下周二停课1次.PDFVIP

下周二停课1次 4.椭圆曲线密码体制的安全性  目前的有效算法表明，在椭圆曲线上求 解离散对数问题，其算法复杂性是完全 指数时间，因此一般认为它比大数分解 问题和Z *上的离散对数问题要难。 p 但对于某些椭圆曲线，已有一些有效攻 击方法。 例如当椭圆曲线点群E(Fq) 的阶也是q时， 就能容易求解离散对数，其有效算法由 Semave,Smart和Satoh,Araki分别独立给 出。这类椭圆曲线我们称为反常椭圆曲 线，在实际使用时应去除这类曲线。 除 此 之 外 ， Menizes,Okamoto 和 Vanstone(MOV) 提出了一种方法，当 (|E(F )|,q)=1 时，可将E(F ) 上的离散对 q q 数问题化归到有限域上的离散对数问题。 在构造椭圆曲线密码体制时，应避免上 述两类椭圆曲线。 用合适的椭圆曲线可以构造安全强度高 的公钥密码体制。 根据现有结论，使用160bit模的椭圆曲 线密码体制与1024bit模的RSA有同样的 密码安全强度，其加解密速度则比 1024bit模的RSA快近10倍，等同于RSA 采用低加密指数的速度，因此应用前景 有可能较广。 对于椭圆曲线E通常有2种情形：  (1)E是域Fp上的椭圆曲线，p为素数，a是E 中 阶为素数q=|E|/h的元素，典型的是h=1,2,4  (2) E是域F2n上的椭圆曲线，p为素数，a是E 中阶为素数q=|E|/h的元素，典型的是h=2,4  有估计，安全性要保持到2020年，一般应取p 为160位。 在2000年4月，联合了40个国家，9500台计算 机完成了Certicom公司发出的ECC2K-108挑 战，解决了定义在F2109上的椭圆曲线的离散对 数问题 3.5.5 概率加密 概 率 加 密 是 由 S.Goldwasser 和 S.Micali提出的。 基本想法是使公钥密码体制的信 息泄露为0 在多项式时间内由密文不能推出 明文或密钥的任何信息。 对给定的公开密钥，对一个确定的明文 加密总是得到一个相应的密文，因此攻 击者就可采用已知明文进行攻击。 如果对于一个明文，在给定密钥下，加 密结果不是确定的，而是概率的，使一 个明文在同一个密钥下可对应多个密文， 就使得上述攻击变得相当困难。 ElGamal 密码体制以及椭圆曲线上的 ElGamal密码体制属于这类。 定义中的条件(1)规定了加解密方法，特别是引进了  定义3.4 ：一个概率公钥密码体制是一个6 元组 随机数r。 (M,C,K,E,D,R) 。其中M 、C 、K分别是明文空间、 密文空间和密钥空间，E和D分别是公开加密规则 条件(2)则保证明文m的所有可能密文分布与mm的 集和秘密解密规则集，R为随机量空间，它们满足 所有可能密文分布是不可区分的，这就使得攻击者无 以下要求： 法确认密文是对应什么明文的。  (1)对每个k K ，每个E E ，D D ，有 k k  D (E (m,r))=m( 对  mM, rR) ， 并 且 当 k k mm(mM)时，有E (m,r)E (m,r) k k  其中Ek ：MR→C ，Dk ：C→M  (2)设ε是安全参数，对任意k K ，任意m M ，在C 上定义一个概率分布Pk,m 。  这里Pk,M(c)表示在给定密钥k和明文的条件下c是密 文的概率(概率在所有rR上计算) 。  如果m 、mM ，有mm且k K ，则概率分布Pk,m Pk,m’不是ε可区分的。 1.Goldwasser-Micali概率公