椭圆曲线密码体制(ECC)简介

一、椭圆曲线的基本概念

简单的说椭圆曲线并不是椭圆，之所以称为椭圆曲线是因为他们是用三次方程来表示，并且该方程与计算椭圆周长的方程相似。

对密码学比较有意义的是基于素数域GF(p)和基于二进制域(GF(2^m))上的椭圆曲线。

下面重点介绍基于GF(p)上的椭圆曲线：

y^2 º x^3 + a*x + b(modp)

其中p是素数，a和b满足：4a^3 + 27b^2 (mod p) ¹ 0

满足上述方程的整数对(x, y), 就叫椭圆曲线上的点。

素数域：

其实域就是一个集合，在其上面进行加，减，乘，除运算而封闭。比如有理数集合，实数集合，复数集合，这些都是无限域，在密码学中没有什么实际意义，所以考虑与整数有关的域，对密码学有实际意义。

研究最多的就是素数域GF(p)。我的理解就是一个素数p，在集合[0…p-1]上定义一个模加，一个模乘，就构成了一个有限素数域，比如取p = 5，定义如下模加， 模乘：

模加

+	0	1	2	3	4
0	0	1	2	3	4
1	1	2	3	4	0
2	2	3	4	0	1
3	3	4	0	1	2
4	4	0	1	2	3

模乘

+	0	1	2	3	4
0	0	0	0	0	0
1	0	1	2	3	4
2	0	2	4	1	3
3	0	3	1	4	2
4	0	4	3	2	1

下面以连续的椭圆曲线为例介绍一下椭圆曲线上

的点的运算规则

椭圆曲线上点的加法定义

对于椭圆曲线上的任意两点P(x1, y1),

Q(x2, y2),R = (x3, y3)， 其中R = P+Q

具体描述如下:

X3 = K^2 – X1 – X2(modp)

y3 = k(x1-x3) – y1 (modp)

其中

当P不等于Q时

K = (y2 – y1)/(x2 – x1) (modp)

当P等于Q时

k = (3*x1^2 + a)/2*y1 (modp)

  

零元

对椭圆曲线上的任意一点P(x1, y1), 有

P + O = O + P = P

如右图

负元

     -P = (x1, -y1)

P – P = O

O = -O

其中O为无穷远点，一条与Y轴平行的直线

只有一个无穷点O

纯量乘法

KP = P+P+P+…+P  K个P相加

基于GF(p)上的椭圆曲线举例

P = 23, a = 1, b = 0

方程：y^2 = x^3 + x(mod23)

椭圆曲线上的点:

(0,0) (1,5) (1,18) (9,5) (9,18) (11,10) (11,13) (13,5)

(13,18) (15,3) (15,20) (16,8) (16,15) (17,10) (17,13) (18,10)

(18,13) (19,1) (19,22) (20,4) (20,19) (21,6) (21,17)

和无穷远点O构成椭圆曲线上的加法群

其点运算规则和上面讲到的连续椭圆曲线

上的运算规则是相同的

二、椭圆曲线离散对数在密码中的应用

公钥密码算法总要基于一个数学难题，比如RSA的依据是给定两个数p, q很容易相乘得到N， 而对n进行因式分解则相对困难的多。椭圆曲线密码体制（ECC）采用的数学难题则是求椭圆曲线加法群的离散对数问题，具体描述如下:

Q = kG

其中Q为椭圆曲线上的点， G为椭圆曲线上的基点，k 为小于n的整数，n为G的阶即, nG = O

根据上节提到的纯量乘法知道k, G不难求出Q， 但是给定Q, G求k就相对困难了，这就叫椭圆曲线加法群上的离散对数问题。

上述整数k，就是ECC私钥， Q为公钥, 可以利用此密钥对进行加密，解密，签名，验证等公私钥运算。

根据上节提到的纯量乘法知道k, G不难求出Q， 但是给定Q, G求k就相对困难了，这就叫椭圆曲线加法群上的离散对数问题。

上述整数k，就是ECC私钥， Q为公钥, 可以利用此密钥对进行加密，解密，签名，验证等公私钥运算。

三、ECDSA简单介绍

下面简单介绍一下基于GF(p)的椭圆曲线数字签名算法(ECDSA)

预备数据: h(待签名Hash值)，公钥Q，私钥d

签名过程:

1. 选取一个随机数k；

2. 计算k = kmodn, 如果k =0返回第1步重新选取;

3. 计算kG = (x1, y1);

4. 计算r = x1mondn;

5. 如果r = 0返回第2步；

6. 计算s = k^-1*(h+ dr )modn；

7. 如果s = 0, 返回第2步；

其中(r, s)为签名结果。

验证过程:

1. 验证1=<r<=n-1, 若不成立返回false

2. 验证1=<s<=n-1, 若不成立返回false

3. 计算c = s^-1modn

4. 计算u1 = e’*c modn, u2 = r*c mon n

5. 计算u1*G+u2*Q = (x1, y1), 如果(x1, y1)为O 返回false

6. 计算v = x1modn;

7. 如果r != v 返回false

8. 返回true

四、 ECC与RSA的比较

椭圆曲线加密技术（ECC）是建立在单向函数（椭圆曲线离散对数）得基础上，由于它比RAS使用得离散对数要复杂得多。而且该单向函数比RSA得要难。

如160位ECC与1024位RSA有相同的安全强度。而210位ECC则与2048bitRSA具有相同的安全强度

计算量小，处理速度快虽然在RSA中可以通过选取较小的公钥（可以小到3）的方法提高公钥处理速度，即提高加密和签名验证的速度，使其在加密和签名验证速度上与ECC有可比性，但在私钥的处理速度上（解密和签名），ECC远比RSA、DSA快得多。因此ECC总的速度比RSA、DSA要快得多。

存储空间占用小ECC的密钥尺寸和系统参数与RSA、DSA相比要小得多，意味着它所占的存贮空间要小