橢圓曲線密碼體制的高速求解

橢圓曲線密碼體制的高速求解

在電子商務(wù)、數(shù)字簽名、ic卡、通信、電子結(jié)算和其他領(lǐng)域中應(yīng)用的橢圓形曲線密碼系統(tǒng)的情況下，它已成為人們關(guān)注的焦點(diǎn)?？焖賹?shí)現(xiàn)這一系統(tǒng)的關(guān)鍵是計(jì)算橢圓曲線橢圓的數(shù)乘匹配和點(diǎn)的加法p.q，其中m是平均值，p和q是橢圓曲線的點(diǎn)。1反思efpsey2+xy=x3+ax+b(1)定義于有限域F2n上,其中a∈{0,r},r∈F2n,b∈F2n,b≠0,tr(r)=1。方程(1)在F2n×F2n中的解集,連同無(wú)窮遠(yuǎn)點(diǎn)O,對(duì)文獻(xiàn)中的加法構(gòu)成Abel群,記作E(F2n)。習(xí)慣上將E(F2n)也稱為橢圓曲線,簡(jiǎn)稱EC。平面坐標(biāo)系中點(diǎn)的加法和數(shù)乘可如下計(jì)算:設(shè)P=(x1,y1),Q=(x2,y2),P+Q=(x3,y3),P,Q∈E(F2n)。1.1+x+ay3當(dāng)P≠Q(mào)時(shí),?????x3=[y1+y2x1+x2]2+y1+y2x1+x2+x1+x2+a?y3=[y1+y2x1+y2](x1+x3)+x3+y1。(2){x3=[y1+y2x1+x2]2+y1+y2x1+x2+x1+x2+a?y3=[y1+y2x1+y2](x1+x3)+x3+y1。(2)1.2計(jì)算逆元方案當(dāng)P=Q時(shí),?????x3=bx21+x21,y3=x21+[x1+y1x1]x3+x3。(3){x3=bx12+x12,y3=x12+[x1+y1x1]x3+x3。(3)JulioLopez等改進(jìn)了此倍點(diǎn)公式,該公式變?yōu)???????x2=M2+M+a,y2=x21+Mx2+x2,M=x1+x1y1。(4){x2=Μ2+Μ+a,y2=x12+Μx2+x2,Μ=x1+x1y1。(4)有限域上的求逆運(yùn)算是較為耗時(shí)的運(yùn)算,公式(2)(3)(4)均包括求逆運(yùn)算,為了快速實(shí)現(xiàn)式(2)(3)(4),作者提出以下方案:建立F2n上的逆元中心數(shù)據(jù)庫(kù),用戶可避免有限域上的逆運(yùn)算,直接從中心數(shù)據(jù)庫(kù)調(diào)用數(shù)據(jù)。首先,該算法速度較快。隨著帶寬的增加和網(wǎng)速的提高,調(diào)用數(shù)據(jù)在瞬間即可完成。這樣求逆運(yùn)算幾乎等同于賦值運(yùn)算。其次,該算法是安全的。為了防止他人截獲中間數(shù)據(jù),危及系統(tǒng)安全,用戶可建立一小型逆元數(shù)據(jù)庫(kù),數(shù)據(jù)庫(kù)的元素互不相同,且任意兩個(gè)元素的乘積不等于第3個(gè)元素,記數(shù)據(jù)庫(kù)為A={m?111-1,m?122-1,m?133-1,…,m?1tt-1}。用戶若想從中心數(shù)據(jù)庫(kù)獲取x1的逆元,可先從中心數(shù)據(jù)庫(kù)獲取x1m?111-1的逆元m1x-11,然后再乘以m?111-1即可獲取x?111-1。A={m?111-1,m?122-1,m?133-1,…,m?1tt-1}為機(jī)密,他人即使截獲中間數(shù)據(jù)x1m?111-1和m1x?111-1,得到x1和x?111-1也是很困難的。新的x?111-1又可添加到A={m?111-1,m?122-1,m?133-1,…,m?1tt-1}中。若用戶要計(jì)算nP,則用于掩護(hù)元素的逆元空間至少含元素tn,則他人獲取用戶逆元的概率至少為1/(2ntn),非常小,另外為了確保安全性,還可定期更換A={m?111-1,m?122-1,m?133-1,…,m?1tt-1}中的元素,盡量減少兩次使用同一個(gè)逆元作掩護(hù)。綜上所述,該方法是可行的。該方法計(jì)算量的分析:計(jì)算P+Q需9次有限域的加法,1次有限域的平方,4次有限域的乘法。計(jì)算2P需5次有限域的加法,2次有限域的平方,4次有限域的乘法。2射影平面上的點(diǎn)定義2射影平面P2是三元數(shù)組(X,Y,Z)的集合,X,Y,Z不全為零,(X1,Y1,Z1),(X2,Y2,Z2)稱為等價(jià)的,若存在λ∈E(F2n),λ≠0,使得X1=λX2,Y1=λ2Y2,Z1=λZ2,每一類稱為射影平面的一個(gè)點(diǎn)。注意到射影坐標(biāo)(X,Y,Z),Z≠0能被射影點(diǎn)(x,y,1)代表,其中x=X/Z,y=Y/Z2,因此射影平面上的點(diǎn)(X,Y,Z)等價(jià)于仿射平面上的點(diǎn)(x,y)。設(shè)P=(x,y)是E(F2n)上滿足方程(1)的點(diǎn),令x=X/Z,y=Y/Z2,代入式(1),有:Y2+XYZ=X3Z+aX2Z2+bZ4。(5)若令Z=0,則Y2=0?Y=0,因此(1,0,0)是滿足Z=0的唯一點(diǎn),該點(diǎn)稱為無(wú)窮遠(yuǎn)點(diǎn)。將仿射點(diǎn)(x,y)轉(zhuǎn)化為射影點(diǎn)只需令X=x,Y=y,Z=1,同樣可將射影平面上的點(diǎn)(X,Y,Z)轉(zhuǎn)化為仿設(shè)平面上的點(diǎn),只需計(jì)算x=X/Z,y=Y/Z2。2.1b計(jì)算營(yíng)造旋轉(zhuǎn)關(guān)節(jié)公式,即當(dāng)骨線計(jì)算為b1f1e,b3,b3,b3,b3,b3,b3,b3,b3,b3,b3,b3,b3,b3,b3,b3,b3,b3,b3,b3,b3,b3,b3,b3,3,5.3,3.3,3.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3e,b3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3,5.3(X1,Y1,Z1)+(X2,Y2,Z2)=(X3,Y3,Z3),A1=Y2Z2112,D=B1+B2,H=CF,A2=Y1Z2222,E=Z1Z2,X3=C2+H+G,B1=X2Z1,F=DE,I=D2B1E+X3,B2=X1Z2,Z3=F2,J=D2A1+X3,C=A1+A2,G=D2(F+aE2),Y3=HI+Z3J。2.2點(diǎn)加和倍點(diǎn)計(jì)算量2(X1,Y1,Z1)=(X2,Y2,Z2),Z2=X2112Z2112,X2=X4114+bZ4114,Y2=bZ4114Z2+X2(aZ2+Y2112+bZ4114)。射影平面中點(diǎn)加的計(jì)算量為:有限域中6次加法,9次乘法,4次平方。射影平面倍點(diǎn)的計(jì)算量為:有限域中4次加法,4次乘法,5次平方。由文獻(xiàn)知,文中引用的算法為最優(yōu)射影平面算法。3計(jì)算有限域賦值運(yùn)算表1為改進(jìn)的有限域算法與射影平面算法的比較。假定賦值運(yùn)算的時(shí)間可以忽略,則調(diào)出一個(gè)逆元相當(dāng)于計(jì)算兩次乘法;假定有限