y2+axy+by=x3+cx2+dx+e
(4.1)
其中a,b,c,d,e是满足某些简单条件的实数。 定义中包括一个称为无穷点的元素,记为O。
图4.4 是椭圆曲线的两个例子。
2020/12/8
11
有限域上的椭圆曲线 椭圆曲线
4
P1
2 R Q
-2 -1
01 2 3
-2
- P1 -4
4
P1
2 R Q -2 -1 0 1 2 3
2020/12/8
19
有限域上的椭圆曲线
例4.13 仍以E0 3 1 (1) 21 22 12 11mod 23
93 6 2 x3 112 3 9 109 17 mod 23 y3 11(3 17) 10 164 20 mod 23
13
有限域上的椭圆曲线
椭圆曲线
③ 设Q和R是椭圆曲线上x坐标不同的两点,Q+R的定义 如下: 画一条通过Q、R的直线与椭圆曲线交于P1(这一交 点是惟一的,除非所做的直线是Q点或R点的切线,此时分 别取P1=Q和P1=R)。由Q+R+P1=O得Q+R=-P1。 ④ 点Q的倍数定义如下: 在Q点做椭圆曲线的一条切线, 设切线与椭圆曲线交于点S,定义2Q=Q+Q=-S。类似地可 定义3Q=Q+Q+Q+,…,等。 以上定义的加法具有加法运算的一般性质,如交换律、 结合律等。
THANK YOU
生活中的辛苦阻挠不了我对生活的热 爱。20.12.820.12.8Tuesday, December 08, 2020
则称F为一个域.
2020/12/8
8
有限域
定义4.3.2 有限个元素构成的域称为有限域.域中元素 的个数称为有限域的阶.
例:当p是素数时,模p剩余类集合
{0,1, 2 , p 1}
构成p阶有限域GF(p) ,这也是最简单的一种有限域.
2020/12/8
9
有限域
定义4.3.3 设G是群,a是G中的一个元素,如果存在正 整数m,使得am=1,则称a是有限阶的元素,把最小的满 足am=1 的正整数m叫做元素a的阶,用|a|表示。
2020/12/8
17
有限域上的椭圆曲线 有限域上的椭圆曲线
Ep(a,b)上的加法定义如下:
设P,Q∈Ep(a,b),则
① P+O=P。
② 如果P=(x,y),那么(x, y)+(x, -y)=O,即 (x, -y)是P的加 法逆元,表示为-P。
由Ep(a,b)的产生方式知,-P也是Ep(a,b)中的点,如上 例,P=(13,7)∈E23(1,1),-P=(13, -7),而-7 mod 23≡16, 所以-P=(13, 16),也在E23(1,1)中。
2020/12/8
16
有限域上的椭圆曲线
有限域上的椭圆曲线
一般来说,Ep(a,b)由以下方式产生: ① 对每一x(0≤x<p且x为整数),计算 x3+ax+b(mod p)。 ② 决定①中求得的值在模p下是否有平方根, 如果没有,则曲线上没有与这一x相对应的点;如 果有,则求出两个平方根(y=0 时只有一个平方 根)。
定义4.3.4 q阶有限域中阶为q1的元素称为本原域元素,
简称本原元.
本原元的意义是很明显的.如果q阶有限域中存在本原元a,
则所有非零元构成一个由a生成的q1阶循环群.那么q阶
有限域就可以表示为
{ 0,1,a1,a2,…,aq2}.
2020/12/8
10
有限域上的椭圆曲线 椭圆曲线
椭圆曲线并非椭圆,之所以称为椭圆曲线是因为 它的曲线方程与计算椭圆周长的方程类似。一般来 讲,椭圆曲线的曲线方程是以下形式的三次方程:
椭圆曲线密码体制
为保证RSA算法的安全性,它的密钥长度需一 再增大,使得它的运算负担越来越大。相比之下, 椭圆曲线密码体制ECC(elliptic curve cryptography)可用短得多的密钥获得同样的安全 性,因此具有广泛的应用前景。ECC已被IEEE公 钥密码标准P1363采用。
2020/12/8
2020/12/8
14
有限域上的椭圆曲线 有限域上的椭圆曲线
密码中普遍采用的是有限域上的椭圆曲线,有限域上 的椭圆曲线是指曲线方程定义式(4.1)中,所有系数都是某 一有限域GF(p)中的元素(其中p为一大素数)。其中最为 常用的是由方程
y2≡x3+ax+b(mod p)
(a,b∈GF(p),4a3+27b2(mod p)≠0) 定义的曲线。
2020/12/8
18
有限域上的椭圆曲线 有限域上的椭圆曲线
③ 设P=(x1,y1),Q=(x2,y2),P≠-Q,则P+Q=(x3,y3) 由以下规则确定:
其中
x3≡λ2-x1-x2(mod p) y3≡λ(x1-x3)-y1(mod p)
y2 y1
x2 x1
3x12
a
2 y1
PQ PQ
明文进行加密; “一次一密”能达到理论上的绝对安全,奠定了流密
码发展的基石; 设计具有良好伪随机性质的密钥流生成器。
RC4
RC4用两步来生成密钥流:
(1)密钥调度算法
可变长度的加密密钥产生密钥流生成器的初始
状态;
(2)伪随机子密钥生成算法
根据初始状态产生密钥流,使之与明文相异或
产生密文。
RC4加密体制
2020/12/8
21
椭圆曲线离散对数困难问题
定义4.11 设E 是有限域 Z p 上的椭圆曲线,P E ,P 的阶是
满足
nP P P P
n
的最小整数 n ,记为ord (P) ,其中 是无穷远点。
定义4.12 设 p 3是一个素数,E 是有限域Z p 上的椭圆曲线, 设 G是E 的循环子群,P 是G 的一个生成元,Q G 。已知 P,Q ,求满足 nP Q 的唯一整数 n。0 n ord (P) 1 称为椭 圆曲线上的离散对数问题。
RC4
Ron Rivest于1987年设计。在1994年,RC4被发布于 互联网上。
RC4是一些广泛使用的协议和标准的一部分,如WEP 和WPA。以及TLS等。
算法简单,速度快。软件和硬件实现均容易,被广泛 应用。
RC4
对称密钥算法,密钥长度可变,一般为256字节; 流密码,用于密钥生成与明文一样长度的密钥流,对
KEY RC4密钥流发生器
Keystream
Plaintext
Ciphertext
图4-5 RC4加密
Present算法
在CHES2007上,Bogdanov等提出了PRESENT算法, 该算法具有出色的硬件实现性能和简洁的轮函数设计。 PRESENT密码算法与现有的轻量级分组密码算法 TEA、MCRYPTON、HIGHT、SEA和CGEN相比, 有着更简单的硬件实现,因此被称为超轻量级密码算 法。
-2
-4
-P1
(a) y2=x3-x
(b) y2=x3+x+1
图4.4 椭圆曲线的两个例子
2020/12/8
12
有限域上的椭圆曲线
椭圆曲线
椭圆曲线上的加法运算定义如下: 如果其上的3个点位于同 一直线上,那么它们的和为O。
进一步可如下定义椭圆曲线上的加法律(加法法则):
① O为加法单位元,即对椭圆曲线上任一点P,有P+O=P。
域
定义4.3.1 若代数系统<F, +, •>的二元运算满足: 1) <F, +>是交换群; 2) <F-{0}, •> 是交换群,其中0是+运算的单位元; 3)乘法在加法+运算上满足分配律,即对于任意a,b,
cF,有
a• (b+c) = a•b+a•c和(b+c) •a=b•a+c•a;
② 设P1=(x,y)是椭圆曲线上的一点, 它的加法逆元定义为P2=P1=(x, -y)。
这是因为P1、P2的连线延长到无穷远时,得到椭圆曲线上的 另一点O,即椭圆曲线上的3点P1、P2,O共线,所以 P1+P2+O=O,P1+P2=O,即P2=-P1。
由O+O=O,还可得O=-O
2020/12/8
SM1算法
SM1对称密码 SM1 算法是分组密码算法,分组长度为128位,
密钥长度都为 128 比特,算法安全保密强度及相 关软硬件实现性能与 AES 相当,算法不公开,仅 以 IP 核的形式存在于芯片中。 采用该算法已经研制了系列芯片、智能 IC 卡、智 能密码钥匙、加密卡、加密机等安全产品,广泛 应用于电子政务、电子商务及国民经济的各个应 用领域(包括国家政务通、警务通等重要领域)。
国家商用密码算法介绍
密码学中应用最为广泛的的三类算法包括对称算 法、非对称算法、杂凑算法。
为了保障商用密码安全,国家商用密码管理办公 室制定了一系列密码标准,包括SSF33、SM1 (SCB2)、SM2、SM3、SM4、SM7、SM9、祖 冲之密码算法那等等。其中SSF33、SM1、SM4、 SM7、祖冲之密码是对称算法;SM2、SM9是非 对称算法;SM3是哈希算法。目前已经公布算法 文本的包括祖冲之序列密码算法、SM2椭圆曲线 公钥密码算法、SM3密码杂凑算法、SM4分组密 码算法等。
SM2算法
SM2椭圆曲线公钥密码算法 SM2算法就是ECC椭圆曲线密码机制,但在签名、
密钥交换方面不同于ECDSA、ECDH等国际标准, 而是采取了更为安全的机制。另外,SM2推荐了 一条256位的曲线作为标准曲线。
SM7算法
SM7对称密码 SM7算法,是一种分组密码算法,分组长度为 128 比特,密钥长度为 128 比特。SM7的算法文本 目前没有公开发布。SM7适用于非接IC卡应用包 括身份识别类应用(门禁卡、工作证、参赛证),票 务类应用(大型赛事门票、展会门票),支付与通卡 类应用(积分消费卡、校园一卡通、企业一卡通 、公交一卡通)。
