橢圓曲線演算法實現

『壹』 如何通過哈希函數和橢圓曲線密碼演算法實現數字簽名

RSA的安全性主要取決於構造其加密演算法的數學函數的求逆的困難性,這同大多數公鑰密碼系統一樣(例如ElGamal演算法就是基於離散對數問題的困難性,我們稱這樣的函數為單向函數.單向函數不能直接用作密碼體制,因為如果用單向函數對明文進行加密,即使是合法的接收者也不能還原出明文,因為單向函數的逆運算是困難的.與密碼體制關系更為密切的陷門單向函數,即函數及其逆函數的計算都存在有效的演算法,而且可以將計算函數的方法公開.單向和陷門單向函數的概念是公鑰密碼學的核心,它對公鑰密碼系統的構造非常重要,甚至可以說公鑰密碼體制的設計就是陷門單向函數的設計.
ECDSA演算法將DsA運用在橢圓曲線方程上,將安全性的基礎由求取有限域上
離散對數的困難性變成了在橢圓曲線群上計算離散對數的困難性,安全性基礎改
變,使得在同等安全程度下使用的密鑰長度變短,僅僅使用192位長的密鑰就可
以保證安全性了,而DSA演算法需要1024位長的密鑰才能保證足夠的安全性.改進
後的ECDSA演算法提高了演算法實現的效率.

『貳』 橢圓曲線加密演算法原理

橢圓曲線加密演算法，簡稱ECC，是基於橢圓曲線數學理論實現的一種非對稱加密毀核演算法。

相比RSA，ECC優勢是可以使用更短的密鑰，來實現與RSA相當或更高的安全，RSA加密演算法也是純擾一種非對稱加密演算法，在公開密鑰加密和電子商業中RSA被廣泛使用。據研究，160位ECC加密安全性相當於1024位RSA加密，210位ECC加密安全性相當於2048位做余旦RSA加密（有待考證）。

橢圓曲線也可以有運算，像實數的加減乘除一樣，這就需要使用到加群。19世紀挪威的尼爾斯·阿貝爾抽象出了加群（又叫阿貝爾群或交換群）。數學中的群是一個集合，我們為它定義了一個「加法」，並用符號+表示。假定群用 表示，則加法必須遵循以下四個特性：

• 封閉性：如果a和b都是 的成員，那麼a+b也是 的成員；

• 結合律：(a + b) + c = a + (b + c);

• 單位元：a+0=0+a=a，0就是單位元；

• 逆元：對於任意值a必定存在b，使得a+b=0。

如果再增加一個條件，交換律：a + b = b + a，則稱這個群為阿貝爾群，根據這個定義整數集是個阿貝爾群。

『叄』 橢圓曲線加密演算法

橢圓曲線加密演算法，即：Elliptic Curve Cryptography，簡稱ECC，是基於橢圓曲線數學理論實現的一種非對稱加密演算法。相比RSA，ECC優勢是可以使用更短的密鑰，來實現與RSA相當或更高的安全。據研究，160位ECC加密安全性相當於1024位RSA加密，210位ECC加密安全性相當於2048位RSA加密。

橢圓曲線在密碼學中的使用，是1985年由Neal Koblitz和Victor Miller分別獨立提出的。

一般情況下，橢圓曲線可用下列方程式來表示，其中a,b,c,d為系數。

例如，當a=1,b=0,c=-2,d=4時，所得到的橢圓曲線為:

該橢圓曲線E的圖像如圖X-1所示，可以看出根本就不是橢圓形。

過曲線上的兩點A、B畫一條直線，找到直線與橢圓曲線的交點，交點關於x軸對稱位置的點，定義為A+B，即為加法。如下圖所示：A + B = C

上述方法無法解釋A + A，即兩點重合的情況。因此在這種情況下，將橢圓曲線在A點的切線，與橢圓曲線的交點，交點關於x軸對稱位置的點，定義為A + A，即2A，即為二倍運算。

將A關於x軸對稱位置的點定義為-A，即橢圓曲線的正負取反運算。如下圖所示：

如果將A與-A相加，過A與-A的直線平行於y軸，可以認為直線與橢圓曲線相交於無窮遠點。

綜上，定義了A+B、2A運算，因此給定橢圓曲線的某一點G，可以求出2G、3G（即G + 2G）、4G......。即：當給定G點時，已知x，求xG點並不困難。反之，已知xG點，求x則非常困難。此即為橢圓曲線加密演算法背後的數學原理。

橢圓曲線要形成一條光滑的曲線，要求x,y取值均為實數，即實數域上的橢圓曲線。但橢圓曲線加密演算法，並非使用實數域，而是使用有限域。按數論定義，有限域GF(p)指給定某個質數p，由0、1、2......p-1共p個元素組成的整數集合中定義的加減乘除運算。

假設橢圓曲線為y² = x³ + x + 1，其在有限域GF(23)上時，寫作：y² ≡ x³ + x + 1 (mod 23)

此時，橢圓曲線不再是一條光滑曲線，而是一些不連續的點，如下圖所示。以點(1,7)為例，7² ≡ 1³ + 1 + 1 ≡ 3 (mod 23)。如此還有如下點：

(0,1) (0,22)(1,7) (1,16)(3,10) (3,13)(4,0)(5,4) (5,19)(6,4) (6,19)(7,11) (7,12)(9,7) (9,16)(11,3) (11,20)等等。

另外，如果P(x,y)為橢圓曲線上的點，則-P即(x,-y)也為橢圓曲線上的點。如點P(0,1)，-P=(0,-1)=(0,22)也為橢圓曲線上的點。

相關公式如下：有限域GF(p)上的橢圓曲線y² = x³ + ax + b，若P(Xp, Yp), Q(Xq, Yq)，且P≠-Q，則R(Xr,Yr) = P+Q 由如下規則確定：

Xr = (λ² - Xp - Xq) mod pYr = (λ(Xp - Xr) - Yp) mod p其中λ = (Yq - Yp)/(Xq - Xp) mod p（若P≠Q）, λ = (3Xp² + a)/2Yp mod p（若P=Q）

因此，有限域GF(23)上的橢圓曲線y² ≡ x³ + x + 1 (mod 23)，假設以(0,1)為G點，計算2G、3G、4G...xG等等，方法如下：

計算2G：λ = (3x0² + 1)/2x1 mod 23 = (1/2) mod 23 = 12Xr = (12² - 0 - 0) mod 23 = 6Yr = (12(0 - 6) - 1) mod 23 = 19即2G為點(6,19)

計算3G：3G = G + 2G，即(0,1) + (6,19)λ = (19 - 1)/(6 - 0) mod 23 = 3Xr = (3² - 0 - 6) mod 23 = 3Yr = (3(0 - 3) - 1) mod 23 = 13即3G為點(3, 13)

建立基於橢圓曲線的加密機制，需要找到類似RSA質因子分解或其他求離散對數這樣的難題。而橢圓曲線上的已知G和xG求x，是非常困難的，此即為橢圓曲線上的的離散對數問題。此處x即為私鑰，xG即為公鑰。

橢圓曲線加密演算法原理如下：

設私鑰、公鑰分別為k、K，即K = kG，其中G為G點。

公鑰加密：選擇隨機數r，將消息M生成密文C，該密文是一個點對，即：C = {rG, M+rK}，其中K為公鑰

私鑰解密：M + rK - k(rG) = M + r(kG) - k(rG) = M其中k、K分別為私鑰、公鑰。

橢圓曲線簽名演算法，即ECDSA。設私鑰、公鑰分別為k、K，即K = kG，其中G為G點。

私鑰簽名：1、選擇隨機數r，計算點rG(x, y)。2、根據隨機數r、消息M的哈希h、私鑰k，計算s = (h + kx)/r。3、將消息M、和簽名{rG, s}發給接收方。

公鑰驗證簽名：1、接收方收到消息M、以及簽名{rG=(x,y), s}。2、根據消息求哈希h。3、使用發送方公鑰K計算：hG/s + xK/s，並與rG比較，如相等即驗簽成功。

原理如下：hG/s + xK/s = hG/s + x(kG)/s = (h+xk)G/s= r(h+xk)G / (h+kx) = rG

假設要簽名的消息是一個字元串：「Hello World!」。DSA簽名的第一個步驟是對待簽名的消息生成一個消息摘要。不同的簽名演算法使用不同的消息摘要演算法。而ECDSA256使用SHA256生成256比特的摘要。
摘要生成結束後，應用簽名演算法對摘要進行簽名：
產生一個隨機數k
利用隨機數k，計算出兩個大數r和s。將r和s拼在一起就構成了對消息摘要的簽名。
這里需要注意的是，因為隨機數k的存在，對於同一條消息，使用同一個演算法，產生的簽名是不一樣的。從函數的角度來理解，簽名函數對同樣的輸入會產生不同的輸出。因為函數內部會將隨機值混入簽名的過程。

關於驗證過程，這里不討論它的演算法細節。從宏觀上看，消息的接收方從簽名中分離出r和s，然後利用公開的密鑰信息和s計算出r。如果計算出的r和接收到的r值相同，則表示驗證成功。否則，表示驗證失敗。

『肆』 橢圓曲線加密（ECC）核心演算法的簡明介紹

網上對於橢圓曲線加密過程的介紹過於繁瑣，對於只想了解加密如何進行的人來說浪費時間，所以我這里只對關鍵計算步驟進行介紹，略去橢圓曲線的相關原理（網路一搜一大把）。

最最關鍵且基本只用到的是 Ep(a,b)的加法

對與橢圓曲線y^2 = x^3+ax+b(mod p) ：

兩點P(x1,y1) Q(x2,y2),P≠-Q,則P+Q=(x3,y3)由以下演算法定義：

實際通信流程如下：

再對點M進行解碼就可以得到明文。上述流程中的加法即為Ep(a,b)的加法。

這個演算法實際是基於已知kG難解k實現的，簡單清晰。