第三章公开密钥体制

1、 公钥密码学研究与进展公钥密码学研究与进展主要内容主要内容v引论引论v基本概念基本概念v公钥密码学公钥密码学: 基本原理基本原理v公钥加密体制公钥加密体制: RSA、ElGamal、ECCv数字签名及其应用数字签名及其应用v研究动态与热点研究动态与热点1 基本概念保密学保密学(Cryptology)：研究信息系统安全保密的科学。它包含两个分支:密码学密码学(Cryptography)，对信息进行编码实现隐蔽信息的一门学科。密码分析学密码分析学(Cryptanalytics)，研究分析破译密码的学问。两者相互对立，而又互相促进地向前发展。密码学的历史古典密码（Classic Cryptograp

2、hy）（1976年以前）vBC 487 : 置换密码Transposition Cipher, “Scytale”vBC 300 : 隐匿术(Steganography)：希腊人用奴隶传递信息vBC 100BC 44 : 代换密码Substitution Cipher, “Caesar Cipher”v1883 : Kerckhoffs AssumptionvWW II : Turing Machine for Cryptanalysis (Breaking the Enigma)v1949 : Perfect Secrecy (C.E.Shannon) “Confusion”混淆 and “

3、Diffusion”扩散密码学的历史现代密码学（Modern Cryptography） (1976年以后)v1976 : Public-Key Cryptography (Diffie, Hellman)v1977 : Data Encryption Standard, DES (NIST)v1978 : RSA (Rivest, Shamir, Adleman)v1982/85 : Goldwasser presented 2 paradigms for firm foundations of cryptography. “Indistinguishability” and “Simula

4、tability”v1998 : DES被破译v2000: AES（ 2000年10月2日确定了以Rijdeal作为AES的标准算法）加密( Encryption) 算法： 密码员对明文进行加密时所采用的一组规则。接收者(Receiver)：传送消息的预定对象。解密 ( Decryption) 算法：接收者对密文进行解密时所采用的一组规则。密钥(Key)：控制加密和解密算法操作的数据处理，分别称作加密密钥和解密密钥。截收者(Eavesdropper)：在信息传输和处理系统中的非受权者，通过搭线窃听、电磁窃听、声音窃听等来窃取机密信息。密码分析(Cryptanalysis)：截收者试图通过分析从

5、截获的密文推断出原来的明文或密钥。密码分析员(Cryptanalyst)：从事密码分析的人。被动攻击(Passive attack)：对一个保密系统采取截获密文进行分析的攻击。主动攻击(Active attack)：非法入侵者(Tamper)、攻击者(Attacker) 或黑客(Hacker) 主动向系统窜扰，采用删除、增添、重放、伪造等窜改手段向系统注入假消息，达到利已害人的目的。基本概念基本概念保密系统模型保密系统模型 保密系统模型保密系统模型 保密系统保密系统(Secrecy Sysetem)：(M, C, K1, K2, Ek1, Dk2 )：明文消息空间明文消息空间 M密文消息空间密

6、文消息空间 C密钥空间密钥空间K1和K2：在单钥体制下K1=K2=K，此时密钥 k K 需经安全的密钥信道由发方传给收方。加密变换：加密变换： Ek1 E， mc=Ek1(m)，其中k1K1，mM, cC 由加密器完成。1.解密变换：解密变换：Dk2D，cm= Dk2(c)，其中k2K2，mM, cC, 由解密器实现。保密系统应当满足下述要求保密系统应当满足下述要求l系统即使达不到理论上是不可破的，即prm=m=0，也应当为实际上不可破的。就是说，从截获的密文或某些已知明文密文对，要决定密钥或任意明文在计算上是不可行的。l系统的保密性不依赖于对加密体制或算法的保密，而依赖于密钥。这是著名的Ke

7、rckhoff原则。l加密和解密算法适用于所有密钥空间中的元素。l系统便于实现和使用方便。密码体制分类密码体制分类密码体制有密码体制有2大类大类：v 单钥体制单钥体制(One-key system)：加密密钥和解密密钥相同。v 双钥体制双钥体制(Two-key system)：加密密钥和解密密钥不同。单钥体制主要研究问题单钥体制主要研究问题：v 密钥产生(Key generation)v 密钥管理(Key management)密码体制分类密码体制分类 单钥体制单钥体制密码体制分类密码体制分类 双钥体制双钥体制 密码体制分类密码体制分类 双钥认证体制双钥认证体制双钥认证体制：双钥认证体制： 用

8、户A以自己的秘密钥kA2对消息m进行A的专用变换DkA2，A计算密文密文 c=DkA2(m)送给用户B，B验证 m=EkA1（c）=EkA1(DkA2(m) 是否成立？安全性安全性：由于kA2是保密的，其他人都不可能伪造密文密文c，可用A的公开钥解密时得到有意义的消息m。因此可以验证消息 m 来自A而不是其他人，而实现了对A所发消息的认证。2 公钥密码学 1976年，Whitfield Diffie和 Martin Hellman 发表了的“New directions in cryptography”。这篇划时代的文章奠定了公钥密码系统的基础。同时R. Merkle也独立提出了这一体制。可用

9、于保密通信，也可用于数字签字。这一体制的出现在密码学史上是划时代的事件，它为解决计算机信息网中的安全提供了新的理论和技术基础。自从公钥密码的概念被提出以来，相继提出了许多公钥密码方案，如RSA、背包体制、McEliece、ElGamal体制等。在不断的研究和实践中，有些方案被攻破了，有些方案不太实用。关于最初十年的公钥密码技术的研究和发展，可参见文献W. Diffie. The first ten years of public-key cryptography. Proceeding of the IEEE, 76(5), 1988, 560-577.。目前只有两种类型的公钥系统是安全实用的

10、，即基于大整数分解困难问题的密码体制与基于离散对数困难问题的密码体制。还有一些新的密码体制正在被研究，如基于辫群的密码体制、NTRU、量子密码体制等。 Diffie-Hellman密钥交换vInput （p，g）， p is a prime， g is a generator of Fp*vOutput a shared element of Fp*.vAlice sends gx mod p to B.Bob sends y mod p to A. vThe shared key is ： Keyx y mod pvDisadvantage：Man in the middle attackA

11、BK = gXaXoOK = gXbXoPKC SchemesvRSA scheme (78) : R.L.Rivest, A.Shamir, L.AdlemanvMcEliecescheme (78)vRabin scheme (79)vKnapsack scheme (79): Merkle-Hellman, Chor-RivestvWilliams scheme (80)vElGamal scheme (85)vElliptic Curve based scheme(85): Koblitz, MillervHidden Field Equations(95): C*,PatarinvL

12、attice Cryptography(97): Ajtai (AD, DDH, NTRU)vNon abelian group Cryptography(2000): BraidvSubgroup Cryptography: GH (99)；LUC(94)；XTR(2000)公钥密码学原理1. 基本概念基本概念 在公钥密码系统中，首先要求加密函数具有单向性单向性，即求逆的困难性求逆的困难性。因此，设计双钥体制的关键是先要寻求一个合适的单向函数。 （1）单向函数）单向函数 定义：一个可逆函数定义：一个可逆函数f：AB，若它满足：，若它满足： 1o 对所有对所有x A，易于计算，易于计算f(x)

13、。 2o 对对“几乎所有几乎所有x A”由由f(x)求求x“极为困难极为困难”，以至于实际上不可能做到，以至于实际上不可能做到，则称则称f为一单向为一单向(One-way)函数。函数。 定义中的“极为困难”是对现有的计算资源和算法而言。Massey称此为视视在困难性在困难性(apparent difficulty)，相应函数称之为视在单向函数视在单向函数。以此来和本本质上质上(Essentially)的困难性相区分 Massey 1985。（2）陷门单向函数）陷门单向函数 单向函数是求逆困难的函数，而单向陷门函数 (Trapdoor one-way function)，是在不知陷门信息陷门信息

14、下求逆困难的函数，当知道陷门信息后，求逆是易于实现的。这是Diffie和Hellmam1976引入的有用概念。 但如何给陷门单向函数下定义则很棘手，因为 (1) 陷门函数其实就不是单向函数，因为单向函数是在任何条件下求逆 都是困难的； (2) 陷门可能不止一个，通过试验,一个个陷门就可容易地找到逆。如果 陷门信息的保密性不强，求逆也就不难。 定义定义: 陷门单向函数是一类满足下述条件的单向函数： fz：AzBz，zZ，Z是陷门信息集。 (1) 对所有zZ，在给定z下容易找到一对算法Ez和Dz使对所有xA，易于计算fz及其逆，即 fz(x)=Ez(x) ；Dz(fz(x)=x (2) 对“几乎”

15、所有zZ，当只给定Ez和fz时，对“几乎所有”xAz，“很难”意即“实际上不可能”从y=fz(x)算出x。 (3) 对任一z，集Az必须是保密系统中明文集中的一个“方便”集，即便于实现明文到它的映射。 (Diffie和Hellman定义的陷门函数中，Az=A，对所有Z成立。而实际中的Az取决于Z)。（3） 用于构造双钥密码的陷门单向函数用于构造双钥密码的陷门单向函数 1976年Diffie和Hellman发表的文章中虽未给出陷门单向函数，但大大推动了这方面的研究工作。双钥密码体制的研究双钥密码体制的研究在于给出这种函数的构造方法以及它们的安全性在于给出这种函数的构造方法以及它们的安全性。 陷门

16、单向函数的定义并没有给出这类函数是否存在。但他们指出“一个单钥密码体制，如果能抗击选择明文攻击，就可规定一个陷门单向函数”。以其密钥作为陷门信息，则相应的加密函数就是这类函数。这是构造双钥体制的途径。下面给出一些目前多数双钥体制所用的单向函数的例子。v大整数分解大整数分解。 判断一个大奇数n是否为素数的有效算法，大约需要的计算量是lb n4，当n为256或512位的二元数时，用当前计算机做可在10分钟内完成。若已知二大素数p和q，求n=pq只需一次乘法，但若由n，求p和q，则是几千年来数论专家的攻关对象。v离散对数离散对数。给定一大素数p，p1含另一大素数因子q。可构造一乘群Zp*，它是一个p

17、1阶循环群。其生成元为整数g，1gp1。已知x，求y=gx mod p容易，只需lb x1次乘法。如x=15=11112，g15=(1g)2g)2g)2g mod p，要用3416次乘法。若已知y, g, p，求x=logg y mod p为离散对数问题。最快求解法运算次数渐近值为 p=512时， 。 )ln(lnln)1 (1exp()(ppoOpL（77256.102)(pL3 公钥加密体制公钥加密体制: RSA 密码体制 1978年，MIT三位年青数学家R.L.Rivest，A.Shamir和L.Adleman 发现了一种用数论构造双钥的方法，称作MIT体制体制，后来被广泛称之为RSA体

18、制体制。它既可用于加密、又可用于数字签字，易懂且易于实现，是目前仍然安全并且逐步被广泛应用的一种体制。国际上一些标准化组织ISO、ITU、及SWIFT等均已接受RSA体制作为标准。在Internet中所采用的PGP(Pretty Good Privacy)中也将RSA作为传送会话密钥和数字签字的标准算法。 RSA密码体制 1. 方案：独立地选取两大素数p1和p2(各100200位十进制数字)，计算 n=p1p2， 其欧拉函数值 (n)=(p11)(p21)。 随机选一整数e， 1e(n)，(n), e)=1。因而在模(n)下，e有逆元 d=e -1 mod (n)， 取公钥为n，e。秘密钥为d

19、。 (p1, p2不再需要，可以销毁。) 加密：加密：将明文分组，各组在mod n下可惟一地表示(以二元数字表示，选2的最大幂小于n)。各组长达200位十进数字。可用明文集 Az=x：1xn, (x, n)=1 注意，(x, n)1是很危险的，请思考。 xAz的概率：。11111) 1)(1()(21212121ppppppppnn 密文密文 y=xe mod n解密：解密： x=yd mod n证明：证明：yd=(xe)d=xde，因为de1 mod (n) 而有 de=q(n)1。由欧拉定理， (x, n)=1意味 x(n)1 mod n，故有yd=xde=xq(n)+1xxq(n)=x1

20、=x mod n陷门函数陷门函数：Z=(p1, p2, d) 2. RSA的安全性的安全性 （1）分解模数）分解模数n。在理论上，RSA的安全性取决于模n分解的困难性，但数学上至今还未证明分解模就是攻击RSA的最佳方法，也未证明分解大整数就是NP问题，可能有尚未发现的多项式时间分解算法。人们完全可以设想有另外的途径破译RSA，如求解密指数d或找到(p11)(p21)等。但这些途径都不比分解n来得容易。甚至Alexi等1988曾揭示，从RSA加密的密文恢复某些bit的困难性也和恢复整组明文一样困难。采用广义数域筛分解不同长度RSA公钥模所需的计算机资源 密钥长密钥长(bit) 所需的所需的MIP

21、S-年年* 116(Blacknet密钥密钥) 400 129 5,000 512 30,000 768 200,000,000 1024 300,000,000,000 2048 300,000,000,000,000,000,000 * MIPS-年指以每秒执行1,000,000条指令的计算机运行一年 当前的技术进展使分解算法和计算能力在不断提高，计算所需的硬件费用在不断下降。 RSA-129： 110位十进制数字早已能分解。Rivest等最初悬赏$100的RSA-129，已由包括五大洲43个国家600多人参加，用1600台机子同时产生820条指令数据，通过Internet网，耗时8个月，

22、于1994年4月2日利用二次筛法分解出为64位和65位的两个因子，原来估计要用4亿亿年。所给密文的译文为“这些魔文是容易受惊的鱼鹰”。这是有史以来最大规模的数学运算。 RSA-130于1996年4月10日利用数域筛法分解出来。 RSA-140于1999年2月分解出来。 RSA-155(512bit)于1999年8月分解出来 目前RSA的攻击现状是有关RSA-155分解分解，其具体情况是1999年8月22日，来自六个不同国家的科学家们在CWI（CWI是在荷兰的一个数学和计算机科学的国家研究学会）的Herman te Riele的带领下，在对RSA-155的攻击中，利用数域筛法（NFS）成功的分解

23、出了512-bit RSA模的素因子。要分解RSA-155所需的CPU时间大约为8400MIPS年（MIPS-年指以每秒执行1000000条指令的计算机运行一年），这大约为分解RSA-140所需时间的4倍。分解RSA-155总共用了7个月的时间。 密码分析者估计在3年内分解RSA-155所用到的算法和计算技术至少在科技界将会得到普及，因此RSA-155将不再安全。并且人们预计，在十年内RSA-232也将被攻破。 （2）其它途径：）其它途径：从n若能求出(n)，则可求得p1, p2，因为n(n)1=p1p2(p11)(p21)1=p1p2 而 ，已证明，求(n)等价于分解n的困难。 从n求d亦等

24、价于分解n。目前尚不知是否存在一种无需籍助于分解n攻击法。也未能证明破译RSA的任何方法都等价于大整数分解问题。 （3）迭代攻击法：）迭代攻击法： Simmons和Norris曾提出迭代或循环攻击法。例如，给定一RSA的参数为(n, e, y)=(35, 17, 3)，可由y0=y=3计算y1=317=33 mod 35。再由y1计算y2=y117=3 mod 35，从而得到明文x=y1=33 mod 35。一般对明文x加密多次，直到再现x为止。Rivest证明，当p11和p21中含有大素数因子，且n足够大时，这种攻击法成功的概率趋于0。2124ppnn（4）选择明文攻击）选择明文攻击 攻击者

25、收集用户A以公钥e加密的密文y=xe mod n，并想分析出消息x。 选随机数rn，计算y1=re mod n，y2=y1y mod n。现在攻击者请A对消息y2进行解密得到s=y2d mod n。攻击者计算 s/r mod n=x，得到了明文x。（5）公用模攻击）公用模攻击 若很多人共用同一模数n，各自选择不同的e和d，这样实现当然简单，但是不安全。若消息以两个不同的密钥加密，在共用同一个模下，若两个密钥互素(一般如此)，则可用任一密钥恢复明文。还有两种攻击共用模RSA的方法，用概率方法可分解n和用确定性算法可计算某一用户密钥而不需要分解n。 （6）低加密指数攻击：）低加密指数攻击：采用小的

26、e可以加快加密和验证签字的速度，且所需的存储密钥空间小，但若加密钥e选择得太小，则容易受到攻击。令网中三用户的加密钥e均选3，而有不同的模n1, n2, n3，若有一用户将消息x传给三个用户的密文分别为 y1=x3 mod n1 x n1y2=x3 mod n2 x n2y3=x3 mod n3 x n3 一般选n1, n2, n3互素(否则，可求出公因子，而降低安全性)，利用中国余定理，可从y1, y2, y3求出 y=x3 mod (n1 n2 n3)。 由xn1, xn2, xn3，可得x3 n1 n2, n3，故有 。xy 3 （7）定时攻击法：）定时攻击法：定时(Timing)攻击法

27、由P. Kocher提出，利用测定RSA解密所进行的模指数运算的时间来估计解密指数d，而后再精确定出d 的取值。R. Rivest曾指出，这一攻击法可以通过将解密运算量与参数d无关挫败。另外还可采用盲化技术，即先将数据进行盲化，再进行加密运算，而后做去盲运算。这样做虽然不能使解密运算时间保持不变，但计算时间被随机化而难于推测解密所进行的指数运算的时间。 D. Boneh. Twenty Years of Attacks on the RSA Cryptosystem. Notices of the American Mathematical Society, 46(2):203-213, 19

28、99. /dabo/abstracts/RSAattack-survey.html3. RSA的参数选择。的参数选择。 (1) n 的选择的选择：n=p1p2，p1与p2必须为强素数强素数。 p1与p2之差要大。 p11与 p21的最大公因子要小。 p1与p2 要足够大，以使 n 分解在计算上不可行。 (2) e 的选取：的选取： (e, (n)=1的条件易于满足，因为两个随机数为互素的概率约为3/5。e小时，加密速度快，Knuth和Shamir曾建议采用e=3。但e太小存在一些问题。若e小，x小，y=xe mod n，当xen，则未取模，由y

29、直接开e次方可求x。易遭低指数攻击。 (3) d 的选择：的选择： e选定后可用Euclidean算法在多项式时间内求出d。d要大于n1/4。d小，签字和解密运算快，这在IC卡中尤为重要(复杂的加密和验证签字可由主机来做)。类似于加密下的情况，d不能太小，否则由已知明文攻击。Wiener给出对小d的系统攻击法，证明了当d长度小于n的1/4时，由连分式算法，可在多项式时间内求出d值。这是否可推广至1/2还不知道。 4. RSA实现实现 由于RSA是简单且比较成熟的一种公钥密码体制，许多公司及研究团体都对它进行了实现。除RSA公司的产品RSAref以外，主要还有IBM的CCA、Cryptix、Cr

30、yptlib、Crypto+、Cryptolib、Python、SSLava、SSLeay及CRYPTOMAThIC的实现等。 硬件实现的速度最快也只为DES的1/1000，512 bit模下的VLSI硬件实现只达64 kb/s。计划开发512 bit RSA，达1 Mb/s的芯片。1 024 bit RSA加密芯片也在开发中。人们在努力将RSA体制用于灵巧卡技术中。 软件实现的速度只为DES的软件实现的1/100，512 bit RSA的软件实现的速率可达11 kb/s。RSA多用于密钥交换和认证。 如果适当选择RSA的参数，可以大大加快速度。例如，选e为3、17或65 537(216+1)

31、的二进制表示式中都只有两个1，大大减少了运算量。X. 509建议用65 5371989，PEM建议用3，而PKCS#1建议用65 537，当消息后填充随机数字时，不会有任何安全问题。 ElGamal 1984,1985 提出一种基于离散对数问题的双钥密码体制，既可用于加密，又可用于签字。本体制基于Zp中有限群上的离散对数的困难性。 （1） 方案：方案：令Zp 是一个有p个元素的有限域，p是一个素数，令g是Zp(Zp中除去0元素)中的一个本原元或其生成元。明文集M为Zp，密文集C为 ZpZp。 公钥公钥：选定g(g p的生成元)，计算公钥 g mod p 秘密钥秘密钥： p （2） 加密：加密：

32、选择随机数kZp-1，且(k,p1)=1，计算：y1=g k mod p (随机数k被加密) y2=Mk mod p(明文被随机数k和公钥加密) M是发送明文组。密文由y1、y2级连构成，即密文C=y1|y2。 （3）解密）解密：收到密文组C后，计算 M=y2/y1=M k/gk=Mgk/gk mod pElGamal 加密体制加密体制椭圆曲线密码体制vEliptic Curve Cryptography ，即ECC是1985年，华盛顿大学的Neal Koblitz和当时在IBM工作的Victor Miller相互独立地提出的，这使得被数学家在代数学和代数几何学领域研究了150多年的椭圆曲线在

33、密码领域中得以发挥重要作用。v由于ECC具有的特性，利用ECC不但可以实现高度安全性，且在同等安全强度下，可以用较小的开销(所需的计算量、存储量、带宽、软件和硬件实现的规模等)和时延(加密和签字速度高)实现较高的安全性。v ECC已经成为公钥密码的主流,成为设计大多数计算能力和集成电路空间受限(如Smart卡)、带宽受限又要求高速实现的安全产品的首选。Elliptic curve group over real numbervy2 = x3 + ax + b, where x, y, a and b are real numbers. vAll (x,y) points satisfying

34、above equation along with infinite point O and addition operation, form a groupvSuppose P=(x,y) then define P=(x,-y)Addition operation: A Geometric ApproachvIf P and Q are distinct, and P -Q, define P+Q as follows:Draw a line through P and Q, then the line will intersect with the curve, the intersec

35、ted point is denoted as R, and define P+Q=R.vDefine P + (-P) = OvIf P=(x,0), then P+P = O , (in fact, a vertical line)vOtherwise, draw a tangent line through p, the intersected point is defined as R, then P+P =2P =R.Definition of P+Q = RDefinition of P+P (where y!=0)Definition of P+P (where y=0)Elli

36、ptic Curve Addition: An Algebraic ApproachElliptic Curve Groups over Zpy2 mod 23 = x3 + x mod 23椭圆曲线离散对数问题（ECDLP） v给定曲线E上阶为n的点P，若Q是E上另一个点，找一个整数l, 0 l n 1，使得Q = l P（如果这样的l 存在）。 vECC就是建立在求解相应加法群中ECDLP困难基础上的。vECDLP的攻击类似于对有限域中乘法群的离散对数的攻击,然而，ECDLP不存在亚指数时间算法攻击-指数计算法（Index Calculus）。 Key LengthsSymmetricRS

37、A,DH/DSAECC,HashBreakable56512112Adequate801,024161StrongNear term1283,072256Long term25615,360512Don B. Johnson, “ECC, Future Resiliency and High Security Systems”ECC AttacksvPohlig-Hellman AttackvShanks Baby-step, Giant-stepvTame & Wild Kangaroos (Pollard)The tame kangaroo is given a spade & told

38、to dig a hole every 10 jumpIf both kangaroo are jumping around a field, the wild will fall downvMOV Attack (Menezes, Okamoto, Vanstone)Discovered a reduction of the DLP in Fq to Fqk, for some small integers k, if qk = 1 (mod #E(Fq)the ECDLP can be solved in sub-exponential timeSupersingular curves(#

39、E(Fq) = q+1-mchar(E) were susceptiblevAnomalous Curve AttacksAnomalous curve is introduced because it resists to MOV attack, Curves where #E(Fq) = qECDLP can be solved by p-adic numbersThey jump to random direction, but assumes the direction will depend on the current pointWhen we choose curve for E

40、CC, we have to check these conditionsSelecting a CurvevRandon selection : max #E = smax vDraw E at random in Fq - coefficientsvCompute #E(Fq) SEA AlgorithmvCheck MOV & anomalous conditionsvAttempt to factor #E(Fq) in reasonable timevIf #E(Fq) = sr, ssmax, r is prime, then returnvCM(Complex Multiplic

41、ation) MethodCM : endomorphism : C/L C/L, (z) = czThere is Galois extension Kn = Q(i)(Cn) which is endomorphism by CMGiven n = #E(Fq), determine p and D, then calculate Kn by CMvCurves from Standard : proved, interoperableComputing order is the biggest issue in ECC !ECC Encryption ElGamal Encryption

42、 for ECC version: vEncryption: Let (x,y=xP) is a secret/public key pair of the receiver. The sender randomly chooses a number t, the ciphertext for message m is(C1,C2)=(tP, m+t y)vDecryption: m= C2-x C1vDifficulties: 1、Message embedding algorithm; 2、CCA2 attack. vPlease refer to http:/en.wikipedia.o

43、rg/wiki/Integrated_Encryption_SchemeECC 标准化v国外已有用椭圆曲线进行加解密的产品出现在市场上。美国NeXT Computer公司已开发出快速椭圆曲线加密(FEE)算法，其秘密钥为容易记忆的字串。加拿大Certicom公司也开发出了可实用的椭圆曲线密码体制的集成电路，可实现高效加密、数字签字、认证和密钥管理等（http:/）。3COM/Palm Computing、Motorala、Verifone、AtallaLorp、terling Commerce、日本Mitsushita及NTT实验室、法国Thompson、德国Siemens、加拿大Waterl

44、oo大学等也都实现这一体制。这些实现包括软件和硬件。v目前，椭圆曲线密码的标准化过程正在进行中，虽然还没有一种统一的标准方案，但已有一些较为成熟的标准出现。从事标准化的组织中较为突出的有：IEEE（P1363）、ANSI X9F1工作组（X9.42，X9.62和X9.63）、ISO/IEC等。v椭圆曲线密码体制已被纳入IEEE（电气与电子工程师协会）公钥密码标准P1363中，包括加密、签名、密钥协议机制等。2000年2月P1363被批准作为一个IEEE标准。公钥加密方案的安全性v安全性定义：多项式时间/不可区分的加密。这个概念由Goldwasser 等人提出，是指给定密文，攻击这除了明文长度的

45、信息之外得不到任何关于明文的信息。与语义安全（Semantic security）在CPA下是等价概念。另一个概念是Non-malleable和IND在CCA2是等价的。v攻击类型： 1.选择明文攻击（CPA） 2.选择密文攻击（CCA1） 3.自适应选择密文攻击（CCA2）v安全模型：Random Oracle Model；Standard Model4 数字签名及其应用 公钥密码体制为解决计算机信息网中的安全提供了新的理论和技术基础。公钥密码体制的最大特点是采用两个密钥将加密和解密能力分开，使得通信双方无需事先交换密钥就可进行保密通信，从而大大减少了多实体通信网实体之间通信所需的密钥量，便于密钥管理。此外，公钥体制的一个重要的特性是可用于实现数字签字。数字签名在信息安全，包括身份认证、数据完整性、不可否认性以及匿名性等方面有着重要的应用，特别是在大型网络安全通信中的密钥分配、认证以及电子商务系统安全性等方面具有非常重要的作用。 数字签名应满足的要求数字签名应满足的要求v收方能够确认或证实发方的签名，但不能伪造，简记为R1-条件（条件（unforgeablity）。v发方发出签名的消息给收方后，就不能再否认他所签发的消息，简记为S-条件条件(non-repudiation)。v收方对已收到的签名消息不能