




全文预览已结束
下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1 关于 SM2 椭圆曲线参数选取 一 安全的椭圆曲线的选取 1 椭圆曲线上的公钥密码体制的安全性是建立在椭圆曲线离散 对数的基础上 但并不是所有椭圆曲线都可以应用到公钥密码体制 中 为了保证其安全性 必须选取安全椭圆曲线 即只有选到合适的 有限域 GF p 和椭圆曲线 ECC 能够抵抗攻击 ECDLP 算法的攻击 才能保证所选 ECC 的安全性 若某椭圆曲线存在优于 n1 2级 n 是基点阶次 计算复杂度的攻 击方法 则称此曲线为弱椭圆曲线 Fp 上的超奇异椭圆曲线 有限 域 Fp 的特征整除 q 1 E Fp 和 Fp 上的异常曲线 E Fp p 都是弱椭圆曲线 国密局文档 p4 p25A 4 抗攻击椭圆曲线满 足的条件 下面是选取曲线时应遵循的原则 一种椭圆曲线参数 生成的快速算法 1 为了抗击 Pollard 攻击 所选取椭圆曲线的阶 E GF p 的分解式中应该包含一个大的素数因子 目前应不小于 160bit 2 为了抗击 Weil 对和 Tate 对的攻击 对于 1 k 30 n 不 能除 pk 1 不宜选取超奇异椭圆曲线 3 为了抗击 Semaev Smart Satoh Araki 的攻击所选曲线的 阶不能等于该曲线所定义的有限域的阶 即 E FP p 不宜选取异 常椭圆曲线 4 对于二进制域 GF 2m 的度 m 不宜为合数 Gaudry Hess 和 Smart 提出 若 m 有小约数 l l 4 存在比 Pollard s rho 算 2 法更快求解 ECDLP 的方法 5 选择 GF p 的子域 H 满足它的阶 H 是 E 的最大素因 子 n 并在 H 上实现 ECC 2 一般来说有 4 种寻找安全椭圆曲线的方法 椭圆曲线密码体 制及其参数生成的研究 2006 DR 1 有限域 GF p 上随机生成一椭圆曲线 直接计算其阶 判断 阶是否为大素数或含大素数因子 若是即确定 否则继续选取曲线 直至符合条件 2 取具有一定特殊性椭圆曲线的系数 计算该椭圆曲线的阶 对该阶进行判断 直至找到所需要的安全曲线 3 如果 p 2m 其中 m 能被一个比较小的整数 d 整除 首先 在有限域 GF p1 p1 2 d 上选择一椭圆曲线 E 并计算其阶 根 据此值 利用 Weil 定理 2 计算该曲线在其扩域 GF p 上的阶 若 此阶符合安全标准 再找曲线 E 在域 GF p 上的嵌入 E 则 E 即为 所需的安全椭圆曲线 4 首先给出具有安全条件的曲线阶 然后构造一具有此阶的椭 圆曲线 目前国内外比较流行的计算椭圆曲线阶的算法有 complex multiplication 算法 SEA 算法 Satoh 算法 应用广泛的椭圆曲线 公钥密码体制 ECC 中大多是基于特征 2 的有限域上 3 尽管 ECC 的参数选取方法有许多种 应用最多的是随机选择 方法 它是根据任意给定曲线的系数 计算曲线的阶直到找到素数 或近素数 阶的椭圆曲线 3 1 参数 p 的选取 p 当然越大越安全 但越大 计算速度会 变慢 200 位左右可以满足一般安全要求 2 参数 a b 的选取 已知素域的规模 p 求解比特串 SEED 及 Fp 中的元素 a b D 1p37 参数生成 a 任意选择长度至少为192的比特串SEED b 计算H H256 SEED 并记H h255 h254 h0 c 置R hi2i 其中i取从0到255的整数 d 置r R modp e 任意选择Fp中的元素a和b 使r2 a3 modp f 若 4a3 27b2 modp 0 则转步骤a g 所选择的Fp上的椭圆曲线为E y2 x3 ax b h 输出 SEED a b 二 椭圆曲线的阶的选取 北邮博士论文 在椭圆曲线生成的过程中要考虑的一个重要因素就是确定椭圆 曲线点的个数 即椭圆曲线的阶 通常密码体制中使用的椭圆曲线 E 的阶 E Fp 必须满足以下条件 若已给定域 Fp 要最大限度地抵抗针 对 ECDLP 的 Poh1ig Hellman 攻击和 pollardp 攻击 应使得 E Fp 为 素数或者接近素数 即 E Fp hn 其中 n 为素数 一般来说 最小应该 满足素数 n 2160 h 非常小 比如 h 1 2 3 或 4 另外还要避免对特殊 曲线的攻击 保证 E Fp p 即椭圆曲线 E 不是畸形曲线 同时还要 使得 E Fp 的素因子 n 不能整除 pt 1 其中 t 1 2 30 即椭圆曲 线 E 不是超奇异曲线 MOV 攻击法不能实现 4 计算椭圆曲线阶的最简单的方法是直接对每个 X 任 F p 通过 WeierstraSS 方程查找 y 任 F p 的解的个数 该方法在密码学域空间 很大的情况下是不可取的 在实际的阶计算中 常采用以下两种方 法 复乘法和点计数法 l 复乘法 CM 该方法首先选择一个满足安全性约束的阶 N 然后构造阶为 N 的椭圆曲线 使用这一方法的时候要先确定构造椭圆曲线的类型 再选用不同的方法确定椭圆曲线的阶 若选取的曲线是素数域上的 椭圆曲线 那么在选定阶 N 后 验证阶 N 是否符合安全椭圆曲线的 要求 若满足 则利用复乘法寻找符合参数要求的椭圆曲线 复乘 法是利用具有复数乘法的椭圆曲线素性证明的算法 来求 F p 上的 椭圆曲线 E 2 点计数法 1985 年 SChoof 首先提出了计算任意椭圆曲线 E 的阶 E Fp 的多项式时间算法 对于实际密码系统应用中的 p 该算法的实现 效率较低 随后该算法被 Atkin 和 ElkioS 等人改进 他们通过分析 F p 上的同种映射 利用模多项式的性质 得到了改进算法 sChoof 一 ElkieS 一 Atkin sEA 算法 SEA 算法是已知最好的求解任意素数 域和最优扩域上椭圆曲线阶的算法 在实际密码系统应用中 该算 法的运行时间大约只需要几分钟 它可以快速地将阶能被小素数整 除的候选曲线淘汰 因此常用于早期中止策略 1999 年 Satoh 提 出了计算小特征有限域上阶的全新方法 Satoh 方法 该方法的一些 5 变体如 Satoh 一 Skjemaa 一 Taguchi SST 和算术几何中值 AGM 算 法 在二进制域的情况下速度非常快 可以很快地生成适合密码学 用途的椭圆曲线 三 基点的选取及其阶次要求 椭圆曲线密码体制并不是运行在整个 EC 元素构成的阿贝尔群 上 而是运行在由其基点 G 生成的子群中 为了提高曲线的安全性 选择的基点 G 的阶就是 E 的一个大素因子 根据前面得到的参数 p a b 和 n 利用下面的算法可以求出具有大素数阶的基点 随着参数 a b p 确定 这条曲线 y2 x3 ax b 就定下来了 先随 机产生 0 到 p 1 间的整数作为基点 x 坐标 计
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 安全培训师行业前景课件
- 聚合工艺作业安全题库及答案解析
- 建材行业安全培训试题及答案解析
- 护理安全考试题库及答案解析
- 咸宁安全员b证考试题库及答案解析
- 中国水利协会安全员题库及答案解析
- 2025年国家开放大学(电大)《戏剧与影视美学》期末考试备考试题及答案解析
- 2025年血透室医院感染知识考试试题及答案
- 2025年矿业安全试题及答案
- 2025年国家开放大学(电大)《合同法基础》期末考试备考试题及答案解析
- 《中国高血压防治指南(2024年修订版)》解读课件
- 2025年辅警招聘考试题库(+答案解析)
- 社区护士培训课件
- DIEP乳房重建术后的护理指南
- 中信财务管理制度
- 2025至2030年中国硅烷气体行业发展现状调查及市场分析预测报告
- 2025贵阳银行笔试题库及答案
- GB/T 17643-2025土工合成材料聚乙烯土工膜
- 艺术漆涂料施工合同协议
- 陈皮种植转让合同协议
- 小学科学教科版六年级上册全册教案(共28课)2021年
评论
0/150
提交评论