椭 曲线密码体制中 有限域算法的分析 沈晓红’・ I.东南大学2.南通大学徐敏 21 0096 22601 9 1引言 密码技术是信息安全l的关键技术,密码算法 又是密码技术的核心。谊文简单介绍了公开 密码密钥体制,并给出了芒cc的优点。但椭圆 2公开密码密钥体制及ECC的优点 曲线密码体制中有限域上的运算速度极大地 影响它的实现速度。本文通过论述椭 圃曲线 由于计算机科学技术、通信技 1976年W.Diffie和M.E.Hellman 术、微电子技术的发展,使得计算机 提出了公开密钥密码(PubliC KeY 和通信网络的应用进入了人们的El常生 C ryptosystem)的概念,从此开创了 一密码体制中有限域理论,分析了素域、二进制 有限域中加法、柬法的实现算法,并给出了利 于硬件实现的算法。 密码技术;算法;椭圆曲线密码体制;有 限域;二进制域;素域; The technology of cryptograOhy l8 the明靼嘲aI part for information security.Cryptography algorlthm also is the cm of cryptography technology.This pa4 ̄r briefly intr0duced the public-key cryptosystem。and gives the advantage of the ECC.But the calculation speed OVer finite fmlds gr ̄tly affects the performance of ECC implementation.This paper discussed the Elliptic Curve Cryptosystem Finite Field Theory.It 活和工作中,出现的电子政务、电子 商务、电子金融等系统必须确保信息 安全。密码技术是信息安全中最核心 的技术,而密码技术的核心事密码算 法。它是实现保密性、数据完整性、 认证、不可否认性的关键。目前密码 技术已经从外交和军事领域走向公开, 且已发展成为一门结合数学、计算机 科学、微电子、电子与通信等技术的 交叉学科。 密码的发展经历了由简单到复杂, 由经典到近代的发展历程。l 949年香 农发表了题为 保密系统的通信理论 的论文【l 1,该文把密码置于坚实的数 analyzed the algorithm of addition and multiplication for Binary field and Prime field,and put forward some algorithms龇erdhware. i go0d for the imDiementation of cryptography technology;algorithm;Elliptic Curve Cryptosystem;Finite Field;Binary Field;Prime Field 个密码的新时代。公开密钥密码从根 本上克服了传统密码在密钥分配上的困 难,特别适合计算机网络应用,因而特 别受到重视。目前,公开密钥密码已经 得到广泛应用。在国际上研究比较充分 而且公认比较安全的公开密钥密码有: 基于大整数因子分解困难性的RSA密 码,基于离散对数问题困难性的 ELGamal密码,以及基于椭圆曲线离散 对数问题困难性的椭圆曲线密码等I 21。 公钥密码算法又称为非对称密钥算 法、双钥密码算法。在公开密钥密码 体制中,加密密钥PK(公开密钥)是公 开的,而解密密钥SK(秘密密钥)是保 学基础之上,标志着密码学作为一门学 密的。任何人都可以使用其他用户的 科的形成。 公开密钥来对数据进行加密,但只有 本文主要阐述了椭圆曲线密码作为 那些拥有秘密密钥的用户才能对数据进 公开密码密钥体制的突出优点,以及 行解密。公开密钥算法具有如下特 椭圆曲线密码中的有限域的数学理论, 点: 并分析了有限域中加法,模乘等算法 1)能够有效地计算密钥PK和SK 的实现。 2)从已知的PK不可能推导出SK 一3l4— 维普资讯 http://www.cqvip.com
3)发送方用加密密钥P K对明文 X加密后,接收方用解密密钥SK对其 InOd 3l=6: 2)减法:1 7—2 0=2 8,因为一3 ood 3 rl=28; 解密能还原出明文,即D。 (E (X)) :X。 3)乘法:1 7.20=3 O,因为340 ood 3 r1=30: 1985年Neal Koblitz和Victor Miller提出_r椭圆曲线密码(EC C) i4)求逆:1 7 =l 4,因为1 7.1 4 ood 31=1。r 椭圆曲线密码属于公开密码密钥 体制,它可以提供刷RSA密码体制 。样的功能,而它的安全性建立在椭圆 曲线离散对数问题(ECDLP)的困难 性之上。现在求解E CDLP最好的算法 具有完令指数时间复杂度,而RSA却 有亚指数时 算法。这意味着对丁达 到期望的安 程度,ECC可以使用较 (一)素域的加法、减法 域的加法、减法的运算算法以多 字整数算法的形式给出。下面算法中 f使用到的术语:整数【I)的赋值操作 “【g,z)七一14’”表示z七一14, mod 2∥ 和s 0,蔷W∈【0,2 ), 否则,占《一l 矮中w是指实现平 台的字长为w为,它是8的整数倍 RSA更短的密钥。表2.1比较了拱取 相同的安全性,各个算法需要的密钥 长度。 对手 ,y∈【0,2 )和g‘∈{0,1}, 南W: + + ,则W=s2“+z, 你g为啦字加的进位(当月 仅当 表2.1具有相同安全强度的ECC和 RSA/DSA的密钥长度 RSAfDSA(bil) 512 ,68 EcC(bit) R5A Ecc窨钥长度比值 l06 l32 ,1 6I z<x十 时何 =1)。域F 的元桑 1024 2048 160 210 7i iOI 足从0到p-1的整致。令Ⅲ:I l I是P 图3.1 ECDSA模型框架 域是对常见的数系(如有理数 Q、实数R和复数C)及其基本特性 的抽象。域由一个集合F和加法(用 +表示)、乘法(用.表示)两种运 21000 600 351 的:二避制长度,,:J / I表示该域元 黍所用的w位字的个数。图3.2显示域 元索a以二进制形式存在在一个t个w 字的数组A:(A【t—l】,……,A【3】,A[21. ECC具有以下优点 l: 1)计算量小,处理速度快。虽 然在RSA中可以通过选取较小的公钥 的方法提高公钥处理速度,即提高加 密和签名验证的速度,使其在加密和 签名验证速度上与ECC有可比性,但 在私钥的处理速度上(解密和签 名),ECC远比RSA,DSA快得多, 因此ECC总的速度比RSA,I)SA要快 得多。 A[1】 A[0IFJ",其中A[0】为最低有教位。则 算共同组成,并且满足f,-列算术特 性: a=2(t.-4)rv I,一l】+…+2。∥ 【2】 +2” {【l】+ OJ。 A【t~l1 ……A[2I l1 i A[01 1)(F,+)对于加法运算构成加 法交换群,0表示单位元; 2)(F\:0 ,.)对于乘法运算 构成乘法交换群,l表示单位元; 3)分配律成立:对于所有的a,b, C∈F,都有(a+b).C=a.c-4-b.C。 若集合F是有限集合,则称域F为 有限域或伽罗华域(G a l o i s)。 3.1素域及素域算术 设P是一个素数,以P为模,贝 模P的全体余数的集合:0,1,2 …,P一1 2)存储空问占用小。E C C的密 图3.2域Fp上的元素a表示成w位 字的数组A 算法3.1:多精度加法 钥尺寸和系统参数与RSA/DSA相比 Input:按数日.b∈ 0,2 )。Output:( c), 要小得多,意味着它所占的存储空间 喜 叶 c:日十b mod 2 ’,g是进位。 要小得多,这对于加密算法在IC卡上 1 (8,(TI【)1)卜。'tl01+No1; 的应用具有特别重要的意义。 2 ,/, .‘J一_=_,_,,¨ 曛复执行(0.ClO) 3)带宽要求低。当对长消息进 41tl+B1]I+g: 行加解密时,EC C与RSA/DSA密码 3.返回(s c) 算法具有相同的带宽要求,但应用于 J算法3 2:域 :的枷法 短消息、时ECC带宽要求却低得多,而 关干模P的加法和乘法构成一个P阶有 Input:糁数 和整数a 6∈【().P一11 公钥密码算法多用于短消息(如 于 限域,并用符号F..表示。称P为F 、 Outpuh 0:( +6 roodP 数字 名和密钥交换),带宽要求低 的模。对_卜任意整数b,b rood P表 1.辟i鳟法3,1 }到(g.C.)' 中 使E C C在无线网络领域具有广阔的应 示b除以p所得的余数r,0≤r≤P一 =日+b rood 2 怂进他 用前景。 1,_j}称这种运算为求模P的剩余。 (1卜l ・,CI2l-(1lJ. 正因为ECC具有以上优点,椭圆 例3.1(素域F )F 的元素是 如果g=’t则把c:( 【()1)减p;否m}:,/Jl:l ̄ ≥p,则c÷一c—P: 曲线密码特别适合于在航空、航天、 0,1,2,…,3oi,下面给 域F 的算术 (2.返回c。 卫星肢智能卡等系统中应用。一一些国 运算例子。 (二)素域上的模乘 1)加法:1 7 1 2 0=6,因为3 7 际标准化组织也已经把椭圆密码作为新 域F 、上的乘法a.b可以通过先将a ..315 维普资讯 http://www.cqvip.com
; l1 rIl_ l |^ 囊 囊 中国科技信息zoo6年第z,期c NA sc眶№e AN。 c 吼。GY MAT-oN№v.zoo6 Input:x(x<pR); Output:z=“ (modP)。 1.£,=一xp (modR1: 和b作为整数相乘,然后求模P完成。 对于两个n位的整数相乘,如通过运 算数扫描方式或积扫描方式则需要0 (n!)次位运算。然而有限域的乘法是椭 圆曲线密码体制的基本运算。硬件整 数乘法器和进位传播呵能成为直接实现 的瓶颈。所以对于非特殊形式的模P, 求z mod P的计算是模乘计算中费时 的部分。因此选择模就作常重要,如 NI sT推荐的素数,使得模运算非常 快。美国FIPS l 86~2标准推荐采用 5个素域上的椭闶曲线,这5个素数模 分别是: P192=2 蚍一2 一l 2.z=( +z, )/R; 3.如聚z≥Pl{1z:z—P: 4.返回 。 算法3.4:Montgomery模乘算法 tnpuf:n=aR(mod∞1: :bR(mod ).取R R~P P =l =Atairt(a 6 )=“ 6 , (rood ) OutI)Ln: 1,:“ 6: 1.,=口 6 : 2.tt=【f+(, P rood月) PI/R; 3.§目鬻U≥P lJc = 一P, P:2.{=2 一2%+l +2 !+2 一l 4.返回C lJc‘=U: P, =2。 一2 P =2 一2 一2 +2”一l P52{=2 一l 这些素数都可以表示成少量的2的 量的研究,人们以原始Montgolnery模 幂的和或差,除了P…之外,其他的 乘算法为基础研究r多种不同的改进算 表达式中2的幂部是3 2的倍数。达一 法。 特性使得在字长3 2位的机器上约减算 3.1.2■进制域及其算术 法的计算特别快。目前模约减运算的 阶为2”的域称为二进制域或特征 方法主要有如¨I 三种 “1:经典模约、 为2的有限域。构成F …的一种方法是 Barrett方法 j以及Montgomery方 采用多项式基表示法。域F 的元素是 法。其中,Montgornery方法是受到 次数最多为In 1次的■进制多项式: 深入研究的一种方法,也是目前最有 {盘聃一lz拇 +盘 。 。 效的模约算法,这种方法可以避免通 常的除法运算,所以有时也叫做模约 +…+ 。z +atz+ o.a1∈{0,1)) =采用Montgomery模乘算法¨r以 消除模约中的除法,代之以移位操作, 因此可有效减 运算量。 白 Montgomery模乘算法问世以来已有人 化的免除法算法。它也是目前主要用 (一)一进制域算术运算的软件 于计算RSA算法中大整数模运算的一・ 实现 种方法。几乎所有高效率RSA算法的 在下面给出的几个算i=去中,假设 实现中都使用了Montgomery模约化 实现平台的字长是w位的,同样w是 方法。M O n t g O m e r Y方法基于 8的整数倍。设f(z)是一个m次的二进 Montgomery表示法。 制既约多项式f(z)==z +r(z),而域F m Montgomery表示法:设P是大: 上元素的次数最多为m l。一个域元素 于2的素数,R>p且R与P互素即gcd a(z)= a 1 ZI +a ,2z… +…+a2z +a1z+a0与 (R,p)=l(一般取R 2k,且2k>p)则整 个一维向量a~(a 1,…,a 2,a 1, 数a(O<a<p)的Montgomery表示法为 a..)相对应。令t= /W_Is:晰一,"。彳E 一a’ aR(mod P) 软件实现中我们可以用t个w字的数组 4结束语 在文中较具体的给出了椭圆曲线密 码体制中所涉及列的有限域理论,并 列出了部分加法和点乘的一般算法。 叮以证明,这种表示法可构成有 = 卜l , AI EI,ADD来存储域元素 限域,且一一般表示法下GF(P)中的元素 a,最低有效位a0仔储到A【01中,rf【i 与Montgomery表示法下GF(p)中的元 AIt—l】中的最高S位设置为0,存储方 素有一一映射关系。 基于 式如图3.3所示。 Montgomery表示法的模约算法描述如 下: AB.tl 葶A【【1 A潮 算法3.3:Montgomery模约算 法 毡rIl … I 口2W-1 aW-I ‘ +Ia ala0 下转第334页 口 1)“ 3l6 维普资讯 http://www.cqvip.com
中圜科技信息2006年第21期 CHINA SCIENCE AND TECHNOLOGY INFORMATION Nov.2006 致听证会的民主性、公正性、平等性 受到限制。 管部门要保持独立性。要求廉洁自 好,作出公正的决策,不能偏}H仟何 行业、任何利益集 。[大j为听证结果的 最终决策权在政府, 1果政府不能站住 三、对政府的政策建议 ECC的研究已经有20年的历程,如今 公正的立场上进行裁决,势必影响到听 E c c厄论 理论 还是在其标准化、 要使公共政策听证成为真正意义上 证结果的公信 ,也损害r公民参与听 产业『匕都趋于成熟。但在实际应用 的对称性公共政策论辩,体现充分的公 证的热情。为此,政府在选择听征的j三 上,相关的产品还不是很多。目前, 共政策民主,需要做好以下几个方面的 持代表和政府代表时,对代表的综合素 研究主要集中在曲线的快速选取及点乘 质应认真考察,严格筛选。 工作: 的硬件快速实现上。相信在理论算法 第五,政府在举行听证会过程中, 第一,建构多方参与、互相制约 的突破和现实技术的更新下,E C C的 的公共决策格局。…要完善听证代表产 应尊重和发挥非政府组织的作用。比如 智能卡产品将很快问世和得到推广。 生制度,形成经营者、消费者、监 律师事务所、审汁师事务所、会汁帅事 务所等社会中介组织的作用,埘听证的 相关利益群体进行充 分地考察和审定, 策系统,特别是针对某一公共政策议 以提高听证的町信度。第六,为提高听证的效果,政府应 题的相关专家和律师代表的组成显得很 有必要的。因为听证结果的公信力强 尽快制定不同领域或不同行业的听证法 弱直接与决策系统的权威性有关。为 规制度,对听证的信息发布、听证代表 此,政府在举行听证会前,应对听证 的权力与义务、听证的标准程序、听证 所涉及的有关价格、成本等内容进行 代表的选择、听旺结果的公布和使用等 参考文献0÷ ≯0 ,。蠢。 相关环节作出详细的规范,为推进我国 调研和预审,以确保其准确合理。比 …Darrel Hankerson,Alfred Menezes, 的公共决策的听证制度的完善提供法律 如借助律师事务所、审计师事务所、 Scott V&nstone著,张焕国等译.椭圆曲 会计师事务所等权威的中介组织参与有 保障。线密码学导论[M].电子工业出版社, 总之,通过不断建遗健全卜述诸多 2005.1 69 关问题的调研和审定,以提高听证的 的建议,使民意得到充分的尊重,公民 [2]张焕国,刘玉珍.密码学导论.武 权威性和结果的公信力。 M],2003,1 0’1 9 第二,政府应为公众提供各种信 参与的权力得到切实保护,使听订E会也 汉大学出版社[毒义 [息公开的渠道,使公众尽可能多地获 由一种程序意义的参与转变为实质:3]Mi))er V.Uses of Elliptic Curves in 取公共政策听证相关信启、。同时在征 的参与,必然对促进我国公民参与制度 Cryptography[A】.Adwnces in 集代表时,尽可能广泛征集代表,提 的完善和民主政治的发媵将产生秘极意 Cryptology--Cr ̄to s5[c]. 艾。 Berling:Springer Verlag,1 986,41 7 4;56 高代表的代表性。另外,听汪代表应 l积极参与听证问题的信息收集,多花 [4]Koblitz N.Elliptic Curve 时间、多花精力去进行调查研究,广 Cryptosystems[J].Mathematics of Computation.1 987.1 48:1 9j 21 0 泛听取不同行业、不同阶层、不同地 域等各方面的意见,以使自己的发言 [5]王衍波.椭圆曲线上密码研究现状 更全面、更充分、更有代表性、更 与展望.解放军理工大学学报[Jj. 上接第51 6页 管者、咨询者等多方制约格局,建屯 代表咨询、专家论证、民意调查的决 符合实际。 第三,提高公共政策听证的透明 2002.3(6):1 8-25 度。要增强公共政策听证的内容和程 序的公开和透明。比如借助媒体的作 用,对听证的相关信息进行充分的公 布,还可以通过举办相关论坛形式, 表达各利益相关者的利益诉求。这既 有利于提高公众的认同度和参与度, [6]袁航.基于平台的椭圆曲线密码SoC 赣懑囊献◆_ ◆00;。lli _ 设计研究、[D].清华大学微电子研究所 [1]_刘琳,刘昕.加强民主政治建设建 f71 Blake.1,Seroussi.G and Smart.N. 立与完善听证制度.新华网视一参考 频道.2006年03月1 6日 [2]黄少安,宫明波.价格听证的效率分 ”Elliptic Curves in Cryptography”[J], Cambridge Universi' ̄y Press,Cambridge, United Kingdom.1 999 又有利于听证相关利害人获取充分的信 息,同时也能够使公共政策决策成本 析.消费经济.2002年第4期 [3]陈潭.当前中国价格听证:基于结 构和制度层面的公共政策分析、价值 2日 和执行成本大大降低,因而听证举办 中国网.2004年9月1黼 融 者或监管者有必要把听证方案提前1个 莫文敏(1 969一).男 湖南衡阳人 中共 月交给参与者,也有必要通过多种新 株洲市委党校副教授.研究方向为公共政策 闻媒体把听证方案公之于众,并能现 分析与评价。 场直播或跟踪报道。 第四,作为监管者的政府及其主 334
因篇幅问题不能全部显示,请点此查看更多更全内容