16、椭圆曲线密码学与应用

椭圆曲线密码学与应用

1. 椭圆曲线密码学基础

在椭圆曲线密码学中，存在一些关键的计算和判断条件用于分解整数 (n)。若对于某个 (i)，点 (R_{i + 1}) 模 (p) 或 (q) 中恰好一个为无穷远点 (\infty)，那么 (R_i = (x_i, y_i)) 且 (y_i \equiv 0) 模 (p) 或 (q) 中的一个，此时 (\gcd(y_i, n) = p) 或 (q)，就成功分解了 (n)。若 (R_{i + 1} \equiv \infty \pmod{n})，则需重新选择一个随机点开始计算。

由于 (ed - 1) 是 (E(Z_n)) 阶数的倍数，所以 (R_k = (ed - 1)R = edR - R = \infty)。每次迭代最终会得到一个点 (R_j)，它模 (p) 或 (q) 至少一个为无穷远点。设 (2^{k’}) 是整除 (p + 1) 的 2 的最高次幂，在 (E(F_p)) 中取随机点 (P)，(P) 的阶能被 (2^{k’}) 整除的概率为 (1/2)。当阶能被 (2^{k’}) 整除时，(R_{k’ - 1} = 2^{k’ - 1}vP \not\equiv \infty \pmod{p})，而 (R_{k’} = 2^{k’}vP \equiv \infty \pmod{p})；若阶不能被 (2^{k’}) 整除，则 (R_{k’ - 1} \equiv \infty \pmod{p})。同理，对于 (q) 也有类似情况。由于模 (p) 和模 (q) 相互独立，序列 (R_0, R_1, R_2, \cdots) 至少有一半的时间在不同的索引 (i) 处达到模 (p) 和模 (q) 的无穷远点，这意味着至少一半的随机起始点 (R) 能分解