这章主要讲述椭圆曲线 N 子群的阶n ,明文嵌入等 补充上章的知识点
1:椭圆曲线的阶 一个群中的元素数量称为这个群的阶(order)
当 p 小时 ,0到p-1的所有整数x代入方程,然后对于每个x都找到所有满足方程的解,这样我们就找到了曲线上所有的点。 当p大时,
Hasses 定理:令 E 是Fp上的椭圆曲线,E 上的点的数量 |E| 满足如下条件
y2 = x3 - 7x +10 mod 19 G(1,2) p=19 n=24
p+1- p1/2 <= |E| <= p+1+ p1/2 //p1/2为 p开平方根
Schoof算法运用了 Hasses 定理。Hasses定理给出了椭圆曲线在 Fp 的阶的范围,可以看出,当 p 很大时,阶跟 p 的值是比较接近的。
循环 子群的阶 (Subgroup order)
跟实数域一样,在素数域里面也是选取一个点 P,然后计算倍乘 nP 作为公钥。还是以 y2 = x3 - 7x +10 mod 19为例,G(1,2),我们采用素数域下新的计算公式计算
0G = O 1G(1,2) 2G(18,15) …
8G= O 9G(1,2) 10G(18,15) …
可以发现kG = (k mod 8)G ,即 G 的标量乘法得到的点集是原椭圆曲线群的一个子集,则它是原椭圆曲线群的一个子群,而且是循环子群。子群中元素个数称为子群的阶(示例子群的阶为8),点 G 称为该子群的基点或者生成元。循环子群是椭圆曲线密码体系的基础,期望子群中元素越多越好,如何找到一个合适的子群尤为重要
根据拉格朗日的群论定理,子群的阶是父群的阶的约数
曲线上点G生成的子群的阶可以用下面方法:
1、使用Schoof算法计算椭圆曲线群的阶数N;
2、找到N的所有除数 (约数)
3、对每个N 的除数n ,计算nG ;
4、使 nG=0 成立的最小n就是子群G的阶
此时我们考虑一种特殊情况:假设一个椭圆曲线群的阶数N是质数,那么这个椭圆曲线的子群的阶就只有两种情况:
子群的阶是1,此时的子群只包含一个点O;
子群的阶是N,此时的子群包含椭圆曲线上的所有
EG: y2 = x3 - 7x +10 mod 19 G(1,2) p=19 n=24
曲线为例,父群的阶是 24,则以曲线上的点生成的子群的阶只能是
1,2,3,4,6,8,12,24
G=(1,2), G ≠ O, 2G≠ O, 。。。 8G = O, 生成的子群的阶就是 8
G =(3,4) 生成的子群的阶则正好等于父群的阶24
寻找基点G
在加密算法中,我们期望找到一个阶高的子群。不过,通常不是先去找个基点,然后计算子群的阶,因为这样过于不确定,算法上不好实现。相反地,先选择一个大的子群阶,然后再找生成该子群的一个基点就容易多了
子群的阶 n 是父群的阶 N 的约数,即有
N =nh -> h = N/n // ℎ 就是余因子(cofactor)
对椭圆曲线上任意一点 G有 NG=O 。原因很简单,因为N是所有子群的阶的倍数,我们用余因子的定义,可以把这个结论写作:n(hG)=0
现在假设n是一个质数,那么上面这个等式实际上就告诉我们点 P=ℎG 可以生成一个 n 阶子群(除非点 P=ℎG=O ,这种情况下生成的子群的阶是1)
算法概述如下:
1>计算椭圆曲线的阶数 N
2>选择子群的阶数 n。为了使算法有效,数字n必须是质数,并且必须是 N 的除数(约数)
3>计算余因子ℎ=N/n
4>选择椭圆曲线上的一个随机点 G
5>计算 P=ℎG
6>若 P=0 , 就回到步骤4, 否则,我们就找到了一个子群的基点,阶数为 n 和余因子为 ℎ
计算小素数p 椭圆曲线方程的阶n 穷举法
#include<stdlib.h>
#include<math.h>
const int add_O_point = 1;
int main() {
int a, b, mod;
//1 1 23 n= 28 //还有O点需要增加
//-7 10 19 n=24 /还有O点需要增加
for (;;) {
printf("please input a,b,mod:");
if (3 != scanf_s("%d %d %d", &a, &b, &mod)) {
break;
}
int n = 0;
//y^2^ = x^3^+ax+b mod p
for (int i = 0; i < mod; i++) {
//
int right = i * i * i + a * i + b;
for (int j = 0; j < mod; j++) {
if ((j * j) % mod == (right % mod)) {
printf("%d(%d,%d)\n", ++n, i, j);
}
}
}
}
return 0;
}
package main
import "fmt"
func main() {
a,b,mod := 0,0,0
//1 1 23 n= 28 //还有O点需要增加
//-7 10 19 n=24 /还有O点需要增加
for ;; {
fmt.Printf("please input a,b mod:")
if _, err := fmt.Scan(&a, &b, &mod); err != nil {
fmt.Printf("input error")
break
}
n := 0
for i:=0;i<mod;i++ {
right := i*i*i +a*i+b
right %= mod
for j:=0;j<mod;j++{
if j*j %mod == right {
n++
fmt.Printf("%v (%v,%v)\n",n,i,j)
}
}
}
}
fmt.Printf("end \n")
}
域参数
如前所述,椭圆曲线加密算法工作在素数域下的椭圆曲线循环子群中,需要的域参数(Domain Parameter)包括 :
p: 素数域的大小。
a, b: 椭圆曲线 的系数。 y2 = x3 +ax+b mod p
G:生成子群的基点。
n:子群的阶。
h:子群的余因子。
如比特币用来做数字签名中采用的椭圆曲线 [secp256k1] 的域参数如下:
p = 0xFFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFE FFFFFC2F = 2256 - 232 -29-28-27-26-24-1 = 2256 - 232 - 977
a = 0, b = 7,即曲线方程是 。 y2 = x3 +7
G = (0x79BE667E F9DCBBAC 55A06295 CE870B07 029BFCDB 2DCE28D9 59F2815B 16F81798,
0x483ADA77 26A3C465 5DA4FBFC 0E1108A8 FD17B448 A6855419 9C47D08F FB10D4B8)
n = 0xFFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFE BAAEDCE6 AF48A03B BFD25E8C D0364141
h = 1
明文嵌入
一般采用Kobits方法,X=mK+j,其中k是一个从1增大的值,根据二次剩余定理,我们可以大概判断出有1/2的概率x是可以被编码的。因此我们只需要尝试一定次数,在概率上我们可以认为一定可以找到。
也可以采用其他的方法,eg:我们将最后8位设为填充区,通过不断改变它的值,我们也可以找到合法的点
在kobits方法里面,其实没有解决这个问题,当然我们可以采用一些自己的默认规则来帮助识别,eg:y 值小/大的点
参考 https://crypto.stackexchange.com/questions/76340/how-to-create-an-ec-point-from-a-plaintext-message-for-encryption/76343#76343
如果觉得有用,麻烦点个赞,加个收藏
