您现在的位置是:首页 >技术交流 >ECC算法学习(一)算法公式网站首页技术交流

ECC算法学习(一)算法公式

旭日猎鹰 2024-10-17 00:01:02
简介ECC算法学习(一)算法公式

一、ECC简介

ECC全称为“Ellipse Curve Ctyptography”,是一种基于椭圆曲线数学的公开密钥加密算法。与传统的基于大质数分解难题的加密算法不同,该加密方式基于 “离散对数” 这种数学难题。
椭圆曲线在密码学中的使用是在1985年由Neal Koblitz和Victor Miller分别独立提出的。

优缺点

优点:
性能提升,同样的密钥长度,基于ECC加密要比基于RSA安全很多。而且计算量较小,处理速度更快,存储空间和传输带宽占用较少。

缺点:

  1. 曲线的选择很复杂。
    ECC是基于椭圆曲线的离散对数问题,这并不是一个很好理解的问题,这里的椭圆曲线实际上并不是一个真正意义的椭圆,它的运算和椭圆类似,实际上是一个随着参数变化而不断变化的曲线,不同参数的选取会出现不同的曲线,不同的曲线就会形成不用的ECC标准,不同标准的ECC产生的加解密效果也是千差万别的。

  2. 有可能这条复杂的曲线被人植入了后门,别人就可以通过这个后门轻松的破解。
    现行的一套很流行的ECC标准是由美国郭建安全局NAS发布的,这个标准就被很多人质疑是有被植入了后门的。

  3. 专利问题。
    关于ECC的使用,很多人申请了很多的专利,现在关于ECC使用的专利大多数都掌握在一家公司的手中,这家公司就是黑莓。所以,当你想要构建自己的一套ECC标准的时候,可能不知道哪里就触及了它们的专利,卷入专利之争。

运用

目前我国居民二代身份证正在使用 256 位的椭圆曲线密码,虚拟货币比特币也选择ECC作为加密算法。

二、算法理论基础

椭圆曲线算法可以看作是定义在特殊集合下数的运算,满足一定的规则。椭圆曲线因为用二元三次方程y^2= x^3+ ax + b来表示,类似椭圆周长计算方程而得名。

1. 椭圆曲线的加法

过曲线上的两点A、B画一条直线,找到直线与椭圆曲线的交点,交点关于X轴对称位置的点,定义为A+B,即为加法。如下图A+B=C

请添加图片描述

2. 椭圆曲线的二倍运算

上述方法无法解释A+A,即两点重合的情况,因此在这种情况下,将椭圆曲线在A点的切线,与椭圆曲线的交点,交点关于X轴对称的位置的点,定义为A+A,即2A,即为二倍运算。

请添加图片描述

3. 同余运算

同余就是有相同的余数,两个整数 a、 b,若它们除以正整数 m所得的余数相等,则称 a, b对于模m同余。

a ≡ b ( m o d m ) a equiv b(mod quad m) ab(modm)

4. 有限域

椭圆曲线是连续的,并不适合用于加密;所以必须把椭圆曲线变成离散的点,要把椭圆曲线定义在有限域上。而椭圆曲线密码所使用的椭圆曲线是定义在有限域内,有限域最常见的例子是有限域GF§,指给定某质数p,由0,1,2…p-1共p个元素组成的整数集合中加法、二倍运算。例如GF(233)就是
y 2 = ( x 3 + 7 ) ( m o d 223 ) y^2 = (x^3 + 7)(mod quad 223) y2=(x3+7)(mod223)

5. 乘法逆元

在模7乘法中:

  • 1的逆元为 1 ( 1 ∗ 1 ) 1(1*1)%7 = 1 1(11)
  • 2的逆元为 4 ( 2 ∗ 4 ) 4(2*4)%7 = 1 4(24)
  • 3的逆元为 5 ( 3 ∗ 5 ) 5(3*5)%7 = 1 5(35)
  • 4的逆元为 2 ( 4 ∗ 2 ) 2(4*2)%7 = 1 2(42)
  • 5的逆元为 3 ( 5 ∗ 3 ) 3(5*3)%7 = 1 3(53)
  • 6的逆元为 6 ( 6 ∗ 6 ) 6(6*6)%7 = 1 6(66)

三、算法公式

并不是所有的椭圆曲线都适合加密, y 2 = x 3 + a x + b y^2 = x^3 + ax + b y2=x3+ax+b 类可以用来加密的椭圆曲线,也是最为简单的一类。

针对曲线Ep(a,b)表示为 y 2 = x 3 + a x + b ( m o d p ) , x , y ∈ [ 0 , p ] , p 为质数 y^2 = x^3 + ax + b(mod quad p), x,y in [0,p], p为质数 y2=x3+ax+b(modp),x,y[0,p],p为质数

该曲线关于x轴对称。选择两个满足下列条件的小于p(p为素数)的非负整数a、b,要求满足以下条件
3 a 3 + 27 b 2 ≠ 0 3a^3 + 27b^2 eq 0 3a3+27b2=0

1、有限域的负元

P ( x , y ) P(x,y) P(x,y) 的负元是 ( x , − y m o d p ) = ( x , p − y ) (x, -y quad mod quad p) = (x, p - y) (x,ymodp)=(x,py)

2、有限域的加法, P + Q P + Q P+Q

P ( x 1 , y 1 ) P(x_1, y_1) P(x1,y1) Q ( x 2 , y 2 ) Q(x_2, y_2) Q(x2,y2) R ( x 3 , y 3 ) R(x_3, y_3) R(x3,y3)三点(其中R是PQ直线与曲线的交点的关于x轴的对称点,即 R = P + Q R = P + Q R=P+Q)有如下关系:
x 3 ≡ k 2 − x 1 − x 2 ( m o d p ) x_3 equiv k^2 - x_1 - x_2(mod quad p) x3k2x1x2(modp)
x 3 ≡ k 2 − x 1 − x 2 ( m o d p ) x_3 equiv k^2 - x_1 - x_2(mod quad p) x3k2x1x2(modp)

3. 斜率计算(P=Q即要计算P点切线,需要求导)

P = Q P = Q P=Q,则 k = ( 2 x 2 + a ) / 2 y 1 k = (2x_2 + a)/2y_1 k=(2x2+a)/2y1
P ≠ Q P eq Q P=Q,则 k = ( y 2 − y 1 ) / ( x 2 − x 1 ) k = (y_2 - y_1)/(x_2 - x_1) k=(y2y1)/(x2x1)

为了方便理解,可以套用以上公式,解决以下例题。

例:已知 E 23 ( 1 , 1 ) E_{23}(1,1) E23(1,1) 上两点 P ( 2 , 10 ) P(2,10) P(2,10), Q ( 9 , 7 ) Q(9,7) Q(9,7),求1) − P -P P, 2) P + Q P + Q P+Q, 3) 2 P 2P 2P

解:1) P ( 3 , 10 ) P(3,10) P(3,10)的负元是 ( 3 , − 10 m o d 23 ) = ( 3 , 23 − 10 ) = ( 3 , 13 ) (3, -10 quad mod quad 23) = (3, 23 - 10) = (3, 13) (3,10mod23)=(3,2310)=(3,13)
2) P ≠ Q , k = ( 7 − 10 ) / ( 9 − 3 ) = − 1 / 2 P eq Q, k = (7 - 10)/(9 - 3) = -1/2 P=Q,k=(710)/(93)=1/2,因为 2 ∗ 12 ≡ 1 ( m o d 23 ) 2 ∗ 12 ≡ 1 (mod quad 23) 2121(mod23)
所以2的乘法逆元为12,
k ≡ − 1 ∗ 2 − 1 ( m o d 23 ) ≡ − 1 ∗ 12 ( m o d 23 ) k equiv -1 * 2^{-1}(mod quad 23) equiv -1 * 12(mod quad 23) k121(mod23)112(mod23),故k=11.
x 3 ≡ k 2 − x 1 − x 2 ( m o d p ) ≡ 1 1 2 − 3 − 9 ( m o d 23 ) = 109 ( m o d 23 ) ≡ 17 x_3 equiv k^2 - x_1 - x_2(mod quad p) equiv 11^2 -3 - 9(mod quad 23) = 109(mod quad 23) equiv 17 x3k2x1x2(modp)11239(mod23)=109(mod23)17
y 3 ≡ k ( x 1. − x 3 ) − y 1 ( m o d p ) ≡ 11 [ 3 − ( − 6 ) ] − 10 ( m o d 23 ) = 89 ( m o d 23 ) ≡ 20 y_3 equiv k(x1. - x3) - y_1(mod quad p) equiv 11[3-(-6)] - 10(mod quad 23) = 89(mod quad 23) equiv 20 y3k(x1.x3)y1(modp)11[3(6)]10(mod23)=89(mod23)20,故 P + Q P + Q P+Q 的坐标为 ( 17 , 20 ) (17,20) (17,20)
3) P = Q P = Q P=Q
k ≡ [ 3 ∗ ( 3 2 ) + 1 ) ] / ( 2 + 10 ) ( m o d 23 ) = 7 + 5 − 1 ( m o d 23 ) k equiv [3 * (3^2) + 1)] / (2 + 10)(mod quad 23) = 7 + 5^{-1}(mod quad 23) k[3(32)+1)]/(2+10)(mod23)=7+51(mod23)
因为 5 ∗ 14 ≡ 1 ( m o d 23 ) 5 * 14 equiv 1(mod quad 23) 5141(mod23),5的乘法逆元为14,
故k=6。
x 3 ≡ k 2 − x 1 − x 2 ( m o d p ) = 6 2 − 3 − 3 ( m o d 23 ) = 30 ( m o d 23 ) ≡ 7 x_3 equiv k^2 - x_1 - x_2(mod quad p) = 6^2 - 3 - 3(mod quad 23) = 30(mod quad 23) equiv 7 x3k2x1x2(modp)=6233(mod23)=30(mod23)7
y 3 ≡ k ( x 1 − x 3 ) − y 1 ( m o d p ) = 6 ∗ ( 3 − 7 ) − 10 ( m o d 23 ) = − 34 ( m o d 23 ) ≡ 12 y^3 equiv k(x_1 - x_3) - y_1(mod quad p) = 6 * (3 - 7) - 10(mod quad 23) = -34(mod quad 23) equiv 12 y3k(x1x3)y1(modp)=6(37)10(mod23)=34(mod23)12,故 x P xP xP 的坐标为 ( 7 , 12 ) (7,12) (7,12)

4. 椭圆曲线加解密算法原理

设私钥、公钥分别为d、Q,即 Q = d G Q = dG Q=dG,其中G为基点,椭圆曲线上的已知G和dG,求d是非常困难的,也就是说已知公钥和基点,想要算出私钥是非常困难的。
公钥加密:选择随机数r,将消息M生成密文C,该密文是一个点对, C = r G , M + r Q C = {rG, M+rQ} C=rG,M+rQ,其中Q为公钥。
私钥解密 M + r Q − d ( r G ) = M + r ( d G ) − d ( r G ) = M M + rQ - d(rG) = M + r(dG) - d(rG) = M M+rQd(rG)=M+r(dG)d(rG)=M,其中d、Q分别为私钥、公钥。

5. 椭圆曲线签名算法原理

椭圆曲线签名算法(ECDSA)。设私钥、公钥分别为d、Q,即 Q = d G Q = dG Q=dG,其中G为基点。

私钥签名:

  • 选择随机数r,计算点 r G ( x , y ) rG(x, y) rG(x,y)
  • 根据随机数r、消息M的哈希h、私钥d,计算 s = ( h + d x ) / r s = (h + dx)/r s=(h+dx)/r
  • 将消息M、和签名 r G , s {rG, s} rG,s发给接收方。

公钥验证签名:

  • 接收方收到消息M、以及签名 r G = ( x , y ) , s {rG=(x,y), s} rG=(x,y),s
  • 根据消息求哈希h。
  • 使用发送方公钥Q计算: h G / s + x Q / s hG/s + xQ/s hG/s+xQ/s,并与rG比较,如相等即验签成功。
    原理: h G / s + x Q / s = h G / s + x ( d G ) / s = ( h + x d ) G / s = r ( h + x d ) G / ( h + d x ) = r G hG/s + xQ/s = hG/s + x(dG)/s = (h+xd)G/s = r(h+xd)G / (h+dx) = rG hG/s+xQ/s=hG/s+x(dG)/s=(h+xd)G/s=r(h+xd)G/(h+dx)=rG

6. 签名过程

假设要签名的消息是一个字符串:“Hello World!”。DSA签名的第一个步骤是对待签名的消息生成一个消息摘要,不同的签名算法使用不同的消息摘要算法,而ECDSA256使用SHA256生成256比特的摘要。

摘要生成结束后,应用签名算法对摘要进行签名:

  • 产生一个随机数k
  • 利用随机数k,计算出两个大数r和s。将r和s拼在一起就构成了对消息摘要的签名。

这里需要注意的是,因为随机数k的存在,对于同一条消息,使用同一个算法,产生的签名是不一样的。从函数的角度来理解,签名函数对同样的输入会产生不同的输出。因为函数内部会将随机值混入签名的过程。

7. 验证过程

关于验证过程,这里不讨论它的算法细节。从宏观上看,消息的接收方从签名中分离出r和s,然后利用公开的密钥信息和s计算出r。如果计算出的r和接收到的r值相同,则表示验证成功,否则,表示验证失败。

风语者!平时喜欢研究各种技术,目前在从事后端开发工作,热爱生活、热爱工作。