（应用数学专业论文）椭圆曲线数字签名方案的研究与应用.pdf

嚣煮交遴大学醺士聚究生举位谂文雾糙贾 摘要 随整僚息投术豹不龋笈艘籁应用，魄子镶惑鲤袭全性润爨变褥 越来越黧要。瑰程广泛楚怒鳓致s a 公镧密殍系统邑缀难满怒采来久 们对接息藏安全性戆薅求。椭殿麴线密鹨蒸绫楚迄今炎止公蛾密璐 系统串激舞萃钕鞋：特安垒强攫豹密褥系统。与其镳公韬密码系统榻 比，椭谢曲线密码系统除了摄奄性离外，还具有计算负载小。密钢 尺寸短，占用辩燮少等倪点，城此，糖圜捆续密码鬟统拔钛秀是下 一代壤遴嗣麴公镧密娼系缆+ 本文主要从以下凡个蠢瓣慰撼爨鼗线密磷系统懿理淹磺宠秘盛 翔进行了操讨： 第一懿讨论了有黻域以伽* 3 ) 和吒，上基本韵簿术运算，对有限 域只鞠曩上的椭灏凿线进行7 理论研究，分橱了然予椭鄹曲线的离 散对数鞫鼷靼羲耪对糖嚣鳇绒糍羁系统熬竣毒簿法。在她，我镪绻 食几何圈形给出了只上椭圜曲线的点加秘摧点媳数学搓述；测翅它， 貔粕然爨魏演晰壤解托主糖鞭精线魏务煮静生成过程静幸卜算过程我 蒎点的阶的求欷问题。 第二楚描述丁椭豳曲线上的数黎冀法；分析了安全拣灏秘线瓣 选取阚题。由予程糖耀蓝缝密鼹体懿中一个主蘩教勰题敷摄安全攒 圆曲线的选取闯鼹，如果选取的糖毅照钱本赛悬不嶷垒的，那么基 予该糖瓣鼗线蠹孽镬薅蠢案都燕举安全的，骧毙筏髓蒸子糕l 袋a e l 系 统用c 谮畜编制丁一个寻找犬素数域兄上安垒椭蠲曲线的逸取程 謦，其审芦是太予2 强8 静素数。通道窀，能方便、浚逮懿爵我出燮 垒懿檄鞠照线，掰获褥酶辖隳霹为琶c e 戆王盘实瑗提供参考。 嚣瘸燮溅夹学鞭士幕究燮攀褴论文第群嚣 第三撬撼逮了撩麟鼗缝数串蕊嚷算法，在蛀基瓣上挺出了羧避 魏耩凝爨绫数字蘩褒冀法。爨掇了一释薪鹣萋予嚣c 黔嚣a 数字蕊名秘 畿豆式身份认证蠢察。在该方桊中，用户糖证实自融赛份盼嗣对不 必淮溪蠡蒜酶餮罄壤憋，势豆褥鹱蜜爨搓煮嚣母躅声乏窝熬驳彝赛 豁议程凌然。 爨嚣戆挺赉了诺转赫懿基予撩蓬蕊绫酾溃意泼燮签名蠢嶷， 静楚繁寮冀佘蘧数翡港悫羧囊懿岛方案，一释燕带帮 h $ h 嚣数秘游 怠恢复籀璃筒秦，弗分析了它们的安黛性* 燕键掌；耱裙饕璐傣懿、禚辫羧绫蜜臻露糕、离黻瀚数、蘩字箍名、 掩撩试谜、淡息饿熬 西南交灏夫攀硕士辩究塞拳僚谂寰繁v 凝 l 鸟国s t r a e t 磁巍t 羲e 蠢e v 搴差o 擎l 矬e 鞋l 箍越d 尊p p l i o 霉畦矬o fi 鞋f o f m 矗t i o 勰t e c b l o l o 嚣乳 倦毒s 巷e 骈魏yp r o b l 尊燃蠛e 薹嚣o l l e 珏 ci 矗 懿鑫l i 疆建豁春e o 黻拳s 瑶。辩蘸箍鑫m o 揩 i 瓣争o l t 矗箍 。f h e 装s a 甜y p l o s y s t e 靴，w h i c hi sap l l b l i c 氇尊yc r y 妒 o s 驿t 尊臻 b e i 琏g 艟$ 拳dw i d 霉l y 器o w 8 d 嚣y s 葚嚣e 毪l sl o 巍毒d l 量魁嚣驻l l k sl ol 箍e e lt 巍嚣 u s c r s + n e e do fh i g h e rs e c u r i t y s of a r ie 1 l i p t i cc u r v ec r y p t o s y s t c m 势f e 噼 d e 嚣t h eh i 嚣歉毒s t $ 枉e 嚣g l 矗- p 嚣f - b i t 静矗毪yp 曲l i 嚣- k e yc l 了p t o s y 蕊t e l 矬嚣 珏斑d l t i 勰l o 主t sh i g h 材s 嚣。孵l l 戥基l l i 梦t i c ( 沁押尊e f y 擎l o s y s 嚣艇盎l s oh 搽 m 嚣矗yo l 牲e 鑫d v 硅鞋t 毫g # s s 毽# h 瑰s 缘el 毒s se o i 鞋p 醢t 矗t i o 赫o v 龉h e 魏d s ，s h o t t e l k e ys i 蒜e ，c 雅鞋s i 蘸e r 蝻l 尊b 矗器硅w i 匹魄s 矗擎i 摇鬈s 鞋娃$ 臻。戡a l lo 镛霉毫e 搬封i t 嚣 h 8 v em a d ei tt h eb e s tp u b l i 酗k e yc r y p t o s y 8 t e mt h a ti ss u i t a b l ef o ru s ei n 魄o t # 瓢 铀嚣攮e o f y 盎n 畦基p p l 如鑫t b no f 嚣l l i 溆e 疆# v ee f 躔l 臻s 黔捃魅毽 嚣 s t 毪d e 矗翱o l l o ￥n 擎i r g 娃y b a s i ci 谨 h 蜀【尊t i eo 轳掌 l 童l 尊鞋鑫媾l l 撼魅狂l 棼| 量棼| 畦 萄 毪n d 声i 氇r ed i 嚣c 8 s e dr e s p e c t i v e l y ，t h e nt h et h r yo fe l l i p l i oc u r v e c 醇擎酶s y s t 尊趣b 8 s e 娃。牲l h 巷薹耋建氧e 觳毒聪霉冀狂纛路a 辩s t 毯d i 霉d t 妒w t h e r n l o f 棼 辫e 瓣越y z 孽t h ee l l 罐娃麝c 硼蹿譬d l s 雠e 协孙霉甜i 睡璐 p r o b l 尊搬 鞋狂ds e v 嚣聪l 基 l 鑫e k 鲢黔 i 攮辍s o 藏攮嚣 e l | i 辨i c e 瓤r v 巷 钕了p 协s 了嚣t 雠。鼍薹尊l e i 臻b 妈删，瓤黼e o 蜷躺帮弧侮e 彗尊。默淑薹c 爨秘l 巷靠， w e 钕i 珏g 如f w a r d 誊n e wm 馥t h e m a t i c a l 哇e s c r i p t i o no fp o i n ta d d i t i o n o p e r 鞋娃。嚣珏娃d 娃i 矗l 畦。毽b l 投go 套枣强l i 。no 鞋l 珏ee l l l p e 。醢l 掣嚣鞋嚣s 书矗o 疆 盹e 纛e 确兄嚣y 恼em a 纯e 撼a t i c & ld e s c r 玲t i 9 w e 棼8 # e l 。a l l y 翁裔窝迸夹攀硕士研究璧攀位论文 第4 页 触8 # # o 鼗麴景密涟谴系镜攘戮黠斑懿燕黥锯寮褥鬈绫黪搂型，按 戮1 2 镦幂。箕对瘐媳鬻觌密鹨体制枣嬲s 、羔重d 辩s 、a e s 靼l 黼a 。 壤l - 2 私稍密褥燕绫瓣攥鼙 第兰黔黢是簌1 9 7 6 每蔓今。1 9 7 6 警，w 瓢i l 戥武d 歌i 饿e 粒黼8 r 蜡叠 弑e l l m & n 发褒了“密璐攀瓣籍骞懿”淄囊，挺崮了公锯密鹤钵稍豹 藏念，舞剑了密疆擎的个簌撼嚣，犍蜜繇举发畿了一场黛攀公 诵密码体制系统如翻1 3 所示，其中k b 。代袭用于b 的公钥，k b r 代 表蹋于b 躺羧胡。 潮1 3 蓊钠密码系统鹊模拦 嚣南交遴穴拳矮鞣巍燮拳德论囊 繁珏援 定义：，3出党淫孰i o s l 8 辐穷糕农p 2 ( 鬣) 上翁所骜纛橡裁熬寨 台称淹槽阉盏绫，懑常记冀嚣。椭蕊魏缓土肖个茹然寤在魏点 f 0 ：1 ：o ) ，记为o ，称为无穷远点。 旁方便越览，w e i e f s t n s s 方程磷麓成傍射挺拣鼬璐筑，令 x 。z 艚，y y ，z ，鞠融l # 璐牲8 s s 窘程写黢： y 2 + 4 t 拶+ # 3 y _ 算5 + 露。+ 辑4 洋+ 鞋t 2 ) 藏潜糯强趣绫嚣就燕蠢稳( 2 ) 在佰射平西髫3 - 鬈露七的解再翻 上一个无穷远点d 新组成的集合。 如果# l ，4 3 ，瓢，9 5 毫蓉t 则禳稀隧鼗缝嚣定义在墨上，记必e ，菇* 量，鬈在嚣2 = 爱x 鬣串垂磬点拣兔鬈有理点，萎，鬈瓣垒体置* 寄理点( 毽话 无究逡点o ) 谌必嚣( 黔t 邂曳2 4 令茸撼由w e i e r s t r a s s 方程( 2 ) 给出的一条椭谰曲线对 曲绫嚣定义以下豹纛t d 2 _ 露；+ 4 挂i 鑫 。：孙 + 1 0 3 蠢6 _ 嚣；丰4 搿6 西8 - 4 露5 + 4 辞2 茸舳帮一3 尊4 + 瞎2 口；一檬； # 4 一露；脯2 霹痞 矗- o 转。一豁：一铹铽：毒l 蟊 ，拯) 一c ：，a 戏子矗熬必w e 。f s 鲤a s s 蠢程熬粼裂筑，造矗_ e 时，搭) 称旁攒辫 趋绒嚣翡，。不燮爨；耩灏藏辘是菲裔箨鞠当髓靛蛰剿粼式矗一o 。 鬻南交遥大学硕士醑究艇学位论文燕l s 页 # e ( ) 可以证明e ( ) 上器个点的阶都能攘除椭圆曲绒的阶 # e 缀) 。 定理2 1 ( h n s s e 定理) m 】令舟蚓鹦) 是域上椭圆曲线层的阶， 则有 嚣啦卜( 鼋+ 蚓一2 再 通过h b s s e 定理我们可得# e ( e ) 一目+ 1 一“其中l f k2 口。 定义2 。7 越鸯募壤强赣线s u p 。f s l g 珏l a f 鞑l i p t l ec # l v e ) 就是e 的特征p 整除口+ h # e ( ) 的曲线。犬素数域的非正规椭圆曲线 ( a n o m a l o u s e l l i p l i cc u l v e ) 就是它的阶# 霆l e ) t 岁的曲线。 这掰装藤线都是不安全的耩翟蠢线，我稍剖建密码俸铡应避免 使用上述两类曲线。 定嚣2 。2 ( 瓤l l 定理q 波嚣是定义在考黢域上鲍卷蠹雕趋线， 令f - g + h e 限) ，则： 嚣五f 一譬+ l 一搿一芦；菸巾g ，声蠹蓦魑 l 一 f + 譬r 2 - 一心) 话一芦趵 应用这个定理，我们可l ；l 在已知# 露( ) 的情况下计算撑露孵) 2 2 有限域和f 2 _ 上的椭圆曲线 2 。2 。 奇数特畿瓣壤 特征值是奇数的域的算术操作是搬域已0 3 ) 上实现的域 主鳃嚣紧表示兔豢舍 昭，尹一l 。爨薤失3 戆熊奄毋糖霆藏绫逶合 建立低带宽的、可证明安全的密码体制。我们这尾不讨论特征为3 的 椭圆拯线。 著椭圆曲线露定义在特征僚不为2 和3 的域f 上，剜魏线宣约 麟黼凌遴太挚磷圭礤巍生攀倥论竞嚣2 l 贾 ，z | 祷o d l l 蔑= 畦媳= 霉 瞪j 。6 域或l 下霄程y 2 一s 懈0 d 1 1 的解 箕扶鼗镌嚣案i 辫避煮j 锯，玲是蒋食榷蓬攘缝矿一矿母x + s m 商l i 魏，数镧2 ，7 蘩承* 鹦罩帮獭嚣热缝上y 2 _ 菩3 专善+ 6 搿o d 羔l 辩点 鞭南交涟失攀鞭士研褒嫩攀位论文 繁越甄 _ 一圈 一豳黔 匿曩曩羹譬一鬯鎏錾鏊鬻 毽2 堪点2 p ，3 p 黥专 募嚣耧 遴遗童蚕豹诗簿，我稍褥澍蓬2 曲。 3 = ( 8 黼 器南变涟天攀碾士磷究生学位论文 筹髂蓑 圈2 - 9 椭蠲嚣绫上韵萋煮p 羽龄 遥过圈2 - 9 ，搅们可以褥出藻点p 的阶为1 3 ，我们可以计算 q 一女铲，毒- 毛鼍毒2 1 1 3 毽怒当尹，翁舔琶稚对。能西计算邂程? 这就怒下搿将凄褥到的椭 菠魏绫离散瓣鼗简惩。 2 。2 毒童辩椭滴藏懿 特援先2 的竣土戆糖羝麴线鹣焦趣公式帮褴煮公式燕辕藏麴线 嚣静，一不交蠡，僻) 分为兵蓐) 一。和，偿) 一。两种情况。 ( 1 ) 当， - 0 ，舞l j 稿绫暑可鲶箍为t 嚣 y 。+ j 箩l 善+ 彝2 + 撑 点加公式； 令p - ( 毪，y ，) 曾嚣，则一p 一敝，照+ 毪) 蓐e 如聚 彗- 魄，y i ) 毫嚣，蕊q 盎尹，郯么尹十q 一纯，罗，) 若嚣，这受 p ，_ 舻+ + + 嘞+ 4 2其中a 。热土挫 | 罗3 _ 妇q 十岛) + b + y 1 + 鼍 穆京公式： 令p 一溆，茂) 雾，猁q - 辑2 ，y 2 ) 富，强p q ， 西南交通大学硕士研究生学位论文第2 4 页 那么 p + q - 2 0 l ，y 1 ) 一e ，y ，) 层，这里 位：。匕+ ) 基南 其中 五+ 且 而 ( 2 ) 当j 僻) - 0 ( 即e 是超奇异椭圆曲线) ，那么e 可约筒为： 五：y 2 + n 3 y - 矿+ 4 一+ 4 6 点加公式；令p 一瓴，y 1 ) e ，则一p - o 。，y 。+ 4 3 ) e - 如果 q - 0 2 ，y 2 ) e ，且 q _ p ，那么p + q - 0 3 ，y 3 ) 层，这里 长：麓巍。怕 其中 盐盟 屯+ 五 倍点公式；令，- 瓴，儿) 五，则q 一( 屯，儿) e ，且p q ，那么 p + q - 2 0 1 ，y 1 ) i 缸，y 3 ) e ，这里 卜一华哗，2 l y ，。氆o 。蝎) 帆 l 一次加法运算通常需要八次加法、两次乘法、一次平方、三次 模域多项式m ) 的约简和一次求逆t 一次倍点运算通常需要四次加 法、两次乘法、两次平方、四次模域多项式“) 的约简和一次求逆。 椭圆曲线点加法的运算时间主要耗费在乘法和求逆上。 在实现椭圆曲线密码系统时，人们通常通过选择一个适宜的基 础域，和一条适宜的曲线e 使得点加和倍点所需的域操作数最少， 以加快点加和倍点的计算速度，从而加快点乘的运算速度，提高整 个系统的效率。因为特征为2 的域f 下的椭圆曲线有以下的一些优 嚣藏交通太学磺l 骣究生学位论文鬟3 s 菠 点，从箍使只。褥捌较广泛的威月。 ( 1 ) 莘0 下抟壤簿术撵乎譬眈特餐大鼍：2 静霄黻壤下翡域簿笨操幸# 匿易予用硬件来实现。 ( 2 ) 鲞使掰正魏蒺表示法袈幂攀敝域凡的意綮对，域元索酌平 蠢撩终是一个鹅尊憋矮霹：游挝撵椎，其诗算复杂度霹塔被怨曦，爨 丽椭脚曲线上的点加操作威包禽鲤城嚣豢乘法的次数大大减少。 ( 3 绘定f 0 上拣霾掏钱嚣圭鹣蠢尹熬x 艇标缓翻赣磐髓一巾斑 信怠( o 或1 ) ，穰容荔计算出点于膏畸y 嫩标值。斌一特征可有效地减 小类e 泌a m a l 密褥蘸绕鲍镶怒扩篪凄。 好慰露上的越奇舅蠛溅鼬擞藤蛮，彗选择屯- l ，那么嵌进褥 椭圆曲线的倍点操婚时不糕要连舒域嚣絮的求遂邀算( 求遒落算楚 最翳痰弱城搡槔) ，避一步藏少了攥 霉敬数。 5 ) 擞一敖的软件环境下，域魄域0 最翁鬻大豹性能饩势。 在诸翔s u n 工律始、h p 激势稀、嵌入臻统、特粼是 蠹端8 簸智熊 卡饕警奁上，域烁纳性糍戴势宽冀麓照。若使礴城疋，热获褥露样 的性能糯增加一个密码协处趟据( 一个专f 1 耀予进抒密码处理的磺 转郝释) 。瞧在基襻程一令帮嗣予诗舅大骧数器瓣冀零鲑琏嚣熟较律 环穗f 鲡程佼蔫 e 嫩i u m 缝溪瓣静警螽，藏在带精密码协处理瓣的餐 悲卡) 上，往孺域砖氇可获褥较鲟韵经熊。 2 3 秣灏l l 篝线离散对数瀚隧和e e e 韵安垒牲分析 2 ，3 ， 撩霭蕊罐蔫歉对救阏瑟 椭圆照线离敷对数问联，郾e e d l 量( 烈l i p l i ec q f v ed i s c r e l # l 。g 氇f i 穗撼p f 曲轴攥燕橇鞭瓣缓越璃学酌蒸穑。糖稿麴线藏羧瓣数瓣 题可攒述如下；绘怒一条椭筒獭缍嚣和曲线上韵一点p ，舻表示点 西南交通大学硕士研究生学位论文第2 6 页 p 与自身相加z 次，即抒- p + p + + p ，共x 个p 相加。假设曲线 e 上有一点q ，使得q - 廿成立。那么椭圆曲线离散对数问题就是给 定点p ，q 求解z 的问题。 椭圆曲线密码系统的安全性依赖于椭圆曲线离散对数问题的难 解性。与整数因子分解问题和一般离散对数问题( d l p ) 一样，到目前 为止还没有发现求解椭圆曲线离散对数的有效算法。但与整数因子 分解问题和一般离散对数问题不同，目前求解e c d l p 的算法都是指 数时间复杂度的算法，而对前两个问题的求解存在有亚子指数时间 复杂度的算法。从这种意义上讲，椭圆曲线密码系统是目前安全性 较高的公钥密码系统。 有一小类的椭圆曲线，比如超奇异椭圆曲线和某些反常椭圆曲 线，其上的离散对数问题是相对容易求解的。但是在具体实现时， 通过进行简单的检测就可确定所选择的椭圆曲线是否属于以上两种 情况，从而可以避免使用这些椭圆曲线。 构造椭圆曲线密码系统的思想大体上与构造一般离散对数密码 系统的思想相同，只不过是在e c c 中，离散对数方程是在有限域上 的椭圆曲线上实现的而不是在一般整数域上实现的。与其他公钥密 码技术相比，在密钥尺寸相同的情况下，采用e c c 可以获得更高的 安全强度。这就意味着为达到相同的安全强度，使用其他公钥密码 系统( 如r s a ) 所需的密钥尺寸比使用e c c 所需的密钥尺寸长【“】。短 密钥的使用对诸如电子商务和银行类事务处理系统的整体系统性能 的提高具有十分重要的意义。 对于密钥长度的比较如图2 1 0 所示。 鞭南交通夫攀硕士研究缴学位论文繁杵页 密 钥 ，： 小 凰2 1 0e c c 和r s a ，d s a 的镪钥安全等缴比较 m l p sy e a r 表示一个计算能力每秒执行一百万条指令的许算机 工作一年。更直观的描述见波2 1 l 。 表2 1 le e e 与r s a 、鬻瓣密锯安垒等级毙较 s y m m e t r i c 5 6 8 01 1 21 2 8 1 9 22 5 6 r s a 拜5 1 21 0 2 42 0 4 83 0 2 77 6 8 0i 5 3 6 0 e c cp1 1 21 6 l2 2 42 5 63 8 45 1 2 k e y8 i 葛er a t i o 5 ：16 ：19 ：11 2 ：12 0 ：13 0 ：1 2 。3 2 椭圆曲线密码缡粥学及其安全性分拼 椭嘲瞌线密码体制就是建立在椭嘲曲线离散对数问题困难性上 的。椭脚曲线密确最重要的研究是它的安全性的研究，而藏的安全 经依赖乎e c d l p 瓣安全性。对手e e d 擅瓣袭赘类钕予辩糍羧壤戆 乘法群的离散对数的攻击，不过一些特殊的椭喇曲线的离敝对数有 特豫戆计算方法。簸离散对数骞有效酌亚攒数瓣阚舞法蔽圭一一 指数计算法( i n d e xc a l c u l u s ) ，但由文献l ”l 的讨论，知道这种方法不 西南交通大学颂士研究生掌位论文第2 0 页 能应用到e c d l p 上。在谶击的近2 0 年里，e c d l p 受到了全世界前 沿数攀家静摄天荧注，嚣翦逶没有发现嚣e d 糙有手 么褥嗣丈翡鳙 点。对e c d l p 的攻击我们把它分成两类；对所有曲线的离散对数的 攻击帮对特殊热线鲍离教对数的攻搬，主要誊下列攻毒努竣。 一、对所有椭圆曲线离散对数韵攻击方法： 1 穷搜索( n a i v ee x h a u s t i v es e n r c h ) 这是一静最壹鬣豹方法，藏是蒋革懿计算尹瓣滚续倍数尹。 2 p ，3 p ，4 p ，盥到得到q 为止。这种方法最坏情况是计算 8 步。 2 小步大步法( b a b y - s t e pg i 撇t - s t 印a l g o r i t h m ) 1 1 2 l 令* l 靠l ，则v f z ，f + t ，o # $ ，t m l 岛t 是唯一 鹣。麸 l 嚣争- 韶萨+ 萨，掰虢藐髓霹狂预先计葬蝴， o 一1 ，2 ，俐一1 ，将馁们存储起来，然后计簿q 一炉， - 2 ，燃一l ，将每次计算结聚与存储的硎p 毙鞍，直到拽列 相等的，从而找到了j 。这个方法是把劣搜索中的都分时间转 换为存储，即以空间换取时间，它需要存储大约怕个点，最坏 嚣要诗霉苡步。 3 p o l l a r dp 一算法( p o u a r d s 批o a l g o f i t h m ) 1 1 3 】 这个方法是p o l l 酊d 提出靛，它实鼯上是小步大步鲍一个 变形。它的运行时阀与小步太步差不多( 大约是如，2 ) ，但铉 比小步大步法优越的地方是它的预存储摄可以忽略不计的。 毒。势毒式p o l l 毫蛹矿算法国| s 轾论毽e dv 蠹 s i o no f 擎o l l 蠢砖s 曛o a l g o r i l h m ) 1 1 4 l v & no o r g c h o t 粒w i e n e f 谯1 9 9 8 年掇出如何将p o l l & f d 挣 算法并行她理，使褥箅法分卅个过程并行处理，避行时间犬约 两南交遴大攀硕士科究擞学位论文嚣2 ，页 是m 式2 辫) 步。分毒残蕈o l l a f d 妒* 熬法悬羁耱基知黪慰一般糖 强曲线离散对数超联最好弱玻落方法。 5 p o h i i g - h e l l m a n 算法( p o h l i g - h e l l m a n a l g o “i h m ) 1 列 这个簿法跫p n h g 和h c u m a n 挺出的，鬟憾子一般乘法群 上酌痘焉，它穗可戳稻柱e c d 甜土。 x e d b i 诗舞法f x e d n ie # l c u l h sm e 慷。曲【1 6 l x e d 畦计簿法是s i l v e 班a n 在1 9 9 8 攀燧燃魏一令赫敬攻巍 方法。对予椭嘲曲线上的离散射数问题，指数计算法悬不能用 的，僵樯攒数计算方法静耨痔黼过棠考虑，予是茇瑗了这种竣 穗，并戳i 耐e x 秘邈窿来命名。在指数计算法孛，分解小素觳 乎的积是非常繁要的，j c 圣椭圆曲线上的点瞧簧g l 入姆此相当的 壤念。为此，撼毒袋域上鲍蛙缱提髀为蠢理数壤上躺藏绫，硬 用有理数域上曲线的点的高度( h e i g h t ) 的概念。但是，根据 k 曲1 i t z 等a 酌讨论，x o d 曩i 计算法藏功羽概举是非常小静，鼠 它懿计算惫整穗指数时鞫豹 二、对特殊椭圆蓝线的勰数对数魄攻击方法； l 。m o v 玻击1 1 7 l m e n e z e s ，o k h m o t o 和v a n s t o n e 在1 9 9 1 年发表丁将e c d l p 翔翁蓟有蔽城上离散黯羧静有效解法，势瓴逡三个榫者的名字 翡第一个字蹲禽名，繇m o v 翔约。不_ 避，逡释方法并不是瀚 所寄的椭灏鳇缝帮能有效的适用。m o v 三人证明_ 些簋是越 奄毋椭圆曲线对，扩域次数蟮6 ，m o v 玻落对于趣姑异糖麟 曲线是有驻指数肿闯算法的。 2 。s s a s 竣击 ，】 1 9 9 7 年s m 8 f t 【秘帮s l t o h 爱a r 呔i 翔辩分嗣獭垒捺密了瓣 西赢交蘧穴学硕士研舞生学位论文第萄贾 索域只上一类称为非雉规椭圆曲线的离散对数的攻击，不久， s # m 鑫e v 也褥到了弱撵戆缍罴。蘑菇嚣为s 越a 1 s # 辆h a f 8 k i * s e m a e v 攻街( s s a s 攻击) 。s s a s 攻击构造了e ( 以) 劐的加法 群的一个网梅映射，健褥解这类e c d l p 是多项式时瓣的。s m a n ， s 甜施和a r 舡i 是采翔了代数数论静手法逡行妇约，两s c 日a e v 则是采用代数几何的乎法。 对e c d l p 豹攻击中也涉及到软件和硬件攻击。不过，现在看来， 软硬件攻击是不能威胁到” 2 ”的椭嘲曲线密鼹系统的。 敞上面韵幸嘻论哥褥出如下结论：蟊前最好静e c d 弹玻击算法楚 分布戏p o l l a r dp 算法攻击法。整数分解问磁的研究至少有两千多 年了，嚣糖强藏线囊教鼹数翊霪至多考一百多零鳇鞋闻。嚣e e 是蠢 真的比r s a 安全，这是现在密码学界和数学界共同研究的热点- e c d 黼有没有溉揎数时闻算法，这怒今后e c c 蜜全研究的一个大谋 题。 3 1 譬1 言 在实蕊耩潮贽绞密码萘统乏蓊，必缳选择好嚣c c 系统媳域参数 ( d o m a i np a r a m o t e r 8 ) 或者称祭统参数。邀黛参数包括所选择的基础有 辍域、域袋示法、樵瓢鳆线的基体形式释基纛等，一些拣黢豫组织 翔一令6 嚣缎t 移- g ，魏g ，妨亲巍臻定义在城以上瓣糖鞠麴线城 参数其中p 为莱个絮数，# 。嚣薯，绘墩壤菇童熟蠛爨魏线嚣峨) ， 8 楚蒸主韵基淼，n 憝点艿鹚狳，且簧求n 为素数， 艇笑予# 尉巯) 的协因子，即 - # 嚣( 以) ， 。厢个7 弼组扫一御，o ) ，4 ，6 ，拭 ) 来亵 示定义在域f 。豹糖嘲曲壤域参数。箕巾辫指明二次域翦扩张次数， ，楚该域上次数必m 懿誉霹缝多磺茂，摆嬲了躐上元索瀚裴示方 法，8 ，坟戗# ， 的禽义鞠只上瓣类辔； 。 对一簸翡域靛圭静嚣c c 斌参数蜀戳统一记为一个屯元组： d - ( 鼋，凇，4 ，b ，g ，n ，h ) ，其中q 为某个素数幂国一_ p 藏- 2 ”) ，f r ( f i e l d r e p 坤s e n t a t i o n ) 捂出哎中霜爨的表示方法t4 ，玩8 ，# ，矗的含义朝鼹述类 儆。 出予e e c 蛇童簧安垒参数是 ，觳般裁搬拜瓣谯长定义必e c 密甥麴长嶷。 关予以上e c c 域参数的产燕算法和如上e c c 域参数的产生算 法分踟如冀法3 1 和髯法3 2 所幂。在率章中，我们具体实瑷了在太 爨数域上瓤每逸取寰套鹩糖瞩鹅线，葳以下嚣蜓游谂孛，粼爨程壤致 的前提下遴蠢的。 页一 点现奚爵文褥雠爵样爵熊公骷磊婵面姗面酾稿覃 量 幕 西南交通大学硕士研究生学位论文第3 2 页 葵法3 。l ；砖土e e c 城参数戆产生算法) 输入：大致安全等级，奄默一令整数t 袋示， 芒 s 6 彤茹姻繇1 2 | 王2 巍l 雠9 2 ，2 5 鲢 输出；疋上嚣e e 域参数：d - ，# ，熬g ，# ，黔 i 。选择索数p 满足；f - 2 5 6 时，脚j p l 一丑；f - 硝6 时， 脚2 芦 - 5 2 l 以确定嚣 2 潦舞参数# ，6 糕鬈，穰攒蠢稳y 2 * 矿+ 站+ 每姆醴p ) 硫怒巧上蠛 蹦曲线联魏) 选撵羲点# ；素数，# 憝感# 熬瀚；诲西乎女 成满足如下疑求； ( 1 ) 翻3 + 2 怡2 _ o ( m o d 力 ( 2 。# 羞最 - p 。 ( 3 ) 媳嚣，矿_ 酗瓣弹) ， ( 啦。| i | 4 。 3 ，输出d 一，d ，瓤g ，# ，螗。 箨法3 。2 ；主e e c 域参数产熊算法) 输入：大致安垒铬毅，它以一令趣数裘示， 售绺瓣黼9 酗i 勰2 8 3 9 2 ，2 5 酿 壕出；，0 上嚣e c 域参数 d - 姆，嫩# ，致敬h ，女) l 。谗豢 s 甜4 娜尊舔l 矩然麓2 趟餐巾戮 犬麴最小麟数舞霸选 择群 l l 辩3 韬6 鼯粥，2 3 3 ，2 3 9 ，2 8 3 ，4 0 9 5 7 1 满足磐坍嚣| 王i 确定有隈域 鬈 2 ，滚撵一个嶷为m 辩不w 约多磺斌，渤戳确定土嚣素酶袋 示。 3 造替参数散，寝熬方程y 2 十掣- 矿+ 剃2 + 矗魏定如点糖蹙躲 线。选择萋意# 两南交通太攀硕士龉究黧拳位论文 第勰蕊 素数h ，n 是点8 的蹬 协因子是满足如下要求； q ) 。夯# 0 。 2 ) 静e 峨) - 2 ” ) 。城露：辩，2 艄一轴。d 啦。 ( 吣4 。 4 + 絮蠢燃p _ 0 蚌，罅，矗，g ，抖， ) s 3 2 萋蕊的选取 e e e 熬麦萋蜜垒参数是# ，群基焱疗麴狳。鬟构浚基予蕊散对 数酾密戮髂制，就必须羧出獭蕊鼹绫热法群魏大素数予群静个生 成蠢，鞭基点g 。 兔拽基煮，簸钓先挽鞴鼹撼缝上穗躐选取一令点，然豢逶蘧这 个黼祝点筏随鏊蒜。 绘寇贰土的一条橼灏曲线，激或箕上戆一令随裰杰p 滁辩熬 簿法鲣冀法3 3 新泳。 算法3 0 t ( 生成兄上骢隧极点躲筹法) 输入t 个素数p 3 ，艺上横圜鼗绫露豹参数# ， 输出：狂主酌一个髓祝煮 l 。随机缝取，0 蛙# 芦l 2 令辖p + 斛+ ( 搿矾p ) ； 3 。如果a 。o ，则虢如扛，o ) ，辨结裳 如聚g o ，则进摇步骤4 ； 4 求群的：次剩余或翔簸其= 敬裂寐誉存在； 5 鲡聚游骤4 串二敬嗣余不存在，剐邈溺l ； 誉喇输出一个攘数多，o 黟t p * 毽姆芦2 * # 搬醴p ； 6 黛畿一个耩枫谶蒋声，令y 一卜驴筘 薤瘫交溅太拳鼹士硪究燮学位谂文繁3 4 贾 7 。输出秘。y ) ， 设# 应( 只) - 一觚， 魁椭网曲绒嚣的阶的犬索因子( n i s a 规寇 至少骚i 6 糖i t ) ，下簧懿弊法3 霹绘蹬警戒疋韵阶基煮酾舞法。 簿浚3 。4 ；生成疋黪# 除慕蠡熟葵法) 输入：瓤8 ，霸漾城以上静撩鹜懿缝茁，静嚣峨) * 触 辕掇；e 上蹬必# 戆赢g 1 用上面的算法生成霹的个随机点尸； 2 ，令g 一埘； 3 ，鲰粜g o ，则返圈l ；+ 褥鳓辍爨鼓 一般避，骧戡选取x g 鬈，款蠛辫藏蠛露糍串簿蹬y 程鬈，懿巢 这徉的y 存在的话。将y ) 转化为投影坐标暖，y ，z ) 检豢 坌- 纛譬，羲z ) 一灏，嚣，五) 燕答斑无努逐纛，帮梭煮煎是甭两零繇爵t 妇袋誉为攀，嬲q 簸是一个蕊蕊，黉剃瓢蓑选取并e 3 ，3 麟灏热线上瓣数黎髯法设诗 鼗女毯，p 撼嚣( 兄) ，刘数黎( s c a l a r m u l t j p l i c a t i o n ) 矗p 定义为将点p 鑫攘誊次。糖黢麴线糍钢燮换体制毯磁，桶鬣蕊线嬲磷体制 蹬c 鞋e ) 、糖鳃热绫数字链名体制撂c 蛰s a ) 等骖议瓣实现都鲻剿撩瑟 馥线土的羧乘避簿。数豢遥冀熬槠爨鼗线密稻棒粼麴棱心撵律。 下磁黢髑幸母谚谴冀姥黪窍鼗冀法。掇据髯黼域瓣蹬，璐敷箕上 豹椭嘲曲线的不同，这黧算法可以遵 步优化。 ( i ) = 滋裁法( b i 盎8 y 墩e t 辆d ) = 谶剃法照津冀拉螅溅褥单帮凝卷滋静穷涟。设女一y 2 l ，箕 嚣南交通天举壤硒巍生学位论文第4 l 贾 f o rff r o m6 1d o w nt 00d o q 一2 q f o rsf r o mv 1d o w nt ood o c o m p u t ej 晖。曲f l i f ，餮，毒，q _ ot h e 珏q _ 一q + g 誓( 青，瓤f ) ，s 】 e n d f b r e 囊娃l b r r e t u r q 冀串毅组8 颡计算静算法翔算法3 。l o 新拳。 算法3 1 0 ：( 数组g 预计算的算法) 孙r # 盘。瑶l 糨分一l 翻 生成“的= 进制表示 1 “l ) 2 幻rs蠹。燕e l o p ld 8 g - 2 。磊蚱2 “p 毒矗l o r e n d f b r 该算法篙占用( 2 一1 弘个椭圆曲线点的存储空间，黼做6 1 次倍 加帮警均掣一枷，分一1 次蠡烟，最蟒壤形下蒜檄诗一1 次惑熟t 遂遘 选择合适的参数 。v 可实现内存占用和计算速度之间的平衡。 旗蠡警豁氯誊氧饕曩蛩彭羔誊警；j 毽 瑾霉蠢墼褡；羹；篓j 娶胥鬻； 茹罾萼蠹，墼蓍螫羹= 雒 器，萌隧墼囊 一i l 蔫鬯一置罐霪? ； 嚣垂 麓a 露l ； 鹜鬃；强；j 霉；i 羔引誊受l 薯眭荠篓 疆差蠹j j 基j i 需墅孳一荔鸶秘醒錾一j j 蘧洲鞠稍骐 8 j 禹圆 霪曩。鹱自 i l 目 譬滢镯薹一女i 羹i f j 薹彰鋈翌稳啊垃孓i 警甓羹塞；蕾骞节j 萎莛露；曼篓荔斑。；嚣塑 ? ：0 ；。蓍堕=i 囊霆翼i 静甜夔i 囊学芟接道鸯型零薹妻氰瑁凄s i j 耋薹i 薹n | i 囊! 雩妻i j ! 簦蔓 2 茹e 蕃；目錾鲁铃“；娶零旃鳝塾融? 俺囊；鞋妒雯c 】 艇鑫誊基薹；鬻鸶i 薹羹要。鹜型嬲“驰m 。 篡眭妃型爹融呤，二访署鹾。薹器矗由萋蔫嘎崮： ! i i 鸶；i 耋“j i = | 蠢i ；- _ i i 虱墼；2 谨i 黪翟霉握笈薹；蠢汁照麓硼囊麓j 萎双器蓄警j 器鋈醚瞳匕j j 崮黉；瑚薹霉司； r 囊鍪瞳孚警。 孓鬣j j ；交l j 彰弼堂窭醭l 垂。 4 臻目冀t 影型爱矧萋 墓荔幕鸯攀饼l 篓曩i 羹篁磅 滢喽镬鼍强；潆，。爨l 囊强强强 麟涛交遴失攀硕士磷究垒学位论文髂觚贾 y 2l 冀3 + 躐芹+ 6 ，群，务毫兄，a - 舷5 + 2 诒2 一o 瑶。磊p 。 s h a * l ：单肉躲s h 函数。睫枫生成崴上戆糖黧夔线穷爨瓣葬法 3 1 4 如下所示。 算法3 。1 4 ：淹梳生成致上的椭翻鞠绫方鬟的算法) 输入：大素数p ，a n s lx 9 6 2 维莽p 至少为1 6 0 b 汛 输出；兜特肇s # p 据，至少1 6 越8 净圪； 使耀鲍常蠹； 一t p l $ 一瓣一1 ) ，1 6 。】 v - i l 融 ( 1 ) 随机产嫩一个长度为g 的比特串$ e e 越，苫1 6 0 ； ( 2 ) 计算丑- 懿联一l ( s 艇) ，然瑶把辩的最右边v 魄特赋给c 。； ) 怒c 。翡最庄避莅( 鞭第v 诧酶) 设嚣为0 ，把变纯精酌c 0 赋翁 取；( 该步骤确操7r 印) ( 4 ) 把g 比特的s e e 矗嚣转羧鸯整数，诞痒： ( 5 ) 循环处理f 从1 别i t 1 ) 屯一q + 匀搬o d 2 “ 2 ) 捂瓤律海进黪枣澍特，诗算弼- 盛秘一蜘，) 。 ( 6 ) 搬矸、弹、弹0 遴接起来搏刘驿 融隅# 溉1 | f h 敝 ( 7 ) 将比特串转化为整数r ； ( 8 ) 如果，s o ，溅者静+ 2 7 一om 娟p 那么翻剿涉骤( 1 ) ) 隧撬产囊如参式，嚣疆者拳阚辩为o ，筹簧求r 矗2 - # 3 艄d p 。 例如鸯特例口= r ，6 = r 。 l o ) 斟此，隶滋基于凡的椭蕊龋缝男程嚣； y 2 一x 3 + 似+ 6 ( 1 i ) 稿窭( 撼，# ， 褥瘫交蘧夹攀壤圭臻宠生举往谂文簿萌委 下蕊鲶出一个算法，以检查基于只的椭艘曲线方程占： ，2 - f + 甜+ 6 是番邋过上隧鳓冀法随梳产生的。如冀法3 1 5 所示。 算法3 1 5 ：( 检蠢巴上醢线随机性的箨法) 输入；素数尹，长发舞霉熬笼特串糊搬，口，瓠秘，只) e 输窭：是，嚣。 ( 1 ) 计算日一捌姒一玲必) ，然席把榉的最右逸v 比特赋缭c 。； ( 2 ) 撼c 。的域左边位( 鼯第v 比特) 谈鬟为0 ，把变纯藤鲍c o 赋缭 ； ( 3 ) 撒害比特熬s # 。蠢霆转换海整数，记俸：i ( ) 鹱嚣楚溪， 鼓l 粥s 1 ) 鱼一o + i ) m o d 2 。； 2 ) 恕& 雅为诧特串糟待，诗算职一& 幽一玲f ) - ( 5 ) 把甄、既、肌滤接起来褥劐矽： 妒= 珉| | 溅# l 黻 4 s 口h ( g ) ；如果非，回 到步骤( 1 ) ： ( 4 ) l 女2 0 ，对每一个t ，要求 不能整除矿一1 ；如果非，回 到步骤( 1 ) ； ( 5 ) 要求n g ；如果非，回到步骤( 1 ) l ( 6 ) 选择适当的g 占 ) ，求g - ( n ) g ，要求g o 。 这样得到全局参数，全局参数d - 朋，口，6 ，g ，h ， ) t 其中f r 容 易得到， 甜量幔) ，h 也非常简单。 对全局参数的合法性的检查，是为了避免采用那些通过精心设 计的全局参数( 从而使某些攻击变得有效) ；另外还可能检查出无意的 疏忽等造成的错误。 检查全局参数合法性的算法： 算法输入：d ( 口，瑚，4 ，6 ，g ，n ， ) 算法输出：是，否 ( 1 ) - 犯一； ( 2 ) 脉是e 的一个元素； ( 3 ) g _ 0 ； ( 4 ) 4 ，6 ，z 。，y o 是e 的合法元素； ( 5 ) 可选择。如果有输入s e e 把 用前面介绍的检查是否随机产 生曲线方程的算法，检查曲线方程是否随机产生的。 ( 6 ) 用判别式判断椭圆曲线方程的合法性： 若e 上的方程：y 2 - 石3 + 甜+ 6 ，要求a 4 口3 + 2 蚀2 一o m o d p 若以上的方程ly 2 + 叫i z 3 + 甜2 帕，要求6 - 0 。 西南交通大举硕士研究啦学位论文第s 5 页 ( 7 ) 验证点g 在魏线上： 糟只，有y a 2 一善d 3 + + 矗： 游l 有y 。2 + y 。一x 。3 + 似。+ 6 ； 8 ) 蘩隶n 为素数； ( 9 ) 骚求h 2 ”。n 如口，f q ) i ( 1 ! 藁求有等式成立；h g o ； ( 1 1 ) 要求有等式成立：a - 稚g 哟) + 1 ) 2 棚； ( 1 2 ) 当1 ts 2 0 ，对每个女，要求月相一1 # ( 1 3 ) 要求# - i g ； ( 1 4 ) 如果以上的判断都成立，返回“是”，袭承参数合法i 否则 返回“资”，表示参数合法性检壹没有谶过。 下帮介绍e c d s a 算法新需要钓务数，撩灏瘟线全精域参数 d q ，掀，口，6 ，g ，m ) ，公钥参数是椭圆曲线上的一个基点；私铜参数 是一令燕数； 实体a 执行如下操作以缴成密钥对t ( 1 ) 在区间鞲h 一1 l 生成一个随机或嚣伪随机按数d ； ( 2 ) 计算露一撼； ( 3 ) a 的私钥怒d ，公钥是q 除了上覆熬雾弦，还露敬在胃痿强豹第三穷( 妇扶涯孛一c a ) 得到所需的密码参数t 2 们。 对积钥生成而育，选择一个好的随帆数产生器( r n g ) 或伪随机数 产生伊r n g ) 是非常重要的。一个差静r n g 或挚鬏n g 会变鞠缝缩小 密钥空间，降低劈举攻击的难度。 公键参数鲍会法性捡蚕蔗搀了避受毽餍鄢螫荔受攻击静公秘参 数，或捻蠢无意的疏忽等造成的些错误等。 鞭南交通丈学硕士研究生学位论文藏s 6 页 公锶参数韵台法憔梭誊冀法酌步骤摘述辆下： 算法麴输入：蚤- 晒擞，口，矗，爵，h ，蠢) ，q 一0 。，y 。) 算法魏输出：怒，嚣。 1 ) 梭鸯q p 0 ； ( 2 ) 检凌吨，y 口岛； ( 3 ) 撩豢q 点满是糯鬣鞠绒穷程i ( 4 ) 稔豢堙一0 ； f 辩魏策鞋上剿新都戒藏，邋圄“燕”，表永参数合法；餐鲻邋 越“篱”，裘承参数裔法稔尝没骞逶避。 3 喜2 嚣e d s a 冀滚 嚣0 豁s a 熬螫名舞法鼓舞参数 蕊名的消纛擀i 垒褥参数 移- ( 晕，矾墩砖g ，嚣，酚 签名嚣鹈翡d ，公镅q ，箕枣营- 粥， 嚣e 器s a 懿撼露簿法魏下t ( 1 ) 进撵一个髓机数毯疆n 一1 】； 8 ) 诗冀i 秽一随，兢) ； ) 圣 舞r * 麓黼d i 辩暴r 一0 ，瓣鼷戮步骤1 ) ( 4 ) 译黧素黜a d 嚣l 爷) 羚冀s s 酞- 酾； ( 6 ) 计算s 一”1 ( 嚣+ 咖) m o d ；如果$ 一0 ，则网到疹骤( 1 ) ； 7 ) 瓣满意挪熟签名惩，$ ) t 签塞密恕游息搿 辍签建，s ) 发遴蹬接牧考。鸯臻收嚣竣勰溃崽 辫帮签名( r ，s ) 乏精，验证对消崽整名熬离散往，霈葵的参数悬念鼹 参数妇一氟撼g ，魏档，鹣秘；茨邋鬈熬公铸叠。建议羧牧黠铡霸翁蕊熬 合法性校黉算法，对参数d 靳q 的台法性进行橙骚。