椭圆曲线

λ = ( 7 - 2 ) ( 2 - 5 ) -1 m o d 1 1 = 2
x 3 = 4 − 5 − 2 m od 11 = 8 y 3 = 2 × (5 − 8 − 2 ) m o d 1 1 = 3
∴ 3 α = ( 8 ,3 )
类似的计算得
4 α = (1 0 , 2 ), 5 α = (3, 6 ), 6 α = ( 7 , 9 ), 7 α = ( 7 , 2 ), 8 α = (3, 5 ), 9 α = (1 0 , 9 ),1 0 α = (8 , 8 ),1 1α = (5 , 9 ) 1 2 α = ( 2 , 4 ),1 3α = O
对 y
2
= x3 + ax + b求 微 分 得 dy 2y = 3x dx
2
+ a
把 x = x1 , y = y 1 代 入 得 L的 斜 率 为 3 x 12 + a λ = 2 y1
后面求R的坐标方法同1） （E，+）构成一个交换群
二、有限域上的椭圆曲线
1、定义 p>3是素数,z p上的同余方程 y 2 = x 3 + ax + b mod p的所有解 ( x, y ) ∈ z p × z p , 加上一个无穷远点O组成z p 上的椭圆曲线 y 2 = x 3 + ax + b.其中a, b ∈ z p是满足 4a 2 + 27b3 = 0 mod p的常量。
所以过P，Q的直线方程为
y − y1 = λPQ ( x − x1 )
简化为
y = λx + v
把上式代入椭圆曲线方程并化简得
x3 − λ 2 x 2 + (a − 2λ v) x + b − v 2 = 0
因为方程已有两个实根，所以另一个也是实根，有根 与系数的关系得另一根为
x 3 = λ 2 − x1 − x 2
基于身份的密码体制
一、双线性映射
1、定义1.设G1是一个由P生成的循环加法群，其阶为素数q，G2是一个阶为q e:G 的循环乘法群。则双线性映射 1 × G1 → G2 满足以下性质： * 1. 双线性：对所有的 P, Q ∈ G1 和 a, b ∈ Z q ，有
e(aP, bQ) = e(abP, Q) = e( P, abQ) = e( P, Q) ab
1) 2α = (2, 7) + (2, 7)
λ = (3 × 2 2 + 1)( 2 × 7 ) − 1 m o d 1 1 = 8
x 3 = 82 − 2 − 2 m od 11 = 5 y 3 = 8 × (2 − 5) − 7 m od 11 = 2
∴ 2 α = ( 5 ,2 )
2 ) 3 α = 2 α + α = (5 ,2 )+ (2 ,7 )
11+1 4
1 ） 求 z = x 3 + x + 6 m o d 1 1, x ∈ z 1 1 3 ） 求 平 方 剩 余 得 y(= ± z
x 0 1 2 3 4 5 6 7
x3 + x + 6 mod11
)
y
二次剩余？ 否 否 是 是 否 是 否 是
6 8 5 3 8 4 8 4
4，7 5，6 2，9
因为
(c1 , c2 ) = k β y0 = kα ,
所以 又
β = dα (c1 , c2 ) = k β = kdα = dy0
y1 = c1 x1 mod p, y2 = c2 x2 mod p
所以( y1c1-1 mod p, y2c2-1 mod p) = (c1 x1c1-1 mod p, c2 x2c2-1 mod p) = ( x1 , x2 ) = x
E 上 的 运 算 在 z p上 进 行
1）x1 = x2 , 且y1 = − y2
P+Q = O
2）其它情况P + Q = ( x3 , y3 )
x 3 = λ 2 − x1 − x 2
y3 = λ ( x1 - x3 ) − y1
( y 2 − y1 )( x 2 − x1 ) − 1 , P ≠ Q λ = 2 -1 P =Q (3 x1 + a )(2 y1 ) ,
若 n2 = 1, 则 E是循环的，否则非循环的。
若 E = pq, p, q是素数，则E是循环的。
例设 E是 z11上的椭圆曲线 y = x + x + 6, 求 E中元素.
2 3
解 、p ( = 1 1 ) ≡ 3 m o d 4 , 分 3 步 求 解 。 2) 判 断 z是 否 为 模 11的 平 方 剩 余
例设E是z11上的椭圆曲线y2 = x3 + x + 6.设α = (2,7),d = 7 从而β =7α =(7,2),明文x=(9,1)，求其密文。
解 、 取 k = 6,然 后 计 算 y0 = kα = 6 (2, 7 ) = (7 , 9 ) ( c1 , c 2 ) = k β = 6 ( 7 , 2 ) = (8 , 3 ) y1 = c1 x1 m o d p = 8 × 9 m o d 1 1 = 6 y2 = c2 x2 m od p = 3 × 1 m od 11 = 3 所 以 密 文 y = ((7 , 9 ), 6 , 3 ). 反 之 ， 若 知 道 密 文 y = ( ( 7 , 9 ) , 6 , 3 ) .则 ( c1 , c 2 ) = d y 0 = 7 ( 7 , 9 ) = (8 , 3 ) x =
x 3 = λ 2 − x1 − x 2
y3 = λ ( x1 - x3 ) − y1
y 2 − y1 λ = x 2 − x1
2）x1 = x2 , 且y1 = − y2
此时直线L与y轴平行，定义
( x, y ) + ( x, − y ) = O，即P + Q = O
3）x1 = x2 , 且y1 = y2
3) P + O = P
2、椭圆曲线的性质
定 理 设 E是 z p上 椭 圆 曲 线 ， 则 p +1- 2 p ≤ E ≤ P +1+ 2 P
定理:E是定义在z p上的一个椭圆曲线，其中p是素数, p > 3。 则存在正整数n1和n2 , 使得( E, +)同构于zn1 × zn2 , 并且有n2 n1 和n2 ( p − 1).
2. 非退化性：存在 P, Q ∈ G1，使得 e( P, Q ) ≠ 1 。 3. 可计算性：对任意的P, Q ∈ G1，存在一个有效的算法计算 e( P, Q ) 。 注 e( aP , bQ ) = e( abP , Q ) = e( P , abQ ) = e( P , Q ) ab
也可改为 e( P +Q， R )=e( P， R ) ⋅ e(Q， R )和e( P， Q +R )=e( P， Q ) ⋅ e( P， R )
主要内容
一、什么是椭圆曲线
二、椭圆曲线上的运算和性质
三、椭圆曲线上的密码体制
一、实数域上的椭圆曲线
1 、定义1设 a , b是满足 4 a + 27 b = 0的实数。方程
2 3
y 2 = x 3 + ax + b 的所有解 ( x , y )的集合 E , 加上一个无穷远点 O组成一 个非奇异椭圆曲线.
− ( y 1 c 1− 1 m o d p , y 2 c 2 1 m o d p )
= (8 − 1 × 6 m o d 1 1, 3 × 3 − 1 m o d 1 1) = ( 7 × 6 m o d 1 1, 3 × 4 m o d 1 1) = (9 ,1)
1、设E是z11上的椭圆曲线y 2 = x3 + x + 6.设α = (2, 7), d = 7 练习： 从而β = 7α = (7, 2),明文x = (10,9)，k = 3, 求其密文。 2、设E是z31上的椭圆曲线y 2 = x3 + x + 28. 1 ）确定E上点的个数 2）证明E不是循环群 3）E中元素的最高阶是多少？找出一个具有这个阶数的元素。
2. 判定Diffie-Hellman难题（DDHP，Decision Diffie-Hellman Problem）：给 * 定， , aP, bP, cP ∈ G1 其中 a, b, c ∈ Z q ，要判定 c ≡ ab mod q 是否成立是困难 P 的。 3. 判定Diffie-Hellman难题（DDHP，Decision Diffie-Hellman Problem）：给 * 定， P, aP, bP ∈ G1 其中 a, b ∈ Z q ，要计算 a b P 是否成立是困难的。 4. 判定Diffie-Hellman难题（DDHP，Decision Diffie-Hellman Problem）：给 * 定， , aP, bP, cP ∈ G1 其中 a, b, c ∈ Z q ，容易判定 c ≡ ab mod q 是否成立，但 P 计算 abP 是困难的。
三、椭圆曲线上的密码体制
1 、定义 p>3 是素数, E 是 z p 上的椭圆曲线。设 G 是 E 上的 循环子群， α 是 G 的一个生成元， β ∈ G 。已知 α 和 β 求满 足 n α = β 的 n ，称为椭圆曲线上的离散对数问题
2、密码体制的描述
1) 设 p〉是 大 素 数 , E 是 z p 上 的 椭 圆 曲 线 ， α ∈ E 是 3 椭圆曲线上的点，并且阶足够大，使得在由α 生 成 的 循 环 子 群 中 离 散 对 数 是 难 解 的 。 p,E ,α 公开。 2 )随 机 选 取 整 数 d ,1 ≤ d ≤ o rd (α ) − 1, 计 算
β = dα β 是 公 开 的 加 密 密 钥 ， d是 保 密 的 解 密 密 钥 。
3)明 文 空 间 为 z ∗ × z ∗ ， 密 文 空 间 为 E × z ∗ × z ∗ 。 p p p p 4 ） 加 密 变 换 ： 对 任 意 的 明 文 x =( x 1 ,x 2 ) ∈ z ∗ × z ∗ , p p 秘 密 随 机 选 取 一 个 整 数 k ,1 ≤ k ≤ o rd (α ) − 1, 密 文 为 y = ( y 0 , y1 , y 2 ) 其中 y0 =kα , (c 1 ,c 2 )= k β y 1 = c1 x 1 m o d p , y 2 =c2x 2 m od p
注
1）、4a2 +27b3 =0是方程y2 =x3 பைடு நூலகம்ax+b有3个解的充要条件。 4a +27b =0对应的椭圆曲线为奇异椭圆曲线.
2 3
2）、它的几何图形是关于 x轴对称的，如 y 2 = x 3 + 4x 的图形如下
y
-2
0
2
x
二、椭圆曲线上的加法运算
设 E 是 一 个 非 奇 异 椭 圆 曲 线 , P , Q ∈ E， 其 中 P = ( x1 , y 1 ), Q = ( x 2 , y 2 ).下 面 定 义 P + Q
分3种情况 1）x1 ≠ x 2
设 L 是 通 过 P， Q 的 直 线 。 除 P， Q 外 L 交 E 于 另 一 点 R ′， 把 R ′关 于 x 轴 的 对 称 点 R 定 义 为 P + Q ， 即 P + Q = R
y
如图所示
R′
P Q 0 R x
下面求R的坐标
因为
λ PQ
y 2 − y1 = x 2 − x1
′的横坐标为 x 3 = λ 2 − x1 − x 2 即R ′ y 3 − y1 ′ R ′的 纵 坐 标 y 3 可 由 λ = 求出， x 3 − x1 ′ （ y 3 = λ x 3 − x1） + y1
这样 R的纵坐标 y3 = λ ( x1 - x3 ) − y1
所 以 P + Q = R 的 坐 标 ( x 3 ,y 3 ) 为
2，9
x 8 9 10
x3 + x + 6 mod11
二次剩余？ 是 否 是
y 3，8
9 7 4
2，9
所以E中点为O，（2，4），（2，7）（3，5）（3，6） （5，2）（5，9）（7，2）（7，9）（8，3）（8，8） （10，2）（10，9） E中元素个数为13，所以所有元素都可以表示成某一 元素的幂 α = (2, 7)
5) 解 密 变 换 ： 对 任 意 的 密 文 y = ( y 0 ,y 1 ,y 2 ) ∈ E × z ∗ × z ∗ p p , 明 文 为 x = ( y 1 c 1 -1 m o d p ,y 2 c 2 -1 m o d p ), 其 中 （ c 1 , c 2） = d y 0
解密变换能正确解密