28、椭圆曲线密码学与随机数生成器深度解析

椭圆曲线密码学与随机数生成器深度解析

椭圆曲线密码学基础

椭圆曲线在密码学中有重要应用。在密码学应用里，椭圆曲线与无穷远点结合，借助椭圆群论的群运算构成阿贝尔群，无穷远点为单位元，其群结构继承自底层代数簇的除子群。

为用于密码学，需将数字限制在固定范围，仅允许整数，并选定最大值。若最大值为质数，该椭圆曲线称为“质数曲线”，可用于密码学应用。使用椭圆曲线密码学（ECC）时，各方需就定义椭圆曲线的元素达成一致，即方案的域参数。在质数情形下，域由质数 $p$ 定义；在二进制情形下，由 $m$ 和 $f$ 定义。为简化，我们聚焦质数情形，域由质数 $p$ 定义，椭圆曲线由方程 $y^2 = x^3 + Ax + B$ 中的常数 $A$ 和 $B$ 定义，循环子群由其生成元（基点）$G$ 定义。

椭圆曲线是由上述方程定义的点集，外加一个无穷远点 $O$，$O$ 是该群的单位元。给定一点 $P = (x,y)$ 和正整数 $n$，定义 $[n]P = P + P + \cdots + P$（$n$ 次）。点 $P = (x,y)$ 的阶是使 $[n]P = O$ 的最小正整数 $n$。用 $\langle P \rangle$ 表示由 $P$ 生成的群，即 $\langle P \rangle = {O, P, P + P, P + P + P, \cdots}$。

椭圆曲线密码学的安全性基于椭圆曲线离散对数问题（ECDLP）：给定定义在 $F_q$ 上的椭圆曲线 $C$ 以及曲线上的两点 $P$、$Q$，找到整数 $x$ 使得 $Q = xP$。

离散对数是指在有限群中，找到整数 $k$ 满足方程 $x^k = y$，其中 $x$ 和 $y$ 是有限