曲线类型。

在数论和密码学等领域有着广泛的应用。

椭圆曲线的基础理论包括了椭圆曲线的定义、基本性质和运算规则。

椭圆曲线可以用如下的形式来定义：Y^2 = X^3 + aX + b其中，a和b是定义域上的常数。

椭圆曲线

我们把该椭圆曲线记为Ep(a,b) ，简单记为E. 该椭圆曲线只有有限个点.
例如，若E是 F7上椭圆曲线 y2 = x3 + 2x + 4 则 E7 (a,b) 上的点是 E7 (2,4) = {O,(0,2),(0,5),(1,0),(2,3),(2,4),(3,3),(3,4),
(6,1), (6, 6)}
(1) ElGamal密码体制的原理密钥产生过程：首先选择一素数p以及两个小
这里 ∞ 为无穷远点.
一条椭圆曲线E指的是由韦尔斯特拉斯(Weierstrass)方程： y2 + axy + by = x3 + cx2 + dx + e
所确定的平面曲线，它是由方程的全体解(x, y)再加上一个无穷远点∞ 构成的集合。其中系数a，b，c，d， e 是满足一些简单条件的实数。亦即：椭圆曲线
• A的私钥取为nA=121，公钥为 PA=121(2,2)=(115,48)。 • B的秘密钥取为nB=203，公开钥 PB=203(2,2)=(130,203)。 • 由此得到的共享密钥为
121(130,203)=203(115,48)=(161,169)
如果选整数作为共享密钥，则可简单地取其中的一个，如取 x 坐标，或取 x 坐标的某一简单函数。
在椭圆曲线构成的Abel群Ep(a,b)上考虑方程 Q=kP，其中P，Q∈ Ep(a,b) ，k<p，则由k和P易求 Q，但由P、Q求k则是困难的，这就是椭圆曲线上的离散对数问题，可应用于公钥密码体制。DiffieHellman密钥交换和ElGamal密码体制是基于有限域上离散对数问题的公钥体制，下面考虑如何用椭圆曲线来实现这两种密码体制。
9P = (4, 7) 10P = (22, 5) 11P = (10, 5) 12P = (17, 9)

椭圆曲线

椭圆曲线
目录
定义
具体介绍
特殊的情形
编辑本段定义
椭圆曲线就是亏格为1的代数曲线。

一条光滑的椭圆曲线可以放在射影平面里看，它的(仿射)标准方程是
y^2=x(x-1)(x-t)，这里t是任意不等于0和1的参数。

作为实曲面看，椭圆曲线就是带有一个洞的闭曲面－－环面。

环面可以通过同向粘合正方形的两对对边得到，其拓扑亏格为1。

椭圆曲线和椭圆函数,椭圆积分等内容密切相关，这里不再详述。

著名的费马大定理的证明也与此有关。

总之，椭圆曲线是代数几何中最重要的一类研究对象。

编辑本段具体介绍
椭圆曲线上的点全体构成一个加法群，点与点之间的“加法”运算，如图所示。

正因为椭圆曲线存在加法结构，所以它包含了很多重要的数论信息。

椭圆曲线和它的雅可比簇是同构的，所以它上面的“加法”结构实际上来自于它的雅可比簇的自然加法结构。

椭圆曲线上的有理点的个数也是人们关心的重要问题，这个问题和著名的Mordell-Weil定理有关。

Mordell-Weil定理是说：椭圆曲线上有理点构成的群是有限生成的。

另一方面，椭圆曲线上的整点只有有限多个，这个定理被称为Siegel定理。

通过以下实例，可以更好的理解上述两个定理：
椭圆曲线y^2=x^3+17上，仅有16个整
点:(-2,3),(-1,4),(2,5),(4,9),(8,23),(43,282),(52,375),(5234,378661 )。

椭圆曲线、双线性对与群签名PPT课件

★倍乘运算仍定义为重复加法，如4P=P+P+P+P
★ Ep(a,b)是一个Abel群
▪ 对一般的Ep(a,b)，其上的加法运算是封闭的，满足交换律、结合律，其上的加法逆元运算也是封闭的，有单位元O，所以Ep(a,b) 是一个Abel群。
2021/3/12
2021
6
9.1.2 椭圆曲线的应用
★ 椭圆曲线群中的离散对数问题是指已知群中的P和Q，求解方程： kP = Q 中 k 值的问题。
即得到椭圆曲线上的点 (x,
)。
▪ 因为在0到 p 的整数中，有一半是模p的平方剩余，一半是模p的非平方剩余。所以k次找到x，使得x3+ax+b(mod p)是平方根的概率不小于1－1/2k。
▪ 反之，从椭圆曲线上点(x,y)得到明文消息m ，只须求m ＝x / k
2021/3/12
2021
8椭圆曲线上的密码来自2021/3/122021
4
9.1.1 椭圆曲线的加法运算法则
★ Ep(a,b)上的加法定义如下：
▪ 设P，QEp(a,b)，则 ▪ ① P+O=P；
▪ ② 若P=(x,y)，那么(x, y)+(x, -y)=O，即 (x, -y)是P的加法逆元，记为 -P。
• 显然任一点P和其逆元-P都是Ep(a,b)中的点，
2021/3/12
2021
16
基于双线性对的代理签名方案
2021/3/12
2021
17
基于双线性对的代理签名方案
2021/3/12
2021
18
基于双线性对的代理签名方案
2021/3/12
2021
19
基于双线性对的代理盲签名方案

椭圆曲线

引言同RSA（Ron Rivest，Adi Shamir，Len Adleman三位天才的名字）一样，ECC（Elliptic Curves Cryptography，椭圆曲线密码编码学）也属于公开密钥算法。

前段时间刚刚进行了“基于国家密码标准算法密码卡”项目，其中算法部分就涉及了ECC，由于是采用芯片实现ECC算法，所以对ECC是如何具体实现信息加密的原理知之甚少。

目前，国内详细介绍ECC的公开文献并不多（反正我没有找到）。

有一些简介，也是泛泛而谈，看完后依然理解不了ECC的实质（可能我理解力太差了）。

前些天从互联网上找到这篇材料，看完后对ECC了解一些，但还是比较懵懂。

于是把本文整理了一下，与大家分享。

当然ECC博大精深，我的认识还很肤浅，有些问题今后还要向。

本文涉及的部分理论知识请参考《近世代数基础》、《初等数论》之类的书。

另外，由于原文中涉及的公式没有区分上标和下标，我对本文的一部分公式进行了整理，由于时间关系，对后半部分没有整理（因为公式比较多，我也懒得弄了）。

由此给大家带来的阅读上的不便表示歉意。

一、从平行线谈起平行线，永不相交。

没有人怀疑把？不过到了近代这个结论遭到了质疑。

平行线会不会在很远很远的地方相交了？事实上没有人见到过。

所以“平行线，永不相交”只是假设（大家想想初中学习的平行公理，是没有证明的）。

既然可以假设平行线永不相交，也可以假设平行线在很远很远的地方相交了。

即平行线相交于无穷远点P∞（请大家闭上眼睛，想象一下那个无穷远点P∞，P∞是不是很虚幻，其实与其说数学锻炼人的抽象能力，还不如说是锻炼人的想象力）。

给个图帮助理解一下：直线上出现P∞点，所带来的好处是所有的直线都相交了，且只有一个交点。

这就把直线的平行与相交统一了。

为与无穷远点相区别把原来平面上的点叫做平常点。

以下是无穷远点的几个性质。

▲直线L上的无穷远点只能有一个。

（从定义可直接得出）▲平面上一组相互平行的直线有公共的无穷远点。

椭圆曲线密码学

知：p+1-2p1/2≤#E(Fp) ≤ p+1+2p1/2 集合E(Fp)对应下面的加法规则，且对加法形成一个Abel群： (i) θ θ=θ （单位元素） (ii) (x,y) θ=(x,y), 任给(x,y) ∈E(Fp) (iii) (x,y) (x,-y)=θ，任给(x,y) ∈E(Fp),即点(x,y)的逆元为(x,-y). (iv) 令(x1,y1),(x2,y2)为E(Fp)中非互逆元，则 (x1,y1) (x2,y2)=(x3,y3),其中 x3=α2-2x1，y3= α(x1-x3)-y1 且α=(y2-y1)/(x2-x1) （3） (v)（倍点运算规则）设(x1,y1) ∈E(Fp),y1≠0，则2(x1,y1)=(x3,y3)，其中
椭圆曲线密码学
• 椭圆曲线密码是研究基于某个域的椭圆曲线上的密码。这个地方的椭圆曲线，不是我们以前解析几何中的一般二次椭圆曲线，而是由满足一些性质的曲线方程所确定的，可能是大于二次的方程。 • 由于密码学的一些要求，我们一般只讨论一些特定域的上的椭圆曲线。 • 在了解椭圆曲线密码的之前，先了解相关概念。
本文来自网络请不要使用盗版文档尊重作者的辛苦劳动谢谢gaoqscom我爱朱丹老婆中华人民共和国20100808080808080808080808080808080808080808080808080808080808080本文来自网络请不要使用盗版文档尊重作者的辛苦劳动谢谢gaoqscom我爱朱丹老婆中华人民共和国20100808080808080808080808080808080808080808080808080808080808080
1 有关的基本概念
(1) 无穷远元素（无穷远点，无穷远直线）平面上任意两相异直线的位置关系有相交和平行两种。引入无穷远点，是两种不同关系统一。 L2 L1 B AB⊥L1， L2∥L1，直线AP由AB起绕A点依逆时针方向转动，P为AP与L1的交点。 A

第十一讲 椭圆曲线

第十一讲-椭圆曲线

椭圆曲线——精选推荐

椭圆基本知识PPT课件

椭圆曲线

椭圆的概念动图制作

第十一讲 椭圆曲线

【推选】椭圆曲线PPT资料

1椭圆曲线密码学：简介

椭圆曲线参数选取

椭圆曲线的性质

椭圆曲线l-函数-概念解析以及定义

椭圆曲线

椭圆曲线

椭圆曲线、双线性对与群签名PPT课件

椭圆曲线

椭圆曲线密码学

第十一讲椭圆曲线

第十一讲椭圆曲线