阅读 1231

ECC椭圆曲线加密算法

简介

  • 1.ECC英文全称"Ellipese Curve Cryptography" 与传统的基于大质数因子分解困难性的加密方法不同,ECC通过椭圆曲线方程式的性质产生密钥.
  • 2.ECC164位的密钥产生一个安全级,相当于RSA 1024位密钥提供的保密强度,而且计算量级较小,处理速度更快,存储空间和传输带宽占用较小.目前我国 居民二代身份证正在使用256位的椭圆曲线密码,虚拟货币比特币也选择ECC作为加密算法.
  • 3.椭圆曲线密码学,是一种建立公开密钥加密的算法,也就输非对称加密.类似的还有RSA,EIGamal算法等.ECC被公认为在给定密钥长度下最安全的加密算法.

公钥加密

公钥加密,也称非对称加密.是现代网络安全或者网络信任链的基础.公钥加密最大的特征就是通信双方各有一对公私钥,每个人保存自己的私钥,公开自己的公钥.这样做的好处是不怕通信线路被窃听,因为攻击者拿到公钥是无法解出密文的.公私钥的基本使用场景有两种: 假设通信双方叫Tom(公钥A,私钥a)和Bob(公钥B,私钥b).

  • 1.公钥加密,私钥解密
  • Tom写了一封信,她不想让别人知道,于是她用Bob的公钥B对信的明文做了加密,密文为m.之后发给了Bob.
  • Bob收到密文m,用自己的私钥对密文解密,正确的读出了信的内容.

整个过程中,即使窃听者拿到密文m,两个人的公钥A,B都没什么用,无法解密出任何东西.事实上,只有拥有私钥b的人,才能解密出这份信息.换个角度来说,每个人都可以拥有Bob的公钥B,也就是说,每个人都可以创造一份只有Bob可以使用或者说只对Bob有效的信息.

  • 2.私钥加密,公钥解密
  • Tom写了一份公开声明文件,她用自己的私钥a对文件加了密,生成加密文件m,公布在自己的网站中.
  • Bob下载了这份声明文件,并用Tom的公钥A进行解密,正确的读出文件内容.

这里主要的目的不是解密,而是对这份文件的来源验证,证明它肯定是由Tom发出的声明.即使文件被恶意篡改,那么此时再拿公钥A解密,就是无效的,由此可证明信息被改动过了,并不是Tom原来的文件.用这种方式使用公私钥可以证明信息的来源并且有不可否定的特性.

以上是使用公钥加密算法的基础场景,但事实上用上述方法进行通信还远远不够,例如需要提高加密速度,需要先对文件进行hash;再如不能抵御中间人攻击,(即获取的公钥不一定是正确的)需要引入证书.

椭圆曲线

  • 1.一条椭圆曲线是在射影平面上满足威尔斯特拉斯方程(Weierstrass)所有点的集合:

威尔斯特拉斯方程

  • 椭圆曲线方程是一个齐次方程
  • 曲线上的每个点都是非奇异的(光滑的),偏导数FX(X,Y,Z),FY(X,Y,Z),FZ(X,Y,Z)不同为0.
  • 椭圆曲线的形状并不是椭圆的.只是因为椭圆曲线的描述方程,类似于计算一个椭圆周长的方程故得名.

一般来说,椭圆曲线可以用下列方程式表示,a,b,c,d为系数(a≠0,ax^3+bx^2+cx+d=0没有重根)

E:y^2=ax^3+bx^2+cx+d 例如,当a=1,b=0,c=-2,d=4时,所得到的椭圆曲线为:

E_1:y^2=x^3-2x+4 椭圆曲线下图所示。

椭圆曲线的加法

群是一种代数结构,由一个集合以及一个二元运算所组成,已知集合和运算(G,*)如果是群则必须满足如下要求:

  • 封闭性: ∀a,b∈G,a * b ∈ G
  • 综合性: ∀a,b,c∈G ,有 (a * b) * c = a * (b * c)
  • 单位元: ョe∈G, ∀a ∈G,有e * a = a * e = a
  • 逆元: ∀a ∈G ,ョb∈G 使得 a * b = b * a = e 有一种特殊的群叫阿贝尔群,它除了上面的性质还满足交换律公理: a * b = b * a 在整数范围内的加法运算就是一个阿贝尔群(Z,+).
  • 封闭性: a和b是整数,那么a+b肯定是整数.
  • 结合性: (a+b)+c = a + (b + c)
  • 单位元: 0即为单位元,因为对于所有整数a, a + 0 = 0 + a = a.
  • 逆元: a的逆元为-a,因为a + (-a)=0,即单位元. 所以(Z,+)是阿贝尔群.

定义椭圆曲线上的加法。 现在有椭圆曲线y^2 = x ^ 3 - x,曲线上的点P和Q。过P和Q做一条直线,交椭圆曲线为点R',再过R'点做垂直于X轴的直线,交曲线另一点为R,定义P + Q = R。如下图所示。

若P=Q,则为过P点的切线交于椭圆曲线为R'。如下图所示。

这样,称R = 2P。类似的,3P = P + P + P = P + 2P = P + R。也就是说,当给定点P时,“已知数x求点xG的运算”不难,因为有加法的性质,运算起来可以比较快。但反过来,“已知点xG求x的问题”则非常困难,因为只能遍历每一个x做运算。这就是椭圆曲线密码中所利用的“椭圆曲线上的离散对数问题”。

要想使这个运算满足阿贝尔群的性质,我们还要引入一个无穷远点O,可以把它理解为平行直线的交点(如果感觉难以理解,请参考无穷远点的定义),我们把这个O点作为单位元。(方便理解,你可以当做所有平行于y轴的直线交于O点)。

椭圆曲线上的加法为一个阿贝尔群

椭圆曲线上的离散对数问题

椭圆曲线密码利用了上述“运算”中的“椭圆曲线上的离散对数问题”的复杂度,就像RSA利用了“大数质因数分解”的复杂度,以及EIGamal密码的Diffie-Hellman密钥交换利用了“有限域上的离散对数问题”的复杂度一样

椭圆曲线上的离散对数问题: 已知 椭圆曲线E 椭圆曲线E上一点G(基点) 椭圆曲线E上的一点xG(x倍的G) 求解 x 这个问题的难度保证了椭圆曲线密码的安全性。

有限域上的椭圆曲线

椭圆曲线加密

考虑K=kG ,其中K、G为椭圆曲线Ep(a,b)上的点,n为G的阶(nG=O∞ ),k为小于n的整数。则给定k和G,根据加法法则,计算K很容易但反过来,给定K和G,求k就非常困难。因为实际使用中的ECC原则上把p取得相当大,n也相当大,要把n个解点逐一算出来列成上表是不可能的。这就是椭圆曲线加密算法的数学依据点G称为基点(base point)k(k<n)为私有密钥(privte key)K为公开密钥(public key)

ECC保密通信算法

1.Alice选定一条椭圆曲线E,并取椭圆曲线上一点作为基点G 假设选定E29(4,20),基点G(13,23) , 基点G的阶数n=37

2.Alice选择一个私有密钥k(k<n),并生成公开密钥K=kG 比如25, K= kG = 25G = (14,6)

3.Alice将E和点K、G传给Bob

4.Bob收到信息后,将待传输的明文编码到上的一点M(编码方法略),并产生一个随机整数r(r<n,n为G的阶数) 假设r=6 要加密的信息为3,因为M也要在E29(4,20) 所以M=(3,28)

5.Bob计算点C1=M+rK和C2=rG C1= M+6K= M+625G=M+2G=(3,28)+(27,27)=(6,12) C2=6G=(5,7)

6.Bob将C1、C2传给Alice

7.Alice收到信息后,计算C1-kC2,结果就应该是点M C1-kC2 =(6,12)-25C2 =(6,12)-25*6G =(6,12)-2G =(6,12)-(27,27) =(6,12)+(27,2) =(3,28)

数学原来上能解密是因为:C1-kC2=M+rK-krG=M+rkG-krG-M

ECC技术要求

通常将Fp上的一条椭圆曲线描述为T=(p,a,b,G,n,h)p、a、b确定一条椭圆曲线(p为质数,(mod p)运算)G为基点,n为点G的阶,h是椭圆曲线上所有点的个数m与n相除的商的整数部分

参量选择要求:

p越大安全性越好,但会导致计算速度变慢 200-bit左右可满足一般安全要求 n应为质数 h≤4;p≠n×h ;pt≠1(mod n) (1≤t<20) 4a3+27b2≠0 (mod p)

ECC的应用

ECDSA
比特币系统选用的secp256k1中,参数为

p = 0xFFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFE FFFFFC2F = 2^256 − 2^32 − 2^9 − 2^8 − 2^7 − 2^6 − 2^4 − 1

a = 0, b = 7

G=(0x79BE667EF9DCBBAC55A06295CE870B07029BFCDB2DCE28D959F2815B16F81798, 0x483ada7726a3c4655da4fbfc0e1108a8fd17b448a68554199c47d08ffb10d4b8)

n = 0xFFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFE BAAEDCE6 AF48A03B BFD25E8C D0364141

h = 01

ECC vs. RSA - 优缺点

优点

安全性能更高

160位ECC与1024位RSA、DSA有相同的安全强度

处理速度更快

在私钥的处理速度上,ECC远 比RSA、DSA快得多

带宽要求更低

存储空间更小

ECC的密钥尺寸和系统参数与RSA、DSA相比要小得多

缺点

设计困难,实现复杂

如果序列号设计过短,那么安全性并没有想象中的完善

参考资料:

椭圆曲线加密算法

ECC椭圆曲线详解(有具体实例)

文章分类
阅读
文章标签