SM2椭圆曲线参数选取

1 关于 SM2 椭圆曲线参数选取 一 安全的椭圆曲线的选取 1 椭圆曲线上的公钥密码体制的安全性是建立在椭圆曲线离散 对数的基础上 但并不是所有椭圆曲线都可以应用到公钥密码体制 中 为了保证其安全性 必须选取安全椭圆曲线 即只有选到合适的 有限域 GF p 和椭圆曲线 ECC 能够抵抗攻击 ECDLP 算法的攻击 才能保证所选 ECC 的安全性 若某椭圆曲线存在优于 n1 2级 n 是基点阶次 计算复杂度的攻 击方法 则称此曲线为弱椭圆曲线 Fp 上的超奇异椭圆曲线 有限 域 Fp 的特征整除 q 1 E Fp 和 Fp 上的异常曲线 E Fp p 都是弱椭圆曲线 国密局文档 p4 p25A 4 抗攻击椭圆曲线满 足的条件 下面是选取曲线时应遵循的原则 一种椭圆曲线参数 生成的快速算法 1 为了抗击 Pollard 攻击 所选取椭圆曲线的阶 E GF p 的分解式中应该包含一个大的素数因子 目前应不小于 160bit 2 为了抗击 Weil 对和 Tate 对的攻击 对于 1 k 30 n 不 能除 pk 1 不宜选取超奇异椭圆曲线 3 为了抗击 Semaev Smart Satoh Araki 的攻击所选曲线的 阶不能等于该曲线所定义的有限域的阶 即 E FP p 不宜选取异 常椭圆曲线 4 对于二进制域 GF 2m 的度 m 不宜为合数 Gaudry Hess 和 Smart 提出 若 m 有小约数 l l 4 存在比 Pollard s rho 算 2 法更快求解 ECDLP 的方法 5 选择 GF p 的子域 H 满足它的阶 H 是 E 的最大素因 子 n 并在 H 上实现 ECC 2 一般来说有 4 种寻找安全椭圆曲线的方法 椭圆曲线密码体 制及其参数生成的研究 2006 DR 1 有限域 GF p 上随机生成一椭圆曲线 直接计算其阶 判断 阶是否为大素数或含大素数因子 若是即确定 否则继续选取曲线 直至符合条件 2 取具有一定特殊性椭圆曲线的系数 计算该椭圆曲线的阶 对该阶进行判断 直至找到所需要的安全曲线 3 如果 p 2m 其中 m 能被一个比较小的整数 d 整除 首先 在有限域 GF p1 p1 2 d 上选择一椭圆曲线 E 并计算其阶 根 据此值 利用 Weil 定理 2 计算该曲线在其扩域 GF p 上的阶 若 此阶符合安全标准 再找曲线 E 在域 GF p 上的嵌入 E 则 E 即为 所需的安全椭圆曲线 4 首先给出具有安全条件的曲线阶 然后构造一具有此阶的椭 圆曲线 目前国内外比较流行的计算椭圆曲线阶的算法有 complex multiplication 算法 SEA 算法 Satoh 算法 应用广泛的椭圆曲线 公钥密码体制 ECC 中大多是基于特征 2 的有限域上 3 尽管 ECC 的参数选取方法有许多种 应用最多的是随机选择 方法 它是根据任意给定曲线的系数 计算曲线的阶直到找到素数 或近素数 阶的椭圆曲线 3 1 参数 p 的选取 p 当然越大越安全 但越大 计算速度会 变慢 200 位左右可以满足一般安全要求 2 参数 a b 的选取 已知素域的规模 p 求解比特串 SEED 及 Fp 中的元素 a b D 1p37 参数生成 a 任意选择长度至少为192的比特串SEED b 计算H H256 SEED 并记H h255 h254 h0 c 置R hi2i 其中i取从0到255的整数 d 置r R modp e 任意选择Fp中的元素a和b 使r2 a3 modp f 若 4a3 27b2 modp 0 则转步骤a g 所选择的Fp上的椭圆曲线为E y2 x3 ax b h 输出 SEED a b 二 椭圆曲线的阶的选取 北邮博士论文 在椭圆曲线生成的过程中要考虑的一个重要因素就是确定椭圆 曲线点的个数 即椭圆曲线的阶 通常密码体制中使用的椭圆曲线 E 的阶 E Fp 必须满足以下条件 若已给定域 Fp 要最大限度地抵抗针 对 ECDLP 的 Poh1ig Hellman 攻击和 pollardp 攻击 应使得 E Fp 为 素数或者接近素数 即 E Fp hn 其中 n 为素数 一般来说 最小应该 满足素数 n 2160 h 非常小 比如 h 1 2 3 或 4 另外还要避免对特殊 曲线的攻击 保证 E Fp p 即椭圆曲线 E 不是畸形曲线 同时还要 使得 E Fp 的素因子 n 不能整除 pt 1 其中 t 1 2 30 即椭圆曲 线 E 不是超奇异曲线 MOV 攻击法不能实现 4 计算椭圆曲线阶的最简单的方法是直接对每个 X 任 F p 通过 WeierstraSS 方程查找 y 任 F p 的解的个数 该方法在密码学域空间 很大的情况下是不可取的 在实际的阶计算中 常采用以下两种方 法 复乘法和点计数法 l 复乘法 CM 该方法首先选择一个满足安全性约束的阶 N 然后构造阶为 N 的椭圆曲线 使用这一方法的时候要先确定构造椭圆曲线的类型 再选用不同的方法确定椭圆曲线的阶 若选取的曲线是素数域上的 椭圆曲线 那么在选定阶 N 后 验证阶 N 是否符合安全椭圆曲线的 要求 若满足 则利用复乘法寻找符合参数要求的椭圆曲线 复乘 法是利用具有复数乘法的椭圆曲线素性证明的算法 来求 F p 上的 椭圆曲线 E 2 点计数法 1985 年 SChoof 首先提出了计算任意椭圆曲线 E 的阶 E Fp 的多项式时间算法 对于实际密码系统应用中的 p 该算法的实现 效率较低 随后该算法被 Atkin 和 ElkioS 等人改进 他们通过分析 F p 上的同种映射 利用模多项式的性质 得到了改进算法 sChoof 一 ElkieS 一 Atkin sEA 算法 SEA 算法是已知最好的求解任意素数 域和最优扩域上椭圆曲线阶的算法 在实际密码系统应用中 该算 法的运行时间大约只需要几分钟 它可以快速地将阶能被小素数整 除的候选曲线淘汰 因此常用于早期中止策略 1999 年 Satoh 提 出了计算小特征有限域上阶的全新方法 Satoh 方法 该方法的一些 5 变体如 Satoh 一 Skjemaa 一 Taguchi SST 和算术几何中值 AGM 算 法 在二进制域的情况下速度非常快 可以很快地生成适合密码学 用途的椭圆曲线 三 基点的选取及其阶次要求 椭圆曲线密码体制并不是运行在整个 EC 元素构成的阿贝尔群 上 而是运行在由其基点 G 生成的子群中 为了提高曲线的安全性 选择的基点 G 的阶就是 E 的一个大素因子 根据前面得到的参数 p a b 和 n 利用下面的算法可以求出具有大素数阶的基点 随着参数 a b p 确定 这条曲线 y2 x3 ax b 就定下来了 先随 机产生 0 到 p 1 间的整数作为基点 x 坐标 计