椭圆曲线加密精品PPT课件
合集下载
5-8椭圆曲线密码
U htA (PB x2RB ) h(d A x1rA )(dBG x2rBG)=h(d A x1rA )(dB x2rB )G=(xU , yU )
V htB (PA x1RA ) h(dB x2rB )(d AG x1rAG)=h(dB x2rB )(d A x1rA )G=(xV , yV )
KB KDF(xV || yV || Z A || ZB ,klen) SB Hash(0x02 || yV || HASH (xV || Z A || ZB || x1 || y1 || x2 || y2 )) S2 Hash(0x03|| yV || HASH (xV || Z A || ZB || x1 || y1 || x2 || y2 ))
若 S 是无穷远点则报错并退出 4: kPB (x2 , y2 ) 5: t KDF (x2 || y2 ,klen)
若t全0返回1 6: C2 M t 7: C3 Hash(x2 || M || y2 ) 8: 输出M的密文C C1 || C2 || C3
解密算法
1: 验证C1是否满足椭圆曲线方程 2: S hC1
R e' x1' mod n r'
SM2之密钥交换协议
A、B协商密钥, 计算ZA、ZB、w ( log2 n ) / 2 1
阶为n的基点G=(xG , yG),h 余因子,(dA , PA )为A的公私钥对,(dB , PB )为B的公私钥对
A
rA [1..n 1] RA rAG (x1 , y1)
密码学原理
椭圆曲线密码
椭圆曲线离散对数问题
SM2之数字签名算法
CONTENT
椭圆曲线密码ppt课件
地选择一个大素数p,且要求p-1有 大素数因子。再选择一个模p的本原元α。将p 和α公开。
⑴ 密钥生成
• 用户随机地选择一个整数d作为自己的秘密的解 密钥,2≤d≤p-2 。
• 计算y=αd mod p,取y为自己的公开的加密钥。 • 由公开钥y 计算秘密钥d,必须求解离散对数,
由于上述运算是定义在模p有限域上的,所以称为 离散对数运算。
③从x计算y是容易的。可是从y计算x就困难得多, 利用目前最好的算法,对于小心选择的p将至少 需用O(p ½)次以上的运算,只要p足够大,求解 离散对数问题是相当困难的。
篮球比赛是根据运动队在规定的比赛 时间里 得分多 少来决 定胜负 的,因 此,篮 球比赛 的计时 计分系 统是一 种得分 类型的 系统
要小,所以ELGamal密码的加解密速度比RSA稍快。 ②随机数源
由ELGamal密码的解密钥d和随机数k都应是高质量 的随机数。因此,应用ELGamal密码需要一个好的随机 数源,也就是说能够快速地产生高质量的随机数。 ③大素数的选择
为了ELGamal密码的安全,p应为150位(十进制数) 以上的大素数,而且p-1应有大素因子。
三、椭圆曲线密码
2、椭圆曲线
②定义逆元素
设P(x1 ,y1)和Q(x2 ,y2)是解点,如果 x1=x2 且y1=-y2 ,则
P(x1 ,y1)+Q(x2 ,y2)=0 。
这说明任何解点R(x ,y)的逆就是
R(x ,-y)。
注意:规定无穷远点的逆就是其自己。
O(∞,∞)=-O(∞,∞)
篮球比赛是根据运动队在规定的比赛 时间里 得分多 少来决 定胜负 的,因 此,篮 球比赛 的计时 计分系 统是一 种得分 类型的 系统
三、椭圆曲线密码
⑴ 密钥生成
• 用户随机地选择一个整数d作为自己的秘密的解 密钥,2≤d≤p-2 。
• 计算y=αd mod p,取y为自己的公开的加密钥。 • 由公开钥y 计算秘密钥d,必须求解离散对数,
由于上述运算是定义在模p有限域上的,所以称为 离散对数运算。
③从x计算y是容易的。可是从y计算x就困难得多, 利用目前最好的算法,对于小心选择的p将至少 需用O(p ½)次以上的运算,只要p足够大,求解 离散对数问题是相当困难的。
篮球比赛是根据运动队在规定的比赛 时间里 得分多 少来决 定胜负 的,因 此,篮 球比赛 的计时 计分系 统是一 种得分 类型的 系统
要小,所以ELGamal密码的加解密速度比RSA稍快。 ②随机数源
由ELGamal密码的解密钥d和随机数k都应是高质量 的随机数。因此,应用ELGamal密码需要一个好的随机 数源,也就是说能够快速地产生高质量的随机数。 ③大素数的选择
为了ELGamal密码的安全,p应为150位(十进制数) 以上的大素数,而且p-1应有大素因子。
三、椭圆曲线密码
2、椭圆曲线
②定义逆元素
设P(x1 ,y1)和Q(x2 ,y2)是解点,如果 x1=x2 且y1=-y2 ,则
P(x1 ,y1)+Q(x2 ,y2)=0 。
这说明任何解点R(x ,y)的逆就是
R(x ,-y)。
注意:规定无穷远点的逆就是其自己。
O(∞,∞)=-O(∞,∞)
篮球比赛是根据运动队在规定的比赛 时间里 得分多 少来决 定胜负 的,因 此,篮 球比赛 的计时 计分系 统是一 种得分 类型的 系统
三、椭圆曲线密码
椭圆曲线密码学
椭圆曲线密码学椭圆曲线密码学是一种利用椭圆曲线来加密和解密数字信息的密码学方法。
它的出现,激发了一场研究热潮,并被认为是算法加密的未来。
椭圆曲线密码学是约1985年由Neal Koblitz和Victor Miller 首次提出的。
它利用以数学椭圆曲线为基础的算法,将输入的密码转换成未知的结果,从而保护输入数据的安全。
椭圆曲线加密算法在保持较强安全性的同时,还具有较少的计算量和更小的公钥长度,能将一个不可能被破解的秘密转换为非常可靠的秘密。
椭圆曲线密码学无处不在地应用于信息安全领域。
例如,在数据加密领域,它可用于加密传输、数据存储、访问控制、完整性认证、网络会话认证等信息安全场景;在计算机安全领域,它可用于系统的模块加载、可信平台技术、数字签名等。
此外,椭圆曲线密码学也可用于网络支付、政府机构和企业的数据保护、军事/政治决策、智能合约等密码学应用场景,是现今网络安全解决方案中不可或缺的重要组成部分。
椭圆曲线密码学的发展也给其他对称加密算法和非对称加密算法带来了新的机遇和挑战,揭示了一种新的安全选择。
因此,椭圆曲线密码学的研究会给我们的信息安全研究带来新的突破,并可望在未来具有更大的发展潜力。
相比较传统的加密算法,椭圆曲线密码学更具有安全性。
它不仅能够更有效地保护我们的数据和信息,还能大大缩短一些特定类型的计算时间,从而改进安全性和性能。
针对椭圆曲线密码学的研究,可以在研究密码学的安全性、实用性、效率性等方面取得重大突破,这也是我们向前推进的重要方向。
综上所述,椭圆曲线密码学是现今网络安全解决方案的重要组成部分,同时也带来了新的挑战和机遇,为我们的信息安全研究提供了新的可能性。
椭圆曲线密码学的发展将持续影响我们新时代密码学解决方案的发展,相信它将为我们带来更安全和高效的加密环境。
13椭圆曲线密码体系
Weierstrass方程被称为光滑的或非奇异的是指对所有适合 以下方程的射影点P=(X:Y:Z) ∈ P2(K)来说, F(X,Y,Z)=Y2Z+a1XYZ+a3YZ2-X3-a2X2Z-a4XZ2-a6Z3=0 F F F 在P点的三个偏导数 X , Y , Z 之中至少有一个不 为 0若否称这个方程为奇异的。 椭圆曲线E的定义: 椭圆曲线E是一个光滑的Weierstrass方程在P2(K)中 的 全部解集合。 Y2Z+a1XYZ+a3YZ2=X3+a2X2Z+a4XZ2+a6Z3 注: a) 在椭圆曲线E上恰有一个点,称之为无穷远点。即(0:1:0) 用θ表示。
RSA/DS A ECC 512 106 768 132 1024 160 2048 211 2100 0 600
椭圆曲线基础知识
1 有关的基本概念
(1) 无穷远元素(无穷远点,无穷远直线) 平面上任意两相异直线的位置关系有相交和平行两 种。引入无穷远点,是两种不同关系统一。 L2 L1 A
Q
B
有限域上的椭圆曲线点集产生方 法
对每一x(0≤x<p且x为整数),计算x3+ax+b
mod p 决定求出的值在模p下是否有平方根,如果没有则 椭圆曲线上没有与这一x对应的点;如果有,则求 出两个平方根。
Ep(a,b)上加法
如果P,Q∈ Ep(a,b)
P+O=P 如果P=(x,y),则(x,y)+(x,-y)=O
3*. 全体无穷远点构成一条无穷远直线。 注:欧式平面添加上无穷远点和无穷远直线,自然构成射 影平面。 L1 L2 A P∞
(2) 齐次坐标 解析几何中引入坐标系,用代数的方法研究欧氏空 间。这样的坐标法也可推广至摄影平面上,建立平面摄影 坐标系。 平面上两相异直线L1,L2,其方程分别为: L1: a1x+b1y+c1=0 L2: a2x+b2y+c2=0
椭圆曲线加密算法(一)
椭圆曲线加密算法(⼀)椭圆曲线加密和签名算法简述椭圆曲线密码学,简称ECC。
是⼀种建⽴公开加密的算法,也就是⾮对称加密。
和RSA类似。
被公认在给定密钥长度下最安全的加密算法。
应⽤范围很⼴,主要的三个技术TLS、PGP、SSH都在使⽤它,特别是以BTC为代表的数字货币。
椭圆曲线椭圆曲线并不是我们⾼中时学习的椭圆形状,其名字的由来是应为椭圆曲线的描述⽅程,类似于计算⼀个椭圆周长的⽅程。
这⾥⽤来加密的椭圆曲线的定义是⼀个特殊情况。
椭圆曲线暂时可以简单的理解为:其中:a和b决定了曲线在坐标系的不同形状。
举个例⼦:当b=1,a的取值从2到-3时,曲线的形状如下:特殊曲线:当a=b=0时(左),或a=-3,b=2时(右),这两条都不是符合标准的曲线。
阿贝尔群数学上,群是指定义了⼆元操作运算并且⽤符号“+”表⽰的⼀个集合。
则必须满⾜以下要求:封闭性:如果a和b都是群成员,那么a+b也是群成员。
组合性:(a+b)+c=a+(b+c)单位元:存在确切的⼀个值可以保证 a+0=0+a=a成⽴,我们称之为单位元逆元:每个成员都有⼀个相反数:对于任意值a必定存在b使得a+b=0这样的群我们称之为阿贝尔群。
另外阿贝尔群还应该满⾜交换律a+b=b+a我们所熟知的在整数范围内的加法运算(Z,+)就是阿贝尔群封闭性:a、b属于整数,a+b也属于整数组合性:(a+b)+c=a+(b+c)单位元:0值就是单位元逆元:a的逆元就是-a所以(Z,+)是⼀个阿贝尔群。
椭圆曲线的加法假设我们有这样⼀条椭圆曲线y2=x3-x,曲线上有两点P、Q,过P和Q做⼀条直线,交椭圆曲线于R'点,再过R'点做垂直于X轴的直线,交椭圆曲线于另⼀点R,我们定义P+Q=R。
当P=Q时候,则是过P点的切线交于椭圆曲线于R',此时R=2P,如图所⽰:当有k个相同的点P相加时,记做kP,如:P+P+P=2P+P=3P,如图:椭圆曲线密码利⽤上述“运算”中的“椭圆曲线上的离散多数问题”,就像RSA利⽤“⼤数质因数分解”⼀样。
第6章 椭圆曲线密码体制PPT课件
一、椭圆曲线公钥密码ECC
(Elliptic Curve Cryptography)
二、 McEliece
椭圆曲线公钥密码ECC
1. 简要历史
椭圆曲线(Elliptic curve)作为代数几何中的重要问题已有 100多年的研究历史
1985年,N. Koblitz和V. Miller独立将其引入密码学中,成 为构造双钥密码体制的一个有力工具。
椭圆曲线加密算法
背景 – RSA中用到了因子分解的困难性,而为了增加困难 得加大数的位数,从而导致计算速度变慢。 – ECC可以用较小的密钥长度达到较高的计算难度
获得同样的安全性,密钥长度较RSA短得多 被IEEE公钥密码标准P1363采用
椭圆曲线公钥密码ECC
椭圆曲线上一个点P的k倍表示表示P+P+…(k个点P “相加”),记为kP。
有限域上的椭圆曲线点集产生方法
对每一x(0≤x<p且x为整数),计算
x3+ax+b mod p 决定求出的值在模p下是否有平方根,如果没
有则椭圆曲线上没有与这一x对应的点;如果 有,则求出两个平方根。
Ep(a,b)上加法
如果P,Q∈ Ep(a,b)
–P+O=P
–如果P=(x,y),则(x,y)+(x,-y)=O
利用有限域GF(2n )上的椭圆曲线上点集所构成的群上定义 的离散对数系统,可以构造出基于有限域上离散对数的一 些双钥体制--椭圆曲线离散对数密码体制(ECDLC ),如 Diffie-Hellman,ElGamal,Schnorr,DSA等。
10余年的研外最重要的公 钥密码之一。与RSA算法相比它也有很多独 特的优点。出于国家安全战略考虑,国内学 术界和管理部门一直希望能够在国内一些应 用场合使用椭圆曲线密码。在推广和使用椭 圆曲线密码的过程中,相应的芯片是必不可 少的。然而,由于椭圆曲线密码算法是一种 很复杂的数学算法,如何将椭圆曲线密码算 法芯片化,国内外没有成熟技术。
(Elliptic Curve Cryptography)
二、 McEliece
椭圆曲线公钥密码ECC
1. 简要历史
椭圆曲线(Elliptic curve)作为代数几何中的重要问题已有 100多年的研究历史
1985年,N. Koblitz和V. Miller独立将其引入密码学中,成 为构造双钥密码体制的一个有力工具。
椭圆曲线加密算法
背景 – RSA中用到了因子分解的困难性,而为了增加困难 得加大数的位数,从而导致计算速度变慢。 – ECC可以用较小的密钥长度达到较高的计算难度
获得同样的安全性,密钥长度较RSA短得多 被IEEE公钥密码标准P1363采用
椭圆曲线公钥密码ECC
椭圆曲线上一个点P的k倍表示表示P+P+…(k个点P “相加”),记为kP。
有限域上的椭圆曲线点集产生方法
对每一x(0≤x<p且x为整数),计算
x3+ax+b mod p 决定求出的值在模p下是否有平方根,如果没
有则椭圆曲线上没有与这一x对应的点;如果 有,则求出两个平方根。
Ep(a,b)上加法
如果P,Q∈ Ep(a,b)
–P+O=P
–如果P=(x,y),则(x,y)+(x,-y)=O
利用有限域GF(2n )上的椭圆曲线上点集所构成的群上定义 的离散对数系统,可以构造出基于有限域上离散对数的一 些双钥体制--椭圆曲线离散对数密码体制(ECDLC ),如 Diffie-Hellman,ElGamal,Schnorr,DSA等。
10余年的研外最重要的公 钥密码之一。与RSA算法相比它也有很多独 特的优点。出于国家安全战略考虑,国内学 术界和管理部门一直希望能够在国内一些应 用场合使用椭圆曲线密码。在推广和使用椭 圆曲线密码的过程中,相应的芯片是必不可 少的。然而,由于椭圆曲线密码算法是一种 很复杂的数学算法,如何将椭圆曲线密码算 法芯片化,国内外没有成熟技术。
第04章椭圆曲线密码体制ECCppt课件
21
软件验证过程如下: (软件中存有椭圆曲线Ep(a,b),和基点G,公开密钥PA)
1、从用户输入的序列号中,提取sn以及Hash; 其2值、等计于算软点件R作≡sn者*G签+名H过ash程*P中A (点mRo(dx,py))的,坐如标果,sn、因H为ash正确,
sn≡k-Hash*nA (mod n) 所以 sn*G + Hash*PA
困难的。因此,H无法得到A、B间传送的 明文信息。
16
注意到以上的过程并没有说明怎样将 作为字符串(当然可以看成分段的整数)的消 息编码嵌入到椭圆群的点中(将明文嵌入椭 圆曲线),实际中的转化方式多种多样,关 键的步骤与其正确性证明都涉及到复杂的 数学推导,可以参看相关文献。
17
4.4.4 椭圆曲线密码体制的安全性
ELGamal密码体制能够在任何离散对数难处 理的有限群中实现。我们已经使用了乘法群Zp*, 但其他群也是合适的候选者,如椭圆曲线群。
椭圆曲线在代数学和几何学上已广泛研究了 150多年之久,有丰富而深厚的理论积累。椭圆曲 线密码体制(Ellipse Curve Cryptosystem,ECC) 在l 985年由Koblitz和Miller提出,不过一直没有像 RSA等密码系统一样受到重视。纵观目前的发展 趋势,椭圆曲线已经逐渐被采用,很可能是一 (mod p) ≠ 0 用Ep(a,b)表示如下模p的椭圆群中的点(或如 下有限域Fp上的椭圆曲线的点),再加上一个无穷 远点O。 设(x,y)是Ep(a,b)中的点,x和y是小于p的 非负整数,则有如下椭圆曲线方程:
y2≡ x3 + ax + b (mod p)
6
如取p=23,a=b=l,有
椭圆曲线密码体制的安全性依赖于求解椭圆 曲线离散对数问题的困难性,即已知椭圆曲线上 的点P和kP计算k的困难程度。
软件验证过程如下: (软件中存有椭圆曲线Ep(a,b),和基点G,公开密钥PA)
1、从用户输入的序列号中,提取sn以及Hash; 其2值、等计于算软点件R作≡sn者*G签+名H过ash程*P中A (点mRo(dx,py))的,坐如标果,sn、因H为ash正确,
sn≡k-Hash*nA (mod n) 所以 sn*G + Hash*PA
困难的。因此,H无法得到A、B间传送的 明文信息。
16
注意到以上的过程并没有说明怎样将 作为字符串(当然可以看成分段的整数)的消 息编码嵌入到椭圆群的点中(将明文嵌入椭 圆曲线),实际中的转化方式多种多样,关 键的步骤与其正确性证明都涉及到复杂的 数学推导,可以参看相关文献。
17
4.4.4 椭圆曲线密码体制的安全性
ELGamal密码体制能够在任何离散对数难处 理的有限群中实现。我们已经使用了乘法群Zp*, 但其他群也是合适的候选者,如椭圆曲线群。
椭圆曲线在代数学和几何学上已广泛研究了 150多年之久,有丰富而深厚的理论积累。椭圆曲 线密码体制(Ellipse Curve Cryptosystem,ECC) 在l 985年由Koblitz和Miller提出,不过一直没有像 RSA等密码系统一样受到重视。纵观目前的发展 趋势,椭圆曲线已经逐渐被采用,很可能是一 (mod p) ≠ 0 用Ep(a,b)表示如下模p的椭圆群中的点(或如 下有限域Fp上的椭圆曲线的点),再加上一个无穷 远点O。 设(x,y)是Ep(a,b)中的点,x和y是小于p的 非负整数,则有如下椭圆曲线方程:
y2≡ x3 + ax + b (mod p)
6
如取p=23,a=b=l,有
椭圆曲线密码体制的安全性依赖于求解椭圆 曲线离散对数问题的困难性,即已知椭圆曲线上 的点P和kP计算k的困难程度。
椭圆曲线密码算法
安全协议的发展
标准化进程
推动椭圆曲线密码算法的标准化进程,制定相关的安全标准和规范 ,促进其在安全协议中的应用。
混合加密方案
将椭圆曲线密码算法与其他加密算法相结合,形成更为强大的混合 加密方案,提高安全协议的整体安全性。
安全协议的演进
随着网络威胁的不断变化,椭圆曲线密码算法将在安全协议的发展中 发挥重要作用,助力安全协议的不断演进和升级。
THANKS
感谢观看
椭圆曲线密码算法的优势
01
02
03
安全性高
由于椭圆曲线离散对数问 题的难解性,椭圆曲线密 码算法被认为是目前最安 全的公钥密码算法之一。
密钥长度短
相对于其他公钥密码算法 ,椭圆曲线密码算法使用 的密钥长度更短,提高了 加密和解密的效率。
适用于多种应用
椭圆曲线密码算法适用于 多种安全应用,如数字签 名、密钥协商和数据加密 等。
对称加密算法
与对称加密算法相比,椭圆曲线密码算法的安全性更高,因为它们基于更复杂的数学问题。然而,对称加密算法的加 密和解密速度更快。
哈希函数
与哈希函数相比,椭圆曲线密码算法具有更高的安全性,并且可以用于数字签名和身份验证等场景。然而,哈希函数 是不可逆的,不能用于加密和解密。
公钥基础设施(PKI)
与PKI相比,椭圆曲线密码算法的安全性更高,并且具有更小的密钥长度。然而,PKI已经得到了广泛的 应用和标准化,具有更高的兼容性和互操作性。
06
CATALOGUE
椭圆曲线密码算法的实际应用案例
数字签名
01 02 03
数字签名
椭圆曲线密码算法可用于生成数字签名,确保数据完整性 和来源可追溯性。通过使用私钥对数据进行加密,生成数 字签名,接收者可以使用公钥进行验证,确认数据是否被 篡改或伪造。
第6章 椭圆曲线密码系统
橢圓曲線範例二
質數體為GF(11)且橢圓曲線公式 y2 = x3 + x + 1 這個橢圓曲線上的點,除無限遠點∞外, 另有13個點: (0,1),(0,10),(1,6),(1,5),(2,0),(3,8),(3,3),(4,6),(4,5), (6,6),(6,5),(8,2),(8,9) 點的座標值屬於GF(11) 因為共有14點,所以此曲線的級數(order)為14
橢圓曲線點的級數
加法公式的計算(加法、減法、乘法、除法/反元素) 須在相關的有限體進行,若選取質數體時僅需進行模 算術(modular arithmetic),若選取二元體則需進行 多項式計算(polynomial arithmetic) 點乘法計算k․P,其中k為正整數而P為橢圓曲線上 的一個點 如果橢圓曲線上的一個點P我們找到最小的正整數n 滿足n․P = ∞ (無限遠點),則n稱為點P的級數 (order) 橢圓曲線上點的級數一定是曲線級數的因數
如果採用有限體gfq0104212431344342gf501015203833464566658289如果如果如果如果modulararithmeticpolynomialarithmeticg012g423g2gg424g345g316g247g438g049g019gg212g243gg213gg01652g333g664g655g386g0107gg017gmathematicamathematicamod3x1g2powermod2y1modslopex1x3fromt1downto相同點相加pointdoublng相異點相加pointadditi如果係數k可用位元的二進制數字來代表通常其中平均有半數為次相同點相加pointdoubling的相異點相加pointaddition由左向右二元演算法12345141234511000000111001下表為stepq3p11q6p2344次點相加有效率由右向左二元演算法計算t1do相同點相加pointdoublng相異點相加pointadditinonadjacentformnafnaf演算t1downto先將相同點相加pointdoubling則再進行相異點相加pointpointubtractio的減法與加法工作量幾乎相同
椭圆曲线加密(有二进制域上的)
下面我们将通过一例来理解单位元。设椭圆曲线方程为
y 2 = x 3 + ax + b
令: x=X/Z,y=Y/Z 代入以上椭圆曲线方程得 (Y/Z)2=(X/Z)3+a(X/Z)+b
两边同乘Z3得到 Y2Z=X3+aXZ2+BZ3 显然点(x,y)和点(X,Y,Z)是相对应的,并且对于任意 常数λ≠0时,以点(0,1,0)为例,该点等效于(0,1, ε)当ε→0是等效的点。 从而此时y坐标1要除以0,我们此时可以理解为y坐标趋于 无穷大,相应的定义无穷远点为零点。 可见,在实数域下,椭圆曲线上的所有点,再加上一个无 穷远点—零点,就构成一个加法群。 (2)实数域上的加法运算
m
其中F表示为域,2m表示为二进制。构成 F2 的一种方法是采用多项式基的表示法。 在这种表示中,域 F2
m
m
的元素是次数最多为m-1次二进制多项式(多项式的系 数取自F2=(0,1)):
F 2 m = a m −1 g m −1 + a m − 2 g m − 2 + ⋯ + a 2 g 2 + a 1 g + a 0 ( a i ∈ {0 ,1})
∆≠0
确保椭圆曲线E是“光滑”的,即曲线的所有点都没 有两个或两个以上不同的切线。 下面对分别考虑域K的特征值等于2或3或域不等于2或3 两种情况对椭圆曲线E进行映射,使方程简化,在实际应 用中也只考虑简化的方程。
1.若与K的特征值不等于2或3须对以下映射
x − 3a12 − 12a 2 y − 3a1 x a12 + 4a1 a 2 − 12a3 ( x, y ) → ( , − ) 36 216 24
d 2 = a12 + a 2 d 4 = a 4 − a1 a 3 其中
最新椭圆曲线公钥密码体制(ECC)ppt课件
群
群(G, *)是由集合G和集合上的二元运算* 组成的代数系统,群应满足如 下的性质 :
1、封闭性 : 对于任意的 x,y ∈G,满足 x * y G 2、结合律 :对于任意的 x,y, z ∈G, 满足:
(x * y) * z = x * (y * z) 3、有单位元素 : 存在单位元素 e ∈ G ,满足:
例题
仍以E23(1,1)为例,设P=(3,10),Q=(9,7),求P+Q
710 3 111mod23
93 6 2 x3 112 3910917mod23 y3 11(317)1016420mod23
所以P+Q=(17,20),仍为E23(1,1)中的点。
求点P的2倍
若 P = (xP , yP) 若 yP 不为 0 2P = R 按如下方法计算:
g5 = (111) g6 = (101) g7 = (001) = 1 1.方程 y2 + xy = x3 + g5x2 + g6是否定义了F(23)上的 一个椭圆曲
线? 2. 问点 P(g3, g6)和 Q(g5, g2) 是否位于F(23)上的椭圆曲线 y2 + xy
= x3 + g2 x2 + g6 之上? 3. 求F(23)上的如下椭圆曲线的点的加法逆元?
椭圆曲线E23(1,0) 的点的构造
满足条件的23个点是: (0,0) (1,5) (1,18) (11,10) (11,13) (13,5) (15,20) (16,8) (16,15) (18,10) (18,13) (19,1) (20,19) (21,6) (21,17)
(9,5) (13,18) (17,10) (19,22)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
椭圆曲线
• 一条椭圆曲线是在射影平面上满足威尔斯 特拉斯方程(Weierstrass)所有点的集合:
Y Z a X a Y X Z a X Z a X a Z Z 2
23
2
Y 2 Z a 1 X a 3 Y 2 X Z 3 a 2 X 2 Z 1 a 4 X 2 a 6 Z Z 3 3
2
23
4
6
– 椭圆曲线方程是一个齐次方程
– 曲线上的每个点都必须是非奇异的(光滑的),偏导 数FX(X,Y,Z)、FY(X,Y,Z)、FZ(X,Y,Z)不同为0
网络安全-椭圆曲线加密
5
Y 2 Z X 3 X2 Z Z 3
椭圆曲线示例
Y 2Z X 3 XZ 2 Z 3
Y 2Z X 3 XZ2
7
椭圆曲线普通方程
复旦大学 信息科学与工程学院 通信科学与工程系
• 椭圆曲线普通方程:
y 2 a1xy a3 y x3 a2 x 2 a4 x a6
• 无穷远点O∞(0,Y,0) • 平常点(x,y)斜率k:
Fx (x, y) a1 y 3x2 2a2 x a4 Fy (x, y) 2 y a1x a3
面上的直线为aX+bY+cZ=0 – 对平行线aX+bY+c1Z=0和aX+bY+c1Z=0,易解得Z=0,说明无穷
远点 的座标为(X:Y:0)
网络安全-椭圆曲线加密
4
复旦大学 信息科学与工程学院 通信科学与工程系
Y 2 Z a 1 X a 3 Y 2 X Z 3 a 2 X 2 Z a 4 X 2 a 6 Z Z 3
• ECC-椭圆曲线加密 Ellipse Curve Cryptography
– 基于椭圆曲线理论的公钥加密技术(1985) – 与传统的基于大质数因子分解困难性的加密方法不同,
ECC通过椭圆曲线方程式的性质产生密钥 – ECC 164位的密钥产生一个安全级,相当于RSA 1024
位密钥提供的保密强度,而且计算量较小,处理速度 更快,存储空间和传输带宽占用较少
P∞
网络安全-椭圆曲线加密
3
复旦大学 信息科学与工程学院 通信科学与工程系
射影平面
• 平面上全体无穷远点与全体平常点构成射影平面 • 对普通平面上点(x,y),令x=X/Z,y=Y/Z,Z≠0,
则投影为射影平面上的点(X:Y:Z)
– 例如:点(1,3)可投影为(Z:3Z:Z),可为(1:3:1),(2.3:6.9:2.3)等 – 对普通平面上的直线ax+by+c=0,同样变换,得到对应于射影平
P+Q
-P 2P
P Q
网络安全-椭圆曲线加密
13
复旦大学 信息科学与工程学院 通信科学与工程系
P+Q
-P 2P
P Q
网络安全-椭圆曲线加密
14
复旦大学 信息科学与工程学院 通信科学与工程系
椭圆曲线点的阶
• 如果椭圆曲线上一点P,存在最小的正整数 n,使得数乘nP=O∞(显然(n-1)P=-P ),则 将n称为P的阶
网络安全-椭圆曲线加密
12
复旦大学 信息科学与工程学院 通信科学与工程系
有限域椭圆曲线示例
• 椭圆曲线Ep(a,b),p为质数,x,y∈[0,p-1]
y 2 x3 ax b (mod p)
• 选择两个满足下列约束条件的小于p的非负整数a、b
4a3 27b2 0 (mod p)
• 当p=23,a=b=1时,椭圆曲线:
网络安全-椭圆曲线加密
2
复旦远点
• 定义平行线相交于无穷远点P∞,使平面上所 有直线都统一为有唯一的交点
• 性质:
– 一条直线只有一个无穷远点;一对平行线有公共的无穷远点
– 任何两条不平行的直线有不同的无穷远点(否则会造成有两个交点)
– 平面上全体无穷远点构成一条无穷远直线
那么其和等于零元,即A+B+C=O∞
网络安全-椭圆曲线加密
10
同点加法
• 若有k个相同的点P相加,记作kP
P P P 2P P 3P
复旦大学 信息科学与工程学院 通信科学与工程系
网络安全-椭圆曲线加密
11
复旦大学 信息科学与工程学院 通信科学与工程系
有限域椭圆曲线
• 有限域Fp
– Fp中有p(p为质数)个元素0,1,2,…, p-2,p-1 – Fp的加法是a+b≡c(mod p) – Fp的乘法是a×b≡c(mod p) – Fp的除法是a÷b≡c(mod p) – Fp的单位元是1,零元是 0 – Fp域内运算满足交换律、结合律、分配律
• 若n不存在,则P是无限阶的
在有限域上定义的椭圆曲线上所有的点的阶n都是存在的
y2 x3 x 1
y2 x3 x
Y 2 Z X 3 X2 Z Z 3
复旦大学 信息科学与工程学院 通信科学与工程系
(a)
(b)
网络安全-椭圆曲线加密
6
非椭圆曲线示例
Y 2Z X 3 X 2
Y 2Z X 3
复旦大学 信息科学与工程学院 通信科学与工程系
(a)
(b)
网络安全-椭圆曲线加密
k f '(x) Fx (x, y) 3x2 2a2 x a4 a1 y
Fy (x, y)
2 y a1x a3
网络安全-椭圆曲线加密
8
复旦大学 信息科学与工程学院 通信科学与工程系
椭圆曲线加法群
• 阿贝尔(Abel)加法群
– 任意取椭圆曲线上两点P、Q(若P、Q两点重合,则作P点的切 线),作直线交于椭圆曲线的另一点R',过R'做y轴的平行线交 于R,定义P+Q=R。这样,加法的和也在椭圆曲线上,并同样 具备加法的交换律、结合律
Y 2Z X 3 XZ2
y2 x3 x
(a) 网络安全-椭圆曲线加密 (b)
9
复旦大学 信息科学与工程学院 通信科学与工程系
零元与负元
• O∞与-P O∞(零元)
y2-xy = x3+1 P
C’=A+B
P’= -P(负元)
A
B
C= -C’
(a)
(b)
如果椭圆曲线上的三个点A、B、C处于同一直线上,
网络安全 Network Security
椭圆曲线加密
复旦大学 信息科学与工程学院 通信科学与工程系
主要内容
• 椭圆曲线加密概念 • 射影平面 • 椭圆曲线 • 椭圆曲线加法群 • 有限域椭圆曲线 • 椭圆曲线加密方法
网络安全-椭圆曲线加密
1
ECC概念
复旦大学 信息科学与工程学院 通信科学与工程系
• 一条椭圆曲线是在射影平面上满足威尔斯 特拉斯方程(Weierstrass)所有点的集合:
Y Z a X a Y X Z a X Z a X a Z Z 2
23
2
Y 2 Z a 1 X a 3 Y 2 X Z 3 a 2 X 2 Z 1 a 4 X 2 a 6 Z Z 3 3
2
23
4
6
– 椭圆曲线方程是一个齐次方程
– 曲线上的每个点都必须是非奇异的(光滑的),偏导 数FX(X,Y,Z)、FY(X,Y,Z)、FZ(X,Y,Z)不同为0
网络安全-椭圆曲线加密
5
Y 2 Z X 3 X2 Z Z 3
椭圆曲线示例
Y 2Z X 3 XZ 2 Z 3
Y 2Z X 3 XZ2
7
椭圆曲线普通方程
复旦大学 信息科学与工程学院 通信科学与工程系
• 椭圆曲线普通方程:
y 2 a1xy a3 y x3 a2 x 2 a4 x a6
• 无穷远点O∞(0,Y,0) • 平常点(x,y)斜率k:
Fx (x, y) a1 y 3x2 2a2 x a4 Fy (x, y) 2 y a1x a3
面上的直线为aX+bY+cZ=0 – 对平行线aX+bY+c1Z=0和aX+bY+c1Z=0,易解得Z=0,说明无穷
远点 的座标为(X:Y:0)
网络安全-椭圆曲线加密
4
复旦大学 信息科学与工程学院 通信科学与工程系
Y 2 Z a 1 X a 3 Y 2 X Z 3 a 2 X 2 Z a 4 X 2 a 6 Z Z 3
• ECC-椭圆曲线加密 Ellipse Curve Cryptography
– 基于椭圆曲线理论的公钥加密技术(1985) – 与传统的基于大质数因子分解困难性的加密方法不同,
ECC通过椭圆曲线方程式的性质产生密钥 – ECC 164位的密钥产生一个安全级,相当于RSA 1024
位密钥提供的保密强度,而且计算量较小,处理速度 更快,存储空间和传输带宽占用较少
P∞
网络安全-椭圆曲线加密
3
复旦大学 信息科学与工程学院 通信科学与工程系
射影平面
• 平面上全体无穷远点与全体平常点构成射影平面 • 对普通平面上点(x,y),令x=X/Z,y=Y/Z,Z≠0,
则投影为射影平面上的点(X:Y:Z)
– 例如:点(1,3)可投影为(Z:3Z:Z),可为(1:3:1),(2.3:6.9:2.3)等 – 对普通平面上的直线ax+by+c=0,同样变换,得到对应于射影平
P+Q
-P 2P
P Q
网络安全-椭圆曲线加密
13
复旦大学 信息科学与工程学院 通信科学与工程系
P+Q
-P 2P
P Q
网络安全-椭圆曲线加密
14
复旦大学 信息科学与工程学院 通信科学与工程系
椭圆曲线点的阶
• 如果椭圆曲线上一点P,存在最小的正整数 n,使得数乘nP=O∞(显然(n-1)P=-P ),则 将n称为P的阶
网络安全-椭圆曲线加密
12
复旦大学 信息科学与工程学院 通信科学与工程系
有限域椭圆曲线示例
• 椭圆曲线Ep(a,b),p为质数,x,y∈[0,p-1]
y 2 x3 ax b (mod p)
• 选择两个满足下列约束条件的小于p的非负整数a、b
4a3 27b2 0 (mod p)
• 当p=23,a=b=1时,椭圆曲线:
网络安全-椭圆曲线加密
2
复旦远点
• 定义平行线相交于无穷远点P∞,使平面上所 有直线都统一为有唯一的交点
• 性质:
– 一条直线只有一个无穷远点;一对平行线有公共的无穷远点
– 任何两条不平行的直线有不同的无穷远点(否则会造成有两个交点)
– 平面上全体无穷远点构成一条无穷远直线
那么其和等于零元,即A+B+C=O∞
网络安全-椭圆曲线加密
10
同点加法
• 若有k个相同的点P相加,记作kP
P P P 2P P 3P
复旦大学 信息科学与工程学院 通信科学与工程系
网络安全-椭圆曲线加密
11
复旦大学 信息科学与工程学院 通信科学与工程系
有限域椭圆曲线
• 有限域Fp
– Fp中有p(p为质数)个元素0,1,2,…, p-2,p-1 – Fp的加法是a+b≡c(mod p) – Fp的乘法是a×b≡c(mod p) – Fp的除法是a÷b≡c(mod p) – Fp的单位元是1,零元是 0 – Fp域内运算满足交换律、结合律、分配律
• 若n不存在,则P是无限阶的
在有限域上定义的椭圆曲线上所有的点的阶n都是存在的
y2 x3 x 1
y2 x3 x
Y 2 Z X 3 X2 Z Z 3
复旦大学 信息科学与工程学院 通信科学与工程系
(a)
(b)
网络安全-椭圆曲线加密
6
非椭圆曲线示例
Y 2Z X 3 X 2
Y 2Z X 3
复旦大学 信息科学与工程学院 通信科学与工程系
(a)
(b)
网络安全-椭圆曲线加密
k f '(x) Fx (x, y) 3x2 2a2 x a4 a1 y
Fy (x, y)
2 y a1x a3
网络安全-椭圆曲线加密
8
复旦大学 信息科学与工程学院 通信科学与工程系
椭圆曲线加法群
• 阿贝尔(Abel)加法群
– 任意取椭圆曲线上两点P、Q(若P、Q两点重合,则作P点的切 线),作直线交于椭圆曲线的另一点R',过R'做y轴的平行线交 于R,定义P+Q=R。这样,加法的和也在椭圆曲线上,并同样 具备加法的交换律、结合律
Y 2Z X 3 XZ2
y2 x3 x
(a) 网络安全-椭圆曲线加密 (b)
9
复旦大学 信息科学与工程学院 通信科学与工程系
零元与负元
• O∞与-P O∞(零元)
y2-xy = x3+1 P
C’=A+B
P’= -P(负元)
A
B
C= -C’
(a)
(b)
如果椭圆曲线上的三个点A、B、C处于同一直线上,
网络安全 Network Security
椭圆曲线加密
复旦大学 信息科学与工程学院 通信科学与工程系
主要内容
• 椭圆曲线加密概念 • 射影平面 • 椭圆曲线 • 椭圆曲线加法群 • 有限域椭圆曲线 • 椭圆曲线加密方法
网络安全-椭圆曲线加密
1
ECC概念
复旦大学 信息科学与工程学院 通信科学与工程系