18、椭圆曲线密码学：NIST曲线与点数计算

椭圆曲线密码学：NIST曲线与点数计算

1. RSA与ECC安全级别对比

在密码学领域，RSA和ECC（椭圆曲线密码学）是两种重要的加密算法。它们的安全级别大致对比为 $3\sqrt{n}$ 与 $n/2$ 。从相关表格数据可以看出，为了提供相当的安全性，ECC所需的密钥长度比RSA小得多。不过，这些推荐都基于一个明确的假设，即密码分析领域不会有意外的重大进展，比如特殊有限域中离散对数问题的惊人突破，或者可扩展量子计算机的出现。

2. NIST曲线

美国政府机构NIST（1999b）为椭圆曲线设定了标准。这些NIST曲线不仅用于美国政府应用，而且应用范围更为广泛。对于五个安全参数 $s$ 的值，NIST指定了素域 $F_p$ 的比特长度 $\ell = \lceil\log_2 p\rceil$ 和域 $F_{2^m}$ 的 $m$ 值。具体如下表所示：
| $s$ | $\ell$ | $m$ |
| — | — | — |
| 112 | 224 | 233 |
| 128 | 256 | 283 |
| 192 | 384 | 409 |
| 256 | 521 | 571 |

从表中可以发现，$\ell \approx 2s$ ，且 $m$ 稍大，并且 $m$ 总是素数。其中，三个较大的 $s$ 值等于AES密钥长度。

在素域的情况下，对于每个 $\ell$ ，会选择一个 $\ell$ 比特的素数 $p_{\ell}$ 作为广义梅森素数，它是最多五个不同 $k$ 值的 $\pm2^{32k}$ 项之和，不过 $p_{521} = M_{521} = 2^{521} -