椭圆曲线加密的安全性

1. 椭圆曲线算法的比较

椭圆曲线算法与RSA算法的比较
椭圆曲线公钥系统是代替RSA的强有力的竞争者。椭圆曲线加密方法与RSA方法相比，有以下的优点：
（1）安全性能更高 如160位ECC与1024位RSA、DSA有相同的安全强度。
（2）计算量小，处理速度快 在私钥的处理速度上（解密和签名），ECC远 比RSA、DSA快得多。
（3）存储空间占用小 ECC的密钥尺寸和系统参数与RSA、DSA相比要小得多， 所以占用的存储空间小得多。
（4）带宽要求低使得ECC具有广泛的应用前景。
ECC的这些特点使它必将取代RSA，成为通用的公钥加密算法。比如SET协议的制定者已把它作为下一代SET协议中缺省的公钥密码算法。

2. 十大常见密码加密方式

一、密钥散列

采用MD5或者SHA1等散列算法，对明文进行加密。严格来说，MD5不算一种加密算法，而是一种摘要算法。无论多长的输入，MD5都会输出一个128位（16字节）的散列值。而SHA1也是流行的消息摘要算法，它可以生成一个被称为消息摘要的160位（20字节）散列值。MD5相对SHA1来说，安全性较低，但是速度快；SHA1和MD5相比安全性高，但是速度慢。

二、对称加密

采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密，这种加密方法称为对称加密。对称加密算法中常用的算法有：DES、3DES、TDEA、Blowfish、RC2、RC4、RC5、IDEA、SKIPJACK等。

三、非对称加密

非对称加密算法是一种密钥的保密方法，它需要两个密钥来进行加密和解密，这两个密钥是公开密钥和私有密钥。公钥与私钥是一对，如果用公钥对数据进行加密，只有用对应的私钥才能解密。非对称加密算法有：RSA、Elgamal、背包算法、Rabin、D-H、ECC（椭圆曲线加密算法）。

四、数字签名

数字签名（又称公钥数字签名）是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。它是一种类似写在纸上的普通的物理签名，但是在使用了公钥加密领域的技术来实现的，用于鉴别数字信息的方法。

五、直接明文保存

早期很多这样的做法，比如用户设置的密码是“123”，直接就将“123”保存到数据库中，这种是最简单的保存方式，也是最不安全的方式。但实际上不少互联网公司，都可能采取的是这种方式。

六、使用MD5、SHA1等单向HASH算法保护密码

使用这些算法后，无法通过计算还原出原始密码，而且实现比较简单，因此很多互联网公司都采用这种方式保存用户密码，曾经这种方式也是比较安全的方式，但随着彩虹表技术的兴起，可以建立彩虹表进行查表破解，目前这种方式已经很不安全了。

七、特殊的单向HASH算法

由于单向HASH算法在保护密码方面不再安全，于是有些公司在单向HASH算法基础上进行了加盐、多次HASH等扩展，这些方式可以在一定程度上增加破解难度，对于加了“固定盐”的HASH算法，需要保护“盐”不能泄露，这就会遇到“保护对称密钥”一样的问题，一旦“盐”泄露，根据“盐”重新建立彩虹表可以进行破解，对于多次HASH，也只是增加了破解的时间，并没有本质上的提升。

八、PBKDF2

该算法原理大致相当于在HASH算法基础上增加随机盐，并进行多次HASH运算，随机盐使得彩虹表的建表难度大幅增加，而多次HASH也使得建表和破解的难度都大幅增加。

九、BCrypt

BCrypt 在1999年就产生了，并且在对抗 GPU/ASIC 方面要优于 PBKDF2，但是我还是不建议你在新系统中使用它，因为它在离线破解的威胁模型分析中表现并不突出。

十、SCrypt

SCrypt 在如今是一个更好的选择：比 BCrypt设计得更好（尤其是关于内存方面）并且已经在该领域工作了 10 年。另一方面，它也被用于许多加密货币，并且我们有一些硬件（包括 FPGA 和 ASIC）能实现它。 尽管它们专门用于采矿，也可以将其重新用于破解。

3. 目前金融业主流加密算法是RSA还是椭圆曲线

当然是RSA。椭圆曲线是比较安全，但是计算量也要大一些。而且，金融是一个比较保守的行业。很可能觉得椭圆曲线还是太“新”了，其安全性需要时间来证明。

4. 高中生如何理解比特币加密算法

加密算法是数字货币的基石，比特币的公钥体系采用椭圆曲线算法来保证交易的安全性。这是因为要攻破椭圆曲线加密就要面对离散对数难题，目前为止还没有找到在多项式时间内解决的办法，在算法所用的空间足够大的情况下，被认为是安全的。本文不涉及高深的数学理论，希望高中生都能看懂。

密码学具有久远的历史，几乎人人都可以构造出加解密的方法，比如说简单地循环移位。古老或简单的方法需要保密加密算法和秘钥。但是从历史上长期的攻防斗争来看，基于加密方式的保密并不可靠，同时，长期以来，秘钥的传递也是一个很大的问题，往往面临秘钥泄漏或遭遇中间人攻击的风险。

上世纪70年代，密码学迎来了突破。Ralph C. Merkle在1974年首先提出非对称加密的思想，两年以后，Whitfield Diffie和Whitfield Diffie两位学者以单向函数和单向暗门函数为基础提出了具体的思路。随后，大量的研究和算法涌现，其中最为着名的就是RSA算法和一系列的椭圆曲线算法。

无论哪一种算法，都是站在前人的肩膀之上，主要以素数为研究对象的数论的发展，群论和有限域理论为基础。内容加密的秘钥不再需要传递，而是通过运算产生，这样，即使在不安全的网络中进行通信也是安全的。密文的破解依赖于秘钥的破解，但秘钥的破解面临难题，对于RSA算法，这个难题是大数因式分解，对于椭圆曲线算法，这个难题是类离散对数求解。两者在目前都没有多项式时间内的解决办法，也就是说，当位数增多时，难度差不多时指数级上升的。

那么加解密如何在公私钥体系中进行的呢？一句话，通过在一个有限域内的运算进行，这是因为加解密都必须是精确的。一个有限域就是一个具有有限个元素的集合。加密就是在把其中一个元素映射到另一个元素，而解密就是再做一次映射。而有限域的构成与素数的性质有关。

前段时间，黎曼猜想（与素数定理关系密切）被热炒的时候，有一位区块链项目的技术总监说椭圆曲线算法与素数无关，不受黎曼猜想证明的影响，就完全是瞎说了。可见区块链项目内鱼龙混杂，确实需要好好洗洗。

比特币及多数区块链项目采用的公钥体系都是椭圆曲线算法，而非RSA。而介绍椭圆曲线算法之前，了解一下离散对数问题对其安全性的理解很有帮助。

先来看一下 费马小定理 ：

原根 定义：
设（a, p)=1 （a与p互素），满足

的最下正整数 l，叫作a模p的阶，模p阶为（最大值）p-1的整数a叫作模p的原根。

两个定理：

基于此，我们可以看到，{1, 2, 3, … p-1} 就是一个有限域，而且定义运算 gi (mod p), 落在这个有限域内，同时，当i取0～p-2的不同数时，运算结果不同。这和我们在高中学到的求幂基本上是一样的，只不过加了一层求模运算而已。

另一点需要说明的是，g的指数可以不限于0~p-2, 其实可以是所有自然数，但是由于

所以，所有的函数值都是在有限域内，而且是连续循环的。

离散对数定义：
设g为模p的原根，（a,p) = 1，

我们称 i 为a（对于模p的原根g）的指数，表示成：

这里ind 就是 index的前3个字母。
这个定义是不是和log的定义很像？其实这也就是我们高中学到的对数定义的扩展，只不过现在应用到一个有限域上。

但是，这与实数域上的对数计算不同，实数域是一个连续空间，其上的对数计算有公式和规律可循，但往往很难做到精确。我们的加密体系里需要精确，但是在一个有限域上的运算极为困难，当你知道幂值a和对数底g，求其离散对数值i非常困难。

当选择的素数P足够大时，求i在时间上和运算量上变得不可能。因此我们可以说i是不能被计算出来的，也就是说是安全的，不能被破解的。

比特币的椭圆曲线算法具体而言采用的是 secp256k1算法。网上关于椭圆曲线算法的介绍很多，这里不做详细阐述，大家只要知道其实它是一个三次曲线（不是一个椭圆函数），定义如下：

那么这里有参数a, b；取值不同，椭圆曲线也就不同，当然x, y 这里定义在实数域上，在密码体系里是行不通的，真正采用的时候，x, y要定义在一个有限域上，都是自然数，而且小于一个素数P。那么当这个椭圆曲线定义好后，它反应在坐标系中就是一些离散的点，一点也不像曲线。但是，在设定的有限域上，其各种运算是完备的。也就是说，能够通过加密运算找到对应的点，通过解密运算得到加密前的点。

同时，与前面讲到的离散对数问题一样，我们希望在这个椭圆曲线的离散点阵中找到一个有限的子群，其具有我们前面提到的遍历和循环性质。而我们的所有计算将使用这个子群。这样就建立好了我们需要的一个有限域。那么这里就需要子群的阶（一个素数n）和在子群中的基点G（一个坐标，它通过加法运算可以遍历n阶子群）。

根据上面的描述，我们知道椭圆曲线的定义包含一个五元祖（P, a, b, G, n, h)；具体的定义和概念如下：

P: 一个大素数，用来定义椭圆曲线的有限域（群）
a, b: 椭圆曲线的参数，定义椭圆曲线函数
G: 循环子群中的基点，运算的基础
n: 循环子群的阶（另一个大素数，< P ）
h：子群的相关因子，也即群的阶除以子群的阶的整数部分。

好了，是时候来看一下比特币的椭圆曲线算法是一个怎样的椭圆曲线了。简单地说，就是上述参数取以下值的椭圆曲线：

椭圆曲线定义了加法，其定义是两个点相连，交与图像的第三点的关于x轴的对称点为两个点的和。网上这部分内容已经有很多，这里不就其细节进行阐述。

但细心的同学可能有个疑问，离散对数问题的难题表现在求幂容易，但求其指数非常难，然而，椭圆曲线算法中，没有求幂，只有求乘积。这怎么体现的是离散对数问题呢？

其实，这是一个定义问题，最初椭圆曲线算法定义的时候把这种运算定义为求和，但是，你只要把这种运算定义为求积，整个体系也是没有问题的。而且如果定义为求积，你会发现所有的操作形式上和离散对数问题一致，在有限域的选择的原则上也是一致的。所以，本质上这还是一个离散对数问题。但又不完全是简单的离散对数问题，实际上比一般的离散对数问题要难，因为这里不是简单地求数的离散对数，而是在一个自定义的计算上求类似于离散对数的值。这也是为什么椭圆曲线算法采用比RSA所需要的（一般2048位）少得多的私钥位数（256位）就非常安全了。

5. 比特币源码研读一:椭圆曲线在比特币密码中的加密原理

参加比特币源码研读班后首次写作，看到前辈black写的有关密钥，地址写的很好了，就选了他没有写的椭圆曲线，斗胆写这一篇。

在密码学上有两种加密方式，分别是对称密钥加密和非对称密钥加密。

对称加密：加密和解密使用的同样的密钥。

非对称加密：加密和解密是使用的不同的密钥。

二战中图灵破解德军的恩尼格码应该就是用的对称加密，因为他的加密和解密是同一个密钥。比特币的加密是非对称加密，而且用的是破解难度较大的椭圆曲线加密，简称ECC。

非对称加密的通用原理就是用一个难以解决的数学难题做到加密效果，比如RSA加密算法。RSA加密算法是用求解一个极大整数的因数的难题做到加密效果的。就是说两个极大数相乘，得到乘积很容易，但是反过来算数一个极大整数是由哪两个数乘积算出来的就非常困难。

下面简要介绍一下椭圆曲线加密算法ECC。

首先椭圆曲线的通式是这个样子的：

一般简化为这个样子：

()发公式必须吐槽一下，太麻烦了。)

其中

这样做就排除了带有奇点的椭圆曲线，可以理解为所有的点都有一条切线。

图像有几种，下面列举几个：[1]

椭圆曲线其实跟椭圆关系不大，也不像圆锥曲线那样，是有圆锥的物理模型为基础的。在计算椭圆曲线的周长时，需要用到椭圆积分，而椭圆曲线的简化通式：

，周长公式在变换后有一项是这样的：，平方之后两者基本一样。

我们大体了解了椭圆曲线，就会有一个疑问，这个东西怎么加密的呢？也就是说椭圆曲线是基于怎样的数学难题呢？在此之前还得了解一些最少必要知识：椭圆曲线加法，离散型椭圆曲线。

椭圆曲线加法

数学家门从普通的代数运算中，抽象出了加群（也叫阿贝尔群或交换群），使得在加群中，实数的算法和椭圆曲线的算法得到统一。

数学中的“群”是一个由我们定义了一种二元运算的集合，二元运算我们称之为“加法”，并用符号“+”来表示。为了让一个集合G成为群，必须定义加法运算并使之具有以下四个特性：

1. 封闭性：如果a和b是集合G中的元素，那么（a + b)也是集合G中的元素。

2. 结合律：(a + b) + c = a + (b + c);

3. 存在单位元0，使得a + 0 = 0 + a =a;

4. 每个元素都有逆元，即：对于任意a，存在b，使得a + b = 0.

如果我们增加第5个条件：

5. 交换律： a + b = b + a

那么，称这个群为阿贝尔群。[1]

运算法则：任意取椭圆曲线上两点P、Q （若P、Q两点重合，则做P点的切线）做直线交于椭圆曲线的另一点R’，过R’做y轴的平行线交于R。我们规定P+Q=R。（如图）[2]

特别的，当P和Q重合时，P+Q=P+P=2P，对于共线的三点，P，Q，R’有P+Q+R’=0∞.

这里的0∞不是实数意义的0，而是指的无穷远点(这里的无穷远点就不细说了，你可以理解为这个点非常遥远，遥远到两条平行线都在这一点相交了。具体介绍可以看参考文献[2])。

注意这里的R与R’之间的区别，P+Q=R，R并没有与P，Q共线，是R’与P，Q共线，不要搞错了。

法则详解：

这里的+不是实数中普通的加法，而是从普通加法中抽象出来的加法，他具备普通加法的一些性质，但具体的运算法则显然与普通加法不同。

根据这个法则，可以知道椭圆曲线无穷远点O∞与椭圆曲线上一点P的连线交于P’，过P’作y轴的平行线交于P，所以有无穷远点 O∞+ P = P 。这样，无穷远点 O∞的作用与普通加法中零的作用相当（0+2=2），我们把无穷远点 O∞ 称为零元。同时我们把P’称为P的负元（简称，负P；记作，-P）。（参见下图）

离散型椭圆曲线

上面给出的很好看的椭圆曲线是在实数域上的连续曲线，这个是不能用来加密的，原因我没有细究，但一定是连续曲线上的运算太简单。真正用于加密的椭圆曲线是离散型的。要想有一个离散型的椭圆曲线，先得有一个有限域。

域：在抽象代数中，域（Field）之一种可进行加、减、乘、除运算的代数结构。它是从普通实数的运算中抽像出来的。这一点与阿贝尔群很类似。只不过多了乘法，和与乘法相关的分配率。

域有如下性质[3]：

1.在加法和乘法上封闭，即域里的两个数相加或相乘的结果也在这个域中。

2.加法和乘法符合结合律，交换率，分配率。

3.存在加法单位，也可以叫做零元。即存在元素0，对于有限域内所有的元素a，有a+0=a。

4.存在乘法单位，也可以叫做单位元。即存在元素1，对于有限域内所有的元素a，有1*a=a。

5.存在加法逆元，即对于有限域中所有的元素a，都存在a+(-a)=0.

6.存在乘法逆元，即对于有限域中所有的元素a，都存在a*=0.

在掌握了这些知识后，我们将椭圆曲线离散化。我们给出一个有限域Fp，这个域只有有限个元素。Fp中只有p(p为素数)个元素0,1,2 …… p-2,p-1；

Fp 的加法（a+b）法则是 a+b≡c (mod p)；它的意思是同余，即（a+b）÷p的余数与c÷p的余数相同。

Fp 的乘法(a×b)法则是 a×b≡c (mod p)；

Fp 的除法(a÷b)法则是 a/b≡c (mod p)；即 a×b∧-1≡c (mod p)；（也是一个0到p-1之间的整数，但满足b×b∧-1≡1 (mod p)；

Fp 的单位元是1，零元是 0（这里的0就不是无穷远点了，而是真正的实数0）。

下面我们就试着把

这条曲线定义在Fp上：

选择两个满足下列条件的小于p(p为素数)的非负整数a、b，且a，b满足

则满足下列方程的所有点(x,y)，再加上无穷远点O∞ ，构成一条椭圆曲线。

其中 x,y属于0到p-1间的整数，并将这条椭圆曲线记为Ep(a,b)。

图是我手画的，大家凑合看哈。不得不说，p取7时，别看只有10个点，但计算量还是很大的。

Fp上的椭圆曲线同样有加法，法则如下：

        1. 无穷远点 O∞是零元，有O∞+ O∞= O∞，O∞+P=P

        2. P(x,y)的负元是 (x,-y)，有P+(-P)= O∞

3. P(x1,y1),Q(x2,y2)的和R(x3,y3) 有如下关系：

x3≡-x1-x2(mod p)

y3≡k(x1-x3)-y1(mod p)

其中若P=Q 则 k=(3+a)/2y1 若P≠Q，则k=(y2-y1)/(x2-x1)

通过这些法则，就可以进行离散型椭圆曲线的计算。

例：根据我画的图，（1，1）中的点P（2，4），求2P。

解：把点带入公式k=(3*x∧2+a)/2y1

有（3*2∧2+1）/2*4=6（mod 7）.

(注意，有些小伙伴可能算出13/8,这是不对的，这里是模数算数，就像钟表一样，过了12点又回到1点，所以在模为7的世界里，13=6，8=1).

x=6*6-2-2=4（mod 7）

y=6*（2-4）-4=2 （mod 7）

所以2P的坐标为（2，4）

那椭圆曲线上有什么难题呢？在模数足够大的情况下，上面这个计算过程的逆运算就足够难。

给出如下等式：

K=kG （其中 K,G为Ep(a,b)上的点，k为小于n（n是点G的阶）的整数）不难发现，给定k和G，根据加法法则，计算K很容易；但给定K和G，求k就相对困难了。

这就是椭圆曲线加密算法采用的难题。我们把点G称为基点（base point），k称为私钥，K称为公钥。

现在我们描述一个利用椭圆曲线进行加密通信的过程[2]：

1、用户A选定一条椭圆曲线Ep(a,b)，并取椭圆曲线上一点，作为基点G。

2、用户A选择一个私钥k，并生成公钥K=kG。

3、用户A将Ep(a,b)和点K，G传给用户B。

4、用户B接到信息后 ，将待传输的明文编码到Ep(a,b)上一点M（编码方法很多，这里不作讨论），并产生一个随机整数r（r<n）。

5、用户B计算点C1=M+rK；C2=rG。

6、用户B将C1、C2传给用户A。

7、用户A接到信息后，计算C1-kC2，结果就是点M。因为

C1-kC2=M+rK-k(rG)=M+rK-r(kG)=M

再对点M进行解码就可以得到明文。

整个过程如下图所示：

密码学中，描述一条Fp上的椭圆曲线，常用到六个参量：

T=(p,a,b,G,n,h)，p 、a 、b 用来确定一条椭圆曲线，G为基点，n为点G的阶，h 是椭圆曲线上所有点的个数m与n相除的整数部分

这几个参量取值的选择，直接影响了加密的安全性。参量值一般要求满足以下几个条件：

1、p 当然越大越安全，但越大，计算速度会变慢，200位左右可以满足一般安全要求；

2、p≠n×h；

3、pt≠1 (mod n)，1≤t<20；

4、4a3+27b2≠0 (mod p)；

5、n 为素数；

6、h≤4。

200位位的一个数字，那得多大？而且还是素数，所以这种方式是非常安全的。而且再一次交易中，区块被记录下来只有10分钟的时间，也就是说要想解决这个难题必须在10分钟以内。即便有技术能够在10分钟以内破解了现在这个难度的加密算法，比特币社区还可以予以反制，提高破解难度。所以比特币交易很安全，除非自己丢掉密钥，否则不存在被破解可能。

第一次写一个完全陌生的数学领域的知识，也许我有错误的地方，也许有没讲明白的地方，留言讨论吧。总之写完后对比特比系统的安全性表示很放心。

参考文献

[1] 椭圆曲线密码学简介

[2] 什么是椭圆曲线加密（ECC）

[3] 域（数学）维基网络

区块链研习社源码研读班 高若翔

6. 椭圆曲线加密算法

椭圆曲线加密算法，即：Elliptic Curve Cryptography，简称ECC，是基于椭圆曲线数学理论实现的一种非对称加密算法。相比RSA，ECC优势是可以使用更短的密钥，来实现与RSA相当或更高的安全。据研究，160位ECC加密安全性相当于1024位RSA加密，210位ECC加密安全性相当于2048位RSA加密。

椭圆曲线在密码学中的使用，是1985年由Neal Koblitz和Victor Miller分别独立提出的。

一般情况下，椭圆曲线可用下列方程式来表示，其中a,b,c,d为系数。

例如，当a=1,b=0,c=-2,d=4时，所得到的椭圆曲线为:

该椭圆曲线E的图像如图X-1所示，可以看出根本就不是椭圆形。

过曲线上的两点A、B画一条直线，找到直线与椭圆曲线的交点，交点关于x轴对称位置的点，定义为A+B，即为加法。如下图所示：A + B = C

上述方法无法解释A + A，即两点重合的情况。因此在这种情况下，将椭圆曲线在A点的切线，与椭圆曲线的交点，交点关于x轴对称位置的点，定义为A + A，即2A，即为二倍运算。

将A关于x轴对称位置的点定义为-A，即椭圆曲线的正负取反运算。如下图所示：

如果将A与-A相加，过A与-A的直线平行于y轴，可以认为直线与椭圆曲线相交于无穷远点。

综上，定义了A+B、2A运算，因此给定椭圆曲线的某一点G，可以求出2G、3G（即G + 2G）、4G......。即：当给定G点时，已知x，求xG点并不困难。反之，已知xG点，求x则非常困难。此即为椭圆曲线加密算法背后的数学原理。

椭圆曲线要形成一条光滑的曲线，要求x,y取值均为实数，即实数域上的椭圆曲线。但椭圆曲线加密算法，并非使用实数域，而是使用有限域。按数论定义，有限域GF(p)指给定某个质数p，由0、1、2......p-1共p个元素组成的整数集合中定义的加减乘除运算。

假设椭圆曲线为y² = x³ + x + 1，其在有限域GF(23)上时，写作：y² ≡ x³ + x + 1 (mod 23)

此时，椭圆曲线不再是一条光滑曲线，而是一些不连续的点，如下图所示。以点(1,7)为例，7² ≡ 1³ + 1 + 1 ≡ 3 (mod 23)。如此还有如下点：

(0,1) (0,22)(1,7) (1,16)(3,10) (3,13)(4,0)(5,4) (5,19)(6,4) (6,19)(7,11) (7,12)(9,7) (9,16)(11,3) (11,20)等等。

另外，如果P(x,y)为椭圆曲线上的点，则-P即(x,-y)也为椭圆曲线上的点。如点P(0,1)，-P=(0,-1)=(0,22)也为椭圆曲线上的点。

相关公式如下：有限域GF(p)上的椭圆曲线y² = x³ + ax + b，若P(Xp, Yp), Q(Xq, Yq)，且P≠-Q，则R(Xr,Yr) = P+Q 由如下规则确定：

Xr = (λ² - Xp - Xq) mod pYr = (λ(Xp - Xr) - Yp) mod p其中λ = (Yq - Yp)/(Xq - Xp) mod p（若P≠Q）, λ = (3Xp² + a)/2Yp mod p（若P=Q）

因此，有限域GF(23)上的椭圆曲线y² ≡ x³ + x + 1 (mod 23)，假设以(0,1)为G点，计算2G、3G、4G...xG等等，方法如下：

计算2G：λ = (3x0² + 1)/2x1 mod 23 = (1/2) mod 23 = 12Xr = (12² - 0 - 0) mod 23 = 6Yr = (12(0 - 6) - 1) mod 23 = 19即2G为点(6,19)

计算3G：3G = G + 2G，即(0,1) + (6,19)λ = (19 - 1)/(6 - 0) mod 23 = 3Xr = (3² - 0 - 6) mod 23 = 3Yr = (3(0 - 3) - 1) mod 23 = 13即3G为点(3, 13)

建立基于椭圆曲线的加密机制，需要找到类似RSA质因子分解或其他求离散对数这样的难题。而椭圆曲线上的已知G和xG求x，是非常困难的，此即为椭圆曲线上的的离散对数问题。此处x即为私钥，xG即为公钥。

椭圆曲线加密算法原理如下：

设私钥、公钥分别为k、K，即K = kG，其中G为G点。

公钥加密：选择随机数r，将消息M生成密文C，该密文是一个点对，即：C = {rG, M+rK}，其中K为公钥

私钥解密：M + rK - k(rG) = M + r(kG) - k(rG) = M其中k、K分别为私钥、公钥。

椭圆曲线签名算法，即ECDSA。设私钥、公钥分别为k、K，即K = kG，其中G为G点。

私钥签名：1、选择随机数r，计算点rG(x, y)。2、根据随机数r、消息M的哈希h、私钥k，计算s = (h + kx)/r。3、将消息M、和签名{rG, s}发给接收方。

公钥验证签名：1、接收方收到消息M、以及签名{rG=(x,y), s}。2、根据消息求哈希h。3、使用发送方公钥K计算：hG/s + xK/s，并与rG比较，如相等即验签成功。

原理如下：hG/s + xK/s = hG/s + x(kG)/s = (h+xk)G/s= r(h+xk)G / (h+kx) = rG

假设要签名的消息是一个字符串：“Hello World!”。DSA签名的第一个步骤是对待签名的消息生成一个消息摘要。不同的签名算法使用不同的消息摘要算法。而ECDSA256使用SHA256生成256比特的摘要。
摘要生成结束后，应用签名算法对摘要进行签名：
产生一个随机数k
利用随机数k，计算出两个大数r和s。将r和s拼在一起就构成了对消息摘要的签名。
这里需要注意的是，因为随机数k的存在，对于同一条消息，使用同一个算法，产生的签名是不一样的。从函数的角度来理解，签名函数对同样的输入会产生不同的输出。因为函数内部会将随机值混入签名的过程。

关于验证过程，这里不讨论它的算法细节。从宏观上看，消息的接收方从签名中分离出r和s，然后利用公开的密钥信息和s计算出r。如果计算出的r和接收到的r值相同，则表示验证成功。否则，表示验证失败。

7. 椭圆曲线(ecc)加密，签名（ecdsa)问题。

用asp实现椭圆曲线加密，签名。
一个你可以下载一个加密软件，可心在www,.com中搜索加密软件，加密软件很多，你要椭圆曲线加密，签名，你先建立一个文件夹，然后将椭圆保存，对文件夹加密就行了！

8. ECC椭圆曲线密码应用

1背景简介
随着通讯网络特别是Internet的高速发展，利用网络作为信息交流和信息处理变得越来越普遍，社会的传统事务和业务运作模式受到前所未有的冲击。目前，无论是国家政府还是企业都正融入这场网络革命中，从其原来的传统经营模式向网络模式演化。未来的电子政务、电子商务、电子业务将成为不可逆转的发展趋势。在与日俱增的网络活动中，人们越来越关心信息安全这个问题。这集中体现在：

（1）网络的身份认证——确认网络客户的真实身份
（2）信息和数据的保密性——个人或系统机密信息和数据保护
（3）信息和数据完整性——防止不合法的数据修改
（4）不可抵赖性——网络环境下行为的事后的不可抵赖（数字签名）
信息安全中最核心的技术是密码技术，基本上可分为序列密码、对称密码（又称分组密码）、非对称密码（又称公钥密码）三种。

非对称密码算法是支撑解决以上所涉的四个关键方面的问题的核心。目前越来越流行的是基于PKI体系模型的解决方案。在PKI体系模型中，客户端需要一较好的个人信息安全载体，智能卡或智能密码钥匙将是一较理想的方式，都必须支持公钥算法，而ECC是最适合使用在这一资源受限制的客户端产品中。

2 椭圆曲线密码算法ECC

自公钥密码问世以来，学者们提出了许多种公钥加密方法，它们的安全性都是基于复杂的数学难题。根据所基于的数学难题来分类，有以下三类系统目前被认为是安全和有效的：

（1）大整数因子分解系统(代表性的有RSA)，

（2）有限域（数学中的一种代数结构）离散对数系统(代表性的有DSA)，

（3）有限域椭园曲线离散对数系统(ECC)。

当前最着名、应用最广泛的公钥系统RSA是由Rivet、Shamir、Adelman提出 的(简称为RSA系统)，它的安全性是基于大整数素因子分解的困难性，而大整数因子分解问题是数学上的着名难题，至今没有有效的方法予以解决，因此可以确保RSA算法的安全性。RSA系统是公钥系统的最具有典型意义的方法，大多数使用公钥密码进行加密和数字签名的产品和标准使用的都是RSA算法。RSA方法的优点主要在于原理简单，易于使用。但是，随着分解大整数方法的进步及完善、计算机速度的提高以及计算机网络的发展（可以使用成千上万台机器同时进行大整数分解），作为RSA加解密安全保障的大整数要求越来越大。为了保证RSA使用的安全性，其密钥的位数一直在增加，比如，目前一般认为RSA需要1024位以上的字长才有安全保障。

但是，密钥长度的增加导致了其加解密的速度大为降低，硬件实现也变得越来越难以忍受，这对使用RSA的应用带来了很重的负担，对进行大量安全交易的电子商务更是如此，从而使得其应用范围越来越受到制约。DSA（Data Signature Algorithm）是基于有限域离散对数问题的数字签名标准，它仅提供数字签名，不提供数据加密功能。安全性更高、算法实现性能更好的公钥系统椭圆曲线加密算法ECC（Elliptic Curve Cryptography）基于有限域上椭圆曲线的离散对数计算困难性。人类研究椭圆曲线已有百年以上的历史，但真正把其应用到密码学中是1985年由Koblitz(美国华盛顿大学)和Miller(IBM公司) 两人提出。定义在有限域（Fp 或F(2m)）的椭圆曲线(y2=x3+ax+b)上的点（x,y），再加上无穷点O，如按一定的规则运算（估且称为乘法）将组成一个群（数学中的一种代数结构）。有限域上椭圆曲线乘法群也有相对应的离散对数计算困难性问题。因此，许多公开密码系统都是基于此问题发展出来的，如类似ELGamal,DSA等密码系统的ECES，ECDSA。

3 椭圆曲线加密算法ECC的优点

椭圆曲线加密算法ECC与RSA方法相比有着很多技术优点：

●安全性能更高

加密算法的安全性能一般通过该算法的抗攻击强度来反映。ECC和其他几种公钥系统相比，其抗攻击性具有绝对的优势。椭圆曲线的离散对数计算困难性（ECDLP）在计算复杂度上目前是完全指数级，而RSA 亚指数级的。这体现ECC比RSA的每bit安全性能更高。

●计算量小和处理速度快

在一定的相同的计算资源条件下，虽然在RSA中可以通过选取较小的公钥（可以小到3）的方法提高公钥处理速度，即提高加密和签名验证的速度，使其在加密和签名验证速度上与ECC有可比性，但在私钥的处理速度上（解密和签名），ECC远比RSA、DSA快得多。因此ECC总的速度比RSA、DSA要快得多。同时ECC系统的密钥生成速度比RSA快百倍以上。因此在相同条件下，ECC则有更高的加密性能。

●存储空间占用小

ECC的密钥尺寸和系统参数与RSA、DSA相比要小得多。160位 ECC与1024位 RSA、DSA有相同的安全强度。而210位 ECC则与2048bit RSA、DSA具有相同的安全强度。意味着它所占的存贮空间要小得多。这对于加密算法在资源受限环境上（如智能卡等）的应用具有特别重要的意义。

●带宽要求低

当对长消息进行加解密时，三类密码系统有相同的带宽要求，但应用于短消息时ECC带宽要求却低得多。而公钥加密系统多用于短消息，例如用于数字签名和用于对对称系统的会话密钥传递。带宽要求低使ECC在无线网络领域具有广泛的应用前景。

4椭圆曲线加密算法ECC的相关标准

ECC的这些特点使它在某些领域（如PDA、手机、智能卡）的应用将取代RSA，并成为通用的公钥加密算法。许多国际标准化组织(政府、工业界、金融界、商业界等)已将各种椭圆曲线密码体制作为其标准化文件向全球颁布。ECC标准大体可以分为两种形式：一类是技术标准，即描述以技术支撑为主的ECC体制，主要有IEEEP1363、ANSI X9.62、ANSI X9.63、SEC1、SEC2、FIP 186-2、ISO/IEC 14888-3。规范了ECC的各种参数的选择，并给出了各级安全强度下的一组ECC参数。另一类是应用标准，即在具体的应用环境中建议使用ECC技术，主要有ISO/IEC 15946、IETF PKIX、IETF TLS、WAP WTLS等。在标准化的同时，一些基于标准（或草案）的各种椭圆曲线加密、签名、密钥交换的软、硬件也相继问世。美国RSA数据安全公司在1997年公布了包含ECC的密码引擎工具包BSAFE 4.0; 以加拿大Certicom为首的安全公司和工业界联合也研制、生产了以椭圆曲线密码算法为核心的密码产品，还提出了各种安全条件下对椭圆曲线离散对数攻击的悬赏挑战。可以相信，ECC技术在信息安全领域中的应用会越来越广。

9. 理解椭圆曲线加密算法

椭圆曲线加密算法，即：Elliptic Curve Cryptography，简称ECC，是基于椭圆曲线数学理论实现的一种非对称加密算法。相比RSA，ECC优势是可以使用更短的密钥，来实现与RSA相当或更高的安全。据研究，160位ECC加密安全性相当于1024位RSA加密，210位ECC加密安全性相当于2048位RSA加密。

一般椭圆曲线方程式表示为:(其中a,b,c,d为系数)
> y2=ax3+ bx2+cx+d
典型的椭圆曲线如：y2=x3−4x2+16

先摆一个栗子：

小米很难算到的那个数，就是公钥密码算法中的私钥（一个公钥密码算法安全的必要条件（非充分）是“由公钥不能反推出私钥”），公钥密码算法最根本的原理是利用信息的不对称性：即掌握私钥的人在整个通信过程中掌握最多的信息。
椭圆曲线加密算法是一个基于加法阶数难求问题的密码方案。 对于椭圆曲线来讲，椭圆曲线的基点就是例子里面的5，而私钥就是基点的加法阶数（例子里面的11），公钥是基点（5）进行对应阶数的加法（11次）得到的结果（55）。

简单描述就是:G * k = K （G,K公开，k保密）

上述例子相对简单，椭圆曲线加密算法里的加法建立在 “有限域上的二元三次曲线上的点”上 ，组成一个“有限加法循环群”。具体的说，这个加法的几何定义如下图，两个点的加法结果是指这两点的连线和曲线的交点关于x轴的镜像。

如果我们从某一点出发（所谓的单位元，比如正整数域的1，代表一个空间里的最基本单元），不停做自增操作（所谓群操作，比如++），枚举出整个空间的集合元素。如图：

因此给定椭圆曲线的某一点G，从G出发，不停做切线，找对称点，依次得到-2G，2G，-4G，4G，-8G，8G... 。即：当给定G点时，已知x，求xG点并不困难。反之，已知xG点，求x则非常困难。即Q = NG，N就是我们的私钥，Q就是我们的公钥。

现在我们知道了公钥(Q)和私钥(N)的生成的原理,我们在看看椭圆曲线数字签名算法(ECDSA)的过程,椭圆曲线数字签名算法（ECDSA）是使用椭圆曲线密码（ECC）对数字签名算法（DSA）的模拟。ECDSA于1999年成为ANSI标准，并于2000年成为IEEE和NIST标准。

私钥主要用于 签名，解密 ；公钥主要用于 验签，加密 ，可以通过私钥可以计算出公钥，反之则不行。
公钥加密：公钥加密的内容可以用私钥来解密——只有私钥持有者才能解密。
私钥签名：私钥签名的内容可以用公钥验证。公钥能验证的签名均可视为私钥持有人所签署。

通常需要六个参数来描叙一个特定的椭圆曲线:T = (p, a, b, G, n, h).
p: 代表有限域Fp的那个质数 a,b：椭圆方程的参数 G: 椭圆曲线上的一个基点G = (xG, yG) n：G在Fp中规定的序号，一个质数。 h：余因数（cofactor），控制选取点的密度。h = #E(Fp) / n。

这里以secp256k1曲线(比特币签名所使用的曲线)为例介绍一下公私钥对的产生的过成。
secp256k1的参数为：

本质上ECDSA的私钥就是一个随机数满足在曲线G的n阶里及k∈(0,n),根据Q=kG可以计算出公钥，生成的私钥一般为32字节大小，公钥通常为64个字节大小。如：

ECDSA签名算法的输入是数据的哈希值，而不是数据的本身，我们假设用户的密钥对:（d, Q）；(d为私钥，Q为公钥) 待签名的信息：M； e = Hash(M);签名：Signature(e) = ( r, s)。

签名接口：

验证接口:

一个例子：