有趣的椭圆曲线加密

一、概述

椭圆曲线加密算法依赖于椭圆曲线理论，后者理论涵盖的知识比较深广，而且涉及数论中比较深奥的问题。经过数学家几百年的研究积累，已经有很多重要的成果，一些很棘手的数学难题依赖椭圆曲线理论得以解决（比如费马大定理）。

本文涉及的椭圆曲线知识只是抽取与密码学相关的很小的一个角落，涉及到很浅的理论的知识，同时也是一点比较肤浅的总结和认识，重点是利用椭圆曲线结合数学技巧阐述加密算法的过程和原理。

本文特意构造有比较多的实例方便理解其过程和原理。

二、椭圆曲线

椭圆曲线方程来源于椭圆积分，后者来最初来源于计算椭圆周长的问题，有一段时间的历史了，在欧拉时期就开始研究。椭圆周长没有精确的初等函数的公式表示，只有近似的公式表示，精确的椭圆周长可以用不定积分表示。

现在一般将形如如下形式的积分定义为椭圆积分：

( x ) = ∫ c x R [ t , P ( t ) ] d t " role="presentation"> f ( x ) = ∫ x c R [ t , P ( t ) − − − − √ ] d t

其中 R

是其两个参数的有理函数， P 是一个无重根的3或4阶多项式，而 c 是一个常数。椭圆曲线方程与 ( t ) " role="presentation"> P ( t )

表现形式比较相像。

数学上的椭圆曲线一般由如下形式给出：

E : y 2 = x 3 + a x 2 + b x + c

，其中判别式 Δ ( E ) = − 4 a 3 c + a 2 b 2 − 4 b 3 − 27 c 2 + 18 a b c ≠ 0 " role="presentation"> Δ ( E ) = − 4 a 3 c + a 2 b 2 − 4 b 3 − 27 c 2 + 18 a b c ≠ 0

椭圆曲线都是关于X轴对称的曲线。

典型的椭圆曲线如： y 2 = x 3 − 4 x 2 + 16

，其图像为：

更多的椭圆曲线图像：

限定 Δ" role="presentation"> Δ

不为零有特殊的意义。如果判别式 Δ ( E ) " role="presentation"> Δ ( E ) 等于零，由三次方程判别式判定理可知，方程 x 3 + a x 2 + b x + c = 0

存在二重根或者三重根，曲线表现为"自相交"或者有“尖点”。

两个典型的例子是:

C 1 : y 2 = x 3

C 2 : y 2 = x 3 + x 2

C 1

有三重根，表现为有"尖点"； C 2

有二重根，表现为“自相交”，它们都不是椭圆曲线，其图像分别如下：

在密码学中用到的椭圆曲线方程一般限定为：

E : y 2 = x 3 + a x + b

，其中 4 a 3 + 27 b 2 ≠ 0

。

也即是这里的二次项系数为0。

三、椭圆曲线算术

椭圆曲线上可以定义一些很有意思的特殊运算规则。一般来说会定义两种运算：加法和数乘运算。加法运算是点与点之间的运算；数乘运算基于加法运算，重复的加法运算就是数乘。

1、实数域的加法运算

1.1、加法运算的几何解释

已知椭圆曲线上两个不同的点 P

和 Q ，则这两个点之和 R = P + Q 可以通过如下操作得到：过 P 、 Q 两点做直线 L ，与椭圆曲线相交于第三点，该点关于X轴的对称点即是所求的 R

点。椭圆曲线的这种加法运算有比较明确的几何含义。如下所示：

以这种比较奇特的规则来定义加法运算会让人觉得比较怪异，其思想很可能是借鉴于求椭圆曲线有理解的方法（没有去严格考据）。

求椭圆曲线有理解考虑的问题是寻找有理点 ( x , y ) " role="presentation"> ( x , y )

使其满足椭圆曲线方程。其求解过程是在有限的已知有理点的集合中，选两个点 P 1 , P 2 ，作直线与椭圆曲线相交与第三点个有理点 Q 3 。此时如果再利用 P 1 , P 2 , Q 3 三个点中的任意两点作直线不能在产生新的有理解（因为他们本身是已经在一条直线上，不会产生新的交点），但是考虑 Q 3 关于X轴对称的点 Q ′ 3 必定也是有理点，于是可以利用 Q 3 ′ 与 P 1 或者 Q 3 ′ 与 P 2

继续做直线与椭圆曲线相交得到新的有理解，对新的交点再取对称点，以此迭代下去。由此利用交点的对称点作直线来生成新的交点，进而可逐步求解满足椭圆曲线的有理解。

椭圆曲线加法运算的规则中“取交点的对称点”正是与上述求解过程及其相似。

对于加法运算也有另外一种描述：若椭圆曲线上三个点在同一直线上，则他们的和为 O

，也即是 P + Q + R ′ = O ，其中的 O

是无穷远点或者零点。

更完整的椭圆曲线加法运算规则如下：

1、 O + O = O

，对任意的 P ，有 P + O = P ； O

看做零点，对加法运算没有实际贡献（类似于四则运算加法运算中的0）。

2、 ( x , y ) " role="presentation"> P = ( x , y )

的负元是关于X中对称的点 ( x , − y ) " role="presentation"> − P = ( x , − y ) （而不是关于原点对称）， ( − P ) = O " role="presentation"> P + ( − P ) = O 。过 P 和 − P 的直线与X轴垂直，实际上可以看做它与椭圆曲线相交于无穷远点（射影平面，也即是在欧式平面上添加了无穷远点和无穷远直线的平面），因此将也将 O

视作无穷远点。

3、计算 P

和 Q 的和是通过做过 P 和 Q 两点的直线，与椭圆曲线相交于第三点，再取该点关于X轴的对称点以此作为 P , Q

之和，正如上面的几何图形展示的那样。

4、计算 P

点（ P ≠ O ）的两倍时，是做该点的切线，再取交点 S 关于X轴的对称点 − S ，也即是 2 P = P + P = − S

容易验证，对于椭圆曲线上的点和 O

点组成的集合，以及集合上定义的二元加法运算，构成一个Abel群。单位元是 O 点， ( x , y ) " role="presentation"> P ( x , y ) 的逆元是 ( x , − y ) " role="presentation"> P ( x , − y )

，封闭性，结合性以及交换性也是显然满足的。

1.2、加法运算的代数解释

几何解释更直观，代数解释更有利于数值计算。

过曲线上 ( x p , y p ) " role="presentation"> P ( x p , y p )

和 ( x Q , y Q ) " role="presentation"> Q ( x Q , y Q ) 两点（ P 和 Q

不互为负元）做直线，求与曲线的第三个交点的问题是很容易用代数的方法来描述的。

也即是求：

y 2 = x 3 + a x + b ( 1 ) y − y p = k ( x − x p ) ( 2 ) " role="presentation"> { y 2 = x 3 + a x + b y − y p = k ( x − x p ) ( 1 ) ( 2 )

其中斜率 k = y Q − y P x Q − x P

。

将（2）代入（1）再利用次数对齐的方式容易求得第三个交点的对称点也即 P , Q

之和 ( x R , y R ) " role="presentation"> R ( x R , y R )

为：

x R = k 2 − x P − x Q

( x P − x R ) " role="presentation"> y R = − y P + k ( x P − x R )

如果需要计算倍乘，可以让多个点自身重复相加得到。例如 P + P = 2 P = R

，当 y P ≠ 0

时，代数描述为：

x R = ( 3 x 2 P + a 2 y P ) 2 − 2 x P

( x P − x R ) − y P " role="presentation"> y R = ( 3 x 2 P + a 2 y P ) ( x P − x R ) − y P

2、模素数P的加法运算

密码学中普遍采用的是有限域上的椭圆曲线，也即是变元和系数均在有限域中取值的椭圆曲线。使用模素数 p

的有限域 Z p ，将模运算引入到椭圆曲线算术中，变量和系数从集合 0 , 1 , 2 , . . . , p − 1

中取值而非是在实数上取值。

此时讨论椭圆曲线形式如下：

mod p = ( x 3 + a x + b ) mod p " role="presentation"> y 2 mod p = ( x 3 + a x + b ) mod p

其中 ( 4 a 3 + 27 b 2 ) mod p ≠ 0 mod p " role="presentation"> ( 4 a 3 + 27 b 2 ) mod p ≠ 0 mod p

，变量和系数均在 Z p

中取值。

将满足上式的所有非负整数对和 O

点记为集合 ( a , b ) " role="presentation"> E p ( a , b ) ，这是一个有限的离散点集。由此可知集合中的点分布在 ( 0 , 0 ) " role="presentation"> ( 0 , 0 ) 到 ( p − 1 , p − 1 ) " role="presentation"> ( p − 1 , p − 1 ) 的象限中，集合中的点有可能刚好也在椭圆曲线上，更多的可能是在椭圆曲线外。例如点 ( 13 , 7 ) " role="presentation"> ( 13 , 7 ) 是满足 mod 23 = ( x 3 + x + 1 ) mod 23 " role="presentation"> y 2 mod 23 = ( x 3 + x + 1 ) mod 23 的点，但是 ( 13 , 7 ) " role="presentation"> ( 13 , 7 )

并不在椭圆曲线上。

实际上，集合 ( a , b ) " role="presentation"> E p ( a , b )

与模 p

的加法运算构成循环阿贝尔群，其生成元，阶和生成子群问题在本节后面会讨论。

对于较小的素数 p

，完全可以暴力穷举找出集合 ( a , b ) " role="presentation"> E p ( a , b ) 中的点。比如参数 a = 1 , b = 3 , p = 23 ， ( 1 , 3 ) " role="presentation"> E 23 ( 1 , 3 )

有27个点（包含O点），暴力穷举这些点分别为（第八节给出了一些分析椭圆曲线问题的demo实现）：

( a , b ) " role="presentation"> E p ( a , b )

上的加法规则和实数域上的加法基本一致，只是多加了模运算。但是模 p

的加法没有显而易见的几何解释，只有代数描述。

求解 ( x R , y R ) " role="presentation"> ( x R , y R )

的代数表达式为：

( λ 2 − x P − x Q ) mod p " role="presentation"> x R = ( λ 2 − x P − x Q ) mod p

( λ ( x P − x R ) − y P ) mod p " role="presentation"> y R = ( λ ( x P − x R ) − y P ) mod p

其中

( y Q − y P x Q − x P ) mod p ( P ≠ Q ) ( 3 x P 2 + a 2 y P ) mod p ( P = Q ) " role="presentation"> λ = ⎧ ⎩ ⎨ ⎪ ⎪ ( y Q − y P x Q − x P ) mod p ( 3 x 2 P + a 2 y P ) mod p ( P ≠ Q ) ( P = Q )

例如 ( 3 , 10 ) , Q ( 13 , 16 ) " role="presentation"> a = 1 , b = 1 , p = 23 , P ( 3 , 10 ) , Q ( 13 , 16 )

，求 R = P + Q

.

此时 P ≠ Q

，计算 ( y Q − y P x Q − x P ) mod p = ( 16 − 10 13 − 3 ) mod 23 = 6 × 10 − 1 mod 23 " role="presentation"> λ = ( y Q − y P x Q − x P ) mod p = ( 16 − 10 13 − 3 ) mod 23 = 6 × 10 − 1 mod 23

.

要计算上式首先要计算 mod 23 " role="presentation"> 10 − 1 mod 23

.

令 ( mod 23 ) " role="presentation"> x ≡ 10 − 1 ( mod 23 )

，由于 ( mod 23 ) " role="presentation"> 10 ≡ 10 ( mod 23 ) ，所以 ( mod 23 ) " role="presentation"> 10 x ≡ 1 ( mod 23 ) ，利用扩展欧几里德算法求得 x = 7

.

mod 23 = 19 " role="presentation"> λ = 6 × 7 mod 23 = 19

所以

( λ 2 − x P − x Q ) mod p = ( 19 2 − 3 − 13 ) mod 23 = 345 mod 23 = 0 " role="presentation"> x R = ( λ 2 − x P − x Q ) mod p = ( 19 2 − 3 − 13 ) mod 23 = 345 mod 23 = 0

( λ ( x P − x R ) − y P ) mod p = ( 19 × ( 3 − 0 ) − 10 ) mod 23 = 47 mod 23 = 1 " role="presentation"> y R = ( λ ( x P − x R ) − y P ) mod p = ( 19 × ( 3 − 0 ) − 10 ) mod 23 = 47 mod 23 = 1

所以 ( 0 , 1 ) " role="presentation"> R = ( 0 , 1 )

.

还可以按照以上规则计算 2 P , 3 P

等等倍乘点。

实际上 ( 1 , 1 ) " role="presentation"> E 23 ( 1 , 1 )

中共有28个点（包含无穷远点 O ），以 ( 3 , 10 ) " role="presentation"> P ( 3 , 10 ) 开始的所有倍乘点： P , 2 P , 3 P . . .27 P , 28 P

可以暴力计算得出:

容易验证，上述计算过程中 ( 13 , 16 ) " role="presentation"> Q ( 13 , 16 )

点就是 8 P ， ( 0 , 1 ) " role="presentation"> P + Q = P + 8 P = 9 P = ( 0 , 1 )

，与上述计算结果是吻合的，读者也可以验证更多的结果。

现在提出一个问题： ( a , b ) " role="presentation"> E p ( a , b )

中有多少个点呢？这个问题的准确答案并不好回答，但是有一些粗略的规律。

设 ( a , b ) " role="presentation"> E p ( a , b )

中点的个数为 N p ，并且 a p = p − N p ，实际上 N p 与 p

比较接近。

Hasse定理表明：

| a p | < 2 p – √

这实际上解释了 a p

的误差，从而有 − 2 p – √ < a p = p − N p < 2 p – √

也就是 p − 2 p – √ < N p < p + 2 p – √

，等价于 p + 1 − 2 p – √ ⩽ N p ⩽ p + 1 + 2 p – √

接下来的一个问题是子群、生成元和阶：

不难得知，有限域上的椭圆曲线的点和加法运算构成一个有限交换群 S

。

以一个点 G

作为生成元，进行重复的加法运算，能够生成一个子群 S ′ 。群 S ′ 有可能与 S 相同，更有可能是 S

的一个真子群。

比如椭圆曲线为 y 2 = x 3 + x + 1

， p = 23

以 ( 3 , 10 ) " role="presentation"> G = ( 3 , 10 )

生成的子群刚好等于 S ，因为 28 G = O ，说明此时 S 还是一个有限循环群，群中每个元素都能由 ( 3 , 10 ) " role="presentation"> ( 3 , 10 ) 通过重复的加法运算得到，群中元素的个数为28，其阶为28(最小的使得 n G = O 成立的 n )，生成元为 ( 3 , 10 ) " role="presentation"> ( 3 , 10 )

。

但是以 ( 6 , 19 ) " role="presentation"> G = ( 6 , 19 )

生成的子群是 S 的真子群，因为 14 G = O ，它也是一个有限循环群，因为群中每个元素都能由 ( 6 , 19 ) " role="presentation"> ( 6 , 19 ) 通过重复的加法运算得到，该子群的元素个数为14，阶为14（最小的使得 n G = O 的成立 n ），生成元为 ( 6 , 19 ) " role="presentation"> ( 6 , 19 )

。

拉格朗日定理还告诉我们，生成的子群 S ′

的阶与原来的群 S 的阶存在约数关系，也就是说子群 S ′ 的阶只能是1,2,4,7,14,28。群 S 的阶与子群 S ′ 的阶的比值一般称为协因子(cofactor)： h = | S | ∣ ∣ S ′ ∣ ∣ 。一般会取 h = 1

，以保证生成子群的阶比较大。

以 ( 6 , 19 ) " role="presentation"> G = ( 6 , 19 )

生成子群过程（为方便计算，取 ( − 1 , − 1 ) " role="presentation"> O = ( − 1 , − 1 )

）：

在后面的ECC加密算法过程中会有一个给定的基点 G

（也就是生成元）生成一个子群，然后秘钥空间在此子群取得，一般会要求保证子群的阶会尽量大，基点及其子群的阶 n

都是公开的信息。

四、椭圆曲线密码学中的离散对数问题

构造一个数学难题来保证加密的安全性是现代密码学中加密算法的主要思想。类似RSA算法中大数的质因子分解难题一样，椭圆曲线也有类似的数学难题。

考虑 Q = k P

，其中 ( a , b ) , k &lt; p " role="presentation"> Q , P ∈ E p ( a , b ) , k < p

。

对于给定的 k , p

计算 Q 是很容易的；反过来给定 Q , P ，计算 k

是相当困难的，这就是椭圆曲线的离散对数问题（这里之所以称之为离散对数问题大概是为了与其他加密算法的说法保持一致，便于理解）。

正因为如此，可以将 Q

作为公钥，公开出去； k

作为私钥，秘密保管，通过公钥来破解私钥十分困难。

目前由椭圆曲线公钥求解私钥的最有效算法复杂度为 ( p ) " role="presentation"> O ( p – √ )

，其中 p 是阶数 n

的最大素因子。

五、椭圆曲线实现秘钥协商（ECDHE）

1、原理和流程

利用模 p

有限域上椭圆曲线算术规则可以用来实现秘钥协商，其流程如下：

（1）Alice和Bob会共享一些椭圆曲线的参数信息： ( p , a , b , G , n , h ) " role="presentation"> ( p , a , b , G , n , h )

，其中 a , b 确定了椭圆曲线方程， p 确定了模 p 的有限域，G是中的生成元，用于生成子群，要求 G 的阶 n 应该尽量大， G 的阶是使得 n G = O 成立的最小的整数，也即是 ( n − 1 ) G " role="presentation"> ( n − 1 ) G 所代表的点与 G 点的横坐标刚好相同，协因子 h

一般等于1。

（2）Alice选择小于 n

整数 n A ，然后计算 P A = n A × G ，将 P A

发送给Bob。

（3）同理，Bob也选择小于 n

整数 n B ，然后计算 P B = n B × G ，将 P B

发送给Alice。

（4）Alice通过如下计算得出协商的秘钥： K A = n A × P B

；Bob通过如下计算得出协商的秘钥： K B = n B × P B ，容易证明， K A = K B

。

因为 ( n B × G ) = n B × ( n A × G ) = K B " role="presentation"> K A = n A × P B = n A × ( n B × G ) = n B × ( n A × G ) = K B

。

由此Alice和Bob计算得到相同的秘钥，达到秘钥协商的目的。

2、实例

例如，参数 a = 0 , b = − 4

，椭圆曲线方程为 y 2 = x 3 − 4 ， ( 2 , 2 ) " role="presentation"> p = 211 , G = ( 2 , 2 ) ，因为 ( 2 , 209 ) " role="presentation"> 240 G = ( 2 , 209 ) 所以 n = 241

。

Alice选择 n A = 151

， ( 62 , 59 ) " role="presentation"> P A = 151 G = ( 62 , 59 )

；

Bob选择 n B = 171

， ( 209 , 153 ) " role="presentation"> P B = 171 G = ( 209 , 153 )

；

他们协商的秘钥 ( 209 , 153 ) = 171 ( 62 , 59 ) = ( 95 , 194 ) = ( 151 ∗ 171 % n ) G = 34 G " role="presentation"> K = 151 P B = 171 P A = 151 ( 209 , 153 ) = 171 ( 62 , 59 ) = ( 95 , 194 ) = ( 151 ∗ 171 % n ) G = 34 G

。

六、椭圆曲线实现加解密

1、原理和流程

利用椭圆曲线来进行加密和解密也是与RSA一定程度的类似，每一个用户都有属于自己的公钥和私钥。私钥就是用户选定的数字 n

，私钥自己保存；公钥就是由 P = n G

，计算出来的点，公钥公开。

假设Alice与Bob进行加密通信，其加密的流程如下：

（1）Alice首先将明文消息转换（编码）为 ( a , b ) " role="presentation"> E p ( a , b )

中的 ( x , y ) " role="presentation"> P m ( x , y ) ，然后随机选定一个正整数 k ，并且利用Bob的公钥 P B

通过如下计算出密文：

C m = { k G , P m + k P B }

因此，密文实际上是有两个点组成。

（2）Bob收到密文 C m

，利用自己的私钥 n B

进行如下计算，可以解密得到明文：

( k G ) = P m + k ( n B G ) − n B ( k G ) = P m " role="presentation"> P m + k P B − n B ( k G ) = P m + k ( n B G ) − n B ( k G ) = P m

也就是用第二个点 P m + k P B

减去第一个点 k G 与自己的私钥 n

之积。

2、实例

考虑参数 ( 2 , 2 ) " role="presentation"> a = 0 , b = − 4 , p = 199 , G = ( 2 , 2 )

，椭圆曲线方程为 y 2 = x 3 − 4

，

Bob选定的私钥为 n B = 119

，其公钥 ( 183 , 173 ) " role="presentation"> P B = 119 G = ( 183 , 173 )

。

Alice希望将消息 ( 76 , 66 ) " role="presentation"> P m = ( 76 , 66 )

加密后发送给Bob，于是Alice随机选定正整数 k = 133

，并通过Bob的公钥加密得到密文：

( 2 , 2 ) , ( 76 , 66 ) + 133 ( 183 , 173 ) } = { ( 40 , 147 ) , ( 180 , 163 ) } " role="presentation"> C m = { 133 ( 2 , 2 ) , ( 76 , 66 ) + 133 ( 183 , 173 ) } = { ( 40 , 147 ) , ( 180 , 163 ) }

Bob收到密文消息利用自己的私钥 n B = 119

进行解密：

( k G ) = ( 180 , 163 ) − 119 ( 40 , 147 ) = ( 180 , 163 ) − ( 98 , 52 ) = ( 76 , 66 ) = P m " role="presentation"> P m + k P B − n B ( k G ) = ( 180 , 163 ) − 119 ( 40 , 147 ) = ( 180 , 163 ) − ( 98 , 52 ) = ( 76 , 66 ) = P m

.

由此，Bob顺利解密得到明文消息，Alice与Bob之间完成加密通信。

七、杂项

公钥加密算法中除了ECC，还有另外一个广泛使用的加密算法--RSA公钥加密算法。

ECC与RSA相比，主要的优点是在相同的安全级别下ECC使用的秘钥长度要短很多，由此带来处理速度、带宽和存储空间上的额外优势。下表展示了不同加密算法秘钥的位数对比情况：

比特币中使用椭圆曲线密码算法，以保证比特币网络中信息安全性和签名认证问题。每个用户都有属于自己的公钥和私钥。利用私钥可以对交易信息进行签名（ECDSA），其他人可以利用其公钥进行认证，公钥也用来构造钱包地址。所使用的椭圆曲线是采用了Certicom推荐的椭圆曲线secp256k1 ，其参数由六元组构成： ( p , a , b , G , n , h ) " role="presentation"> D = ( p , a , b , G , n , h )

，其中 p 是很大的质数， h 就是协因子，表征由生成元 G

生成子群的阶与母群的阶的关系，前文有解释；参数信息都是公开的，有兴趣可以到网上查到。

八、数值计算Demo实现

以下实现一些比较常用的方法，主要涉及暴力穷举 ( a , b ) " role="presentation"> E p ( a , b )

中的点（无穷远点O=(-1,-1)），求有限交换群的阶，椭圆曲线加法运算和乘法运算，以及相关的求模反元素和扩展欧几里德算法等。主要在学习椭圆曲线加密过程中，方便快速的构造用例和实验、验证。主要实现核心的计算原理，细节部分的处理难免有疏漏。

九、References

1、密码编码学与网络安全原理与实践

2、http://andrea.corbellini.name/

3、数论概述.第四十三章-第四十八章

4、https://mp.weixin.qq.com/s/jOcVk7olBDgBgoy56m5cxQ

5、https://blog.csdn.net/mrpre/article/details/72850598

转载请注明原文出处： https://www.cnblogs.com/qcblog/p/8998045.html