9.5椭圆曲线公钥体制 1.椭圆曲线 定义951:设p是一个大于3的素数,在 zp上的椭圆曲线y2=x3+ax+b由一个基 于同余式y2=x3+ax+ b modp的解集(x, y)∈Zp*zp和一个称为无穷远点的特定 点O组成,这里的a,b∈Zp是二个满足 4a+27b≡0modp的常数
9.5椭圆曲线公钥体制 1.椭圆曲线 ◼ 定义9.5.1:设p是一个大于3的素数,在 Zp上的椭圆曲线y 2=x3+ax+b 由一个基 于同余式y 2=x3+ax+b modp的解集(x, y)∈Zp*Zp和一个称为无穷远点的特定 点O组成,这里的a,b∈ Zp是二个满足 4a+27b≡0 modp 的常数
椭圆曲线上的运算 设P=(X11)∈EQ=(X2,y2)∈E,若 1=x2且y1=y2,那么P+Q=O;否则 P+Q=(x3y3),这里的x3=2-×1×2y3=A (x1-x3)y1 y2-y如果P≠Q 3=x2x 3x,2+ 如果P=Q
椭圆曲线上的运算 ◼ 设P=(x1,y1) ∈E, Q=(x2,y2) ∈ E, 若 x1=x2且y1=-y2 ,那么 P+Q=O;否则 P+Q=(x3,y3) ,这里的x3=λ 2 -x1-x2,y3=λ (x1-x3)-y1. x3= = + − − P Q y x a Q x x y y 如果 如果 1 2 1 2 1 2 1 2 3 P
2.椭圆曲线密码体制 定理95.1( Hasse定理):如果E是定义在 域GF(q)上的椭圆曲线,N是E上的点(Xy) ∈GF(q)的数目,则 N-(q+1)2√q
2.椭圆曲线密码体制 定理9.5.1(Hasse定理):如果E是定义在 域GF(q)上的椭圆曲线,N是E上的点(x,y) ∈GF(q)的数目,则 | N − (q +1) | 2 q
系统参数;设E是一个定义在Z。(P>3的素数)上的椭圆曲线,令a∈E,则由a 生成的子群H满足其上的离散对数问题是难处理的,选取a,计算β=a,则 私有密钥:a, 公开密钥:a,β,p 加密算法:对于明文x随机选取正整数k∈Zp1, ek(xk)=(y1y2),其中y1a,y2x+kB。 解密算法: dk yu y2y2-ay ELGamal密码体制的椭圆曲线形式
系统参数;设 E 是一个定义在 Z p (P>3 的素数)上的椭圆曲线,令 E,则由 生成的子群 H 满足其上的离散对数问题是难处理的,选取 a,计算 =a ,则 私有密钥:a, 公开密钥: , ,p。 加密算法:对于明文x,随机选取正整数kZ p−1 , e 1 k (x,k)=(y1 ,y 2 ), 其中y1 =k , y 2 =x+k 。 解密算法: d 2 k (y1 ,y 2 )=y 2 -ay1 ELGamal密码体制的椭圆曲线形式
隋圆曲线密码体制有如下的一些特点 1.在安全性相当的前提下,可使用较短的密钥 ■2椭圆曲线密码体制是建立在一个不同于大整数分解及素 域乘法群离散对数问题的数学难题之上 3椭圆曲线资源丰富,同一个有限域上存在着大量不同的 椭圆曲线,这为安全性增加了额外的保证。 ■4.在执行速度方面椭圆曲线密码体制较对应的离散对数 体制要快,且在签名和解密方面较RSA快,但在签名验证 和加密方面较RSA慢. ■5.椭圆曲线密码体制的安全性分析成果并不丰硕.也许这 可视为椭圆曲线密码体制具有高强度的一种证据,因此,大 多数密码学家对这种密码体制的前景持乐观态度
椭圆曲线密码体制有如下的一些特点 : ◼ 1.在安全性相当的前提下, 可使用较短的密钥. ◼ 2.椭圆曲线密码体制是建立在一个不同于大整数分解及素 域乘法群离散对数问题的数学难题之上. ◼ 3 椭圆曲线资源丰富, 同一个有限域上存在着大量不同的 椭圆曲线, 这为安全性增加了额外的保证。 ◼ 4. 在执行速度方面,椭圆曲线密码体制较对应的离散对数 体制要快, 且在签名和解密方面较RSA 快, 但在签名验证 和加密方面较RSA 慢. ◼ 5.椭圆曲线密码体制的安全性分析成果并不丰硕. 也许这 可视为椭圆曲线密码体制具有高强度的一种证据,因此, 大 多数密码学家对这种密码体制的前景持乐观态度