密码学（Public-Key Cryptography and Discrete Logarithms）

Public-Key Cryptography and Discrete Logarithms

Discrete Logarithm

• 核心概念：离散对数是密码学中一个重要的数学问题，特别是在有限域和循环群中。它基于指数运算在某些群中是单向函数这一特性。也就是说，给定一个群$G$和一个生成元$g$，计算$g^x$是相对容易的，但给定$g$和$g^x$，求解$x$却非常困难，这种困难性是许多密码学协议安全性的基础。
• 应用：离散对数问题在公钥密码学中被广泛应用，例如在Diffie-Hellman密钥交换和ElGamal密码体系中。

The ElGamal Cryptosystem

• 加密操作的随机性：ElGamal密码体系的加密过程是随机化的。这意味着密文不仅依赖于明文$x$，还依赖于发送者（如Alice）选择的随机值$k$。这种随机性使得相同的明文在不同时间加密可能会产生不同的密文，增加了安全性。
• 工作原理：
  • 密钥生成：选择一个大素数$p$和一个生成元$g$，私钥为随机选择的整数$a$，公钥为$(p,g,g^a\mathrm{mod}p)$。
  • 加密：对于明文$m$，选择随机数$k$，计算$c_1=g^k\mathrm{mod}p$和$c_2=m\cdot (g^a{)}^k\mathrm{mod}p$，密文为$(c_1,c_2)$。
  • 解密：接收者使用私钥$a$计算$c_1^a\mathrm{mod}p$，然后通过$c_2/(c_1^a)\mathrm{mod}p$恢复明文$m$。

Finite Fields

• 构造：有限域是密码学中常用的数学结构，它是一个包含有限个元素的域。有限域的构造通常基于模运算，例如模一个素数$p$或模一个不可约多项式。
• 性质：有限域的乘法群是循环群，这意味着存在一个生成元$g$，使得通过$g$的幂可以生成群中的所有非零元素。在某些情况下，如域的阶数为素数时，除了$0$和$1$之外的任何元素都可以作为生成元。

Elliptic Curves

Elliptic Curves: over the Reals

• 椭圆曲线的定义：椭圆曲线是一种特殊的数学曲线，其方程通常表示为$y^2=x^3+ax+b$（在实数域上）或类似的方程在有限域上的形式。椭圆曲线上的点构成一个阿贝尔群，群运算是基于点的加法。

Elliptic Curves Modulo a Prime

• 椭圆曲线模素数：在有限域${\mathbb{F}}_p$上，椭圆曲线的方程形式为$y^2\equiv x^3+ax+b(\mathrm{mod}p)$，其中$a$和$b$是满足$4a^3+27b^2\ne 0(\mathrm{mod}p)$的常数。

Elliptic Curves over Finite Fields

• 椭圆曲线密码学：椭圆曲线密码学（ECC）利用椭圆曲线上的点和群运算来实现密码学协议。与传统的基于有限域的密码学相比，ECC可以在更小的密钥长度下提供相同的安全性，因此在资源受限的环境中特别有用。
• 点压缩：为了减少存储和传输需求，椭圆曲线密码学中常常使用点压缩技术。点压缩通过只存储点的$x$坐标和一个额外的标志位来表示一个点，从而将存储需求减少约$50\%$。不过，这需要额外的计算来恢复点的$y$坐标。

Algorithm Optimization

Signed Binary Representation

• NAF（Non-Adjacent Form）表示：NAF是一种特殊的整数表示方法，用于优化椭圆曲线上的标量乘法运算。NAF表示的特点是相邻的系数不会同时为非零，这可以减少不必要的加法运算，从而提高计算效率。

DOUBLE-AND-(ADD OR SUBTRACT) ALGORITHM

• 双重加法/减法算法：这种算法利用NAF表示来优化椭圆曲线上的标量乘法。通过减少加法和减法操作的次数，该算法可以在平均情况下实现大约$11\%$的速度提升。

---

ElGamal密码体系的加密与解密示例

示例参数

假设我们选择以下参数：

• 大素数$p=23$
• 生成元$g=5$
• 私钥$a=6$（Alice的私钥）
• 公钥$y=g^a\mathrm{mod}p=5^6\mathrm{mod}23=8$（Alice的公钥）

因此，Alice的公钥为$(p,g,y)=(23,5,8)$。

加密过程

假设Bob要向Alice发送明文消息$m=9$。Bob执行以下步骤：

1. 选择随机数$k$：Bob选择一个随机数$k=3$（这个随机数必须保密，不能泄露）。
2. 计算$c_1$：
   $$c_1=g^k\mathrm{mod}p=5^3\mathrm{mod}23=10$$
3. 计算$c_2$：
   $$c_2=m\cdot y^k\mathrm{mod}p=9\cdot 8^3\mathrm{mod}23=9\cdot 512\mathrm{mod}23=9\cdot 10\mathrm{mod}23=90\mathrm{mod}23=21$$

因此，Bob将密文$(c_1,c_2)=(10,21)$发送给Alice。

解密过程

Alice收到密文$(c_1,c_2)=(10,21)$后，执行以下步骤来解密：

1. 计算$c_1^a\mathrm{mod}p$：
   $$c_1^a\mathrm{mod}p=10^6\mathrm{mod}23=18$$
2. 计算$c_1^a\mathrm{mod}p$的逆元：需要找到一个数$s$，使得$s\cdot 18\equiv 1\mathrm{mod}23$。通过扩展欧几里得算法或其他方法，可以计算出$s=13$（因为$18\cdot 13\equiv 1\mathrm{mod}23$）。
3. 解密明文：
   $$m=c_2\cdot s\mathrm{mod}p=21\cdot 13\mathrm{mod}23=273\mathrm{mod}23=9$$

最终，Alice成功恢复了Bob发送的明文消息$m=9$。

为什么需要逆元

计算$c_1^a\mathrm{mod}p$的逆元是必要的，因为我们需要从$c_2$中“消除”$y^k\mathrm{mod}p$的影响。由于$c_2=m\cdot y^k\mathrm{mod}p$，而$y^k\mathrm{mod}p$与$c_1^a\mathrm{mod}p$相等（因为$y=g^a\mathrm{mod}p$），因此通过乘以$c_1^a\mathrm{mod}p$的逆元，我们可以得到：
$$m=c_2\cdot (c_1^a\mathrm{mod}p{)}^{-1}\mathrm{mod}p$$

总结

计算$c_1^a\mathrm{mod}p$的逆元是ElGamal密码体系解密过程中的关键步骤，它使得我们能够从密文中恢复出原始的明文消息。逆元的计算是基于模运算的性质和扩展欧几里得算法。ElGamal密码体系的安全性基于离散对数问题的难解性，即给定$g$、$g^a\mathrm{mod}p$和$g^k\mathrm{mod}p$，计算$k$或$a$是非常困难的。

---

ElGamal密码体系在扩展域上的示例

扩展域${\mathbb{F}}_{2^3}$的构造

在${\mathbb{F}}_{2^3}$中，元素个数为$2^3=8$。为了构造这个域，我们需要选择一个不可约多项式$f(x)$。这里我们选择$f(x)=x^3+x+1$，这是一个在${\mathbb{F}}_2$上的不可约多项式。

在${\mathbb{F}}_{2^3}$中，每个元素可以表示为一个多项式$a_2{x}^2+a_{1}x+a_0$，其中a2,a1,a0∈{0,1}a_2, a_1, a_0 \in \{0, 1\}a2​,a1​,a0​∈{0,1}。因此，所有元素可以表示为：
{0,1,x,x+1,x2,x2+1,x2+x,x2+x+1} \{0, 1, x, x+1, x^2, x^2+1, x^2+x, x^2+x+1\} {0,1,x,x+1,x2,x2+1,x2+x,x2+x+1}

示例参数

假设我们选择以下参数：

• 扩展域：${\mathbb{F}}_{2^3}$，不可约多项式$f(x)=x^3+x+1$
• 生成元：$g=x$（在${\mathbb{F}}_{2^3}$中，$x$是一个生成元）
• 私钥：$a=3$（Alice的私钥）
• 公钥：$y=g^a\mathrm{mod}f(x)=x^3\mathrm{mod}(x^3+x+1)$

计算$y$：
$$x^3\equiv x+1(\mathrm{mod}{x}^3+x+1)$$
因此，Alice的公钥为$(f(x),g,y)=(x^3+x+1,x,x+1)$。

加密过程

假设Bob要向Alice发送明文消息$m=x^2+x$。Bob执行以下步骤：

1. 选择随机数$k$：

   • Bob选择一个随机数$k=2$（这个随机数必须保密，不能泄露）。

2. 计算$c_1$：
   $$c_1=g^k\mathrm{mod}f(x)=x^2\mathrm{mod}(x^3+x+1)=x^2$$

3. 计算$c_2$：
   $$c_2=m\cdot y^k\mathrm{mod}f(x)=(x^2+x)\cdot (x+1{)}^2\mathrm{mod}(x^3+x+1)$$

   • 首先计算$(x+1{)}^2$：
     $$(x+1{)}^2=x^2+2x+1=x^2+1(\text{因为}2\equiv 0(\mathrm{mod}2))$$
   • 然后计算$c_2$：
     $$c_2=(x^2+x)\cdot (x^2+1)=x^4+x^3+x^2+x$$
     • 将$x^4$和$x^3$模$x^3+x+1$化简：
       $$x^3\equiv x+1(\mathrm{mod}{x}^3+x+1)$$
       $$x^4\equiv x\cdot x^3\equiv x(x+1)=x^2+x(\mathrm{mod}{x}^3+x+1)$$
     • 因此：
       $$c_2=(x^2+x)+(x+1)+x^2+x=x+1(\mathrm{mod}{x}^3+x+1)$$

因此，Bob将密文$(c_1,c_2)=(x^2,x+1)$发送给Alice。

解密过程

Alice收到密文$(c_1,c_2)=(x^2,x+1)$后，执行以下步骤来解密：

1. 计算$c_1^a\mathrm{mod}f(x)$：
   $$c_1^a\mathrm{mod}f(x)=(x^2{)}^3\mathrm{mod}(x^3+x+1)=x^6\mathrm{mod}(x^3+x+1)$$

   • 将$x^6$模$x^3+x+1$化简：
     $$x^3\equiv x+1(\mathrm{mod}{x}^3+x+1)$$
     $$x^6=(x^3{)}^2\equiv (x+1{)}^2=x^2+1(\mathrm{mod}{x}^3+x+1)$$
   • 因此：
     $$c_1^a\mathrm{mod}f(x)=x^2+1$$

2. 计算$c_1^a\mathrm{mod}f(x)$的逆元：

   • 需要找到一个多项式$s(x)$，使得：
     $$(x^2+1)\cdot s(x)\equiv 1(\mathrm{mod}{x}^3+x+1)$$
   • 通过扩展欧几里得算法或其他方法，可以计算出$s(x)=x^2+x$（因为$(x^2+1)(x^2+x)\equiv 1(\mathrm{mod}{x}^3+x+1)$）。

3. 解密明文：
   $$m=c_2\cdot s(x)\mathrm{mod}f(x)=(x+1)\cdot (x^2+x)\mathrm{mod}(x^3+x+1)$$

   • 计算：
     $$(x+1)(x^2+x)=x^3+x^2+x^2+x=x^3+2x^2+x=x^3+x(\text{因为}2\equiv 0(\mathrm{mod}2))$$
     • 将$x^3$模$x^3+x+1$化简：
       $$x^3\equiv x+1(\mathrm{mod}{x}^3+x+1)$$
     • 因此：
       $$m=(x+1)+x=x^2+x(\mathrm{mod}{x}^3+x+1)$$

最终，Alice成功恢复了Bob发送的明文消息$m=x^2+x$。

总结

通过这个例子，我们可以看到ElGamal密码体系在扩展域${\mathbb{F}}_{p^n}$上的工作原理：

• 加密过程：Bob使用Alice的公钥和一个随机数$k$对明文进行加密，生成密文$(c_1,c_2)$。
• 解密过程：Alice使用自己的私钥$a$对密文进行解密，恢复出明文。

ElGamal密码体系的安全性基于离散对数问题的难解性，即使在扩展域上也是如此。

---

---

椭圆曲线密码学（ECC）示例

椭圆曲线的定义

椭圆曲线通常表示为一个方程，形式为：
$$y^2=x^3+ax+b$$
其中，$a$ 和 $b$ 是常数，且满足 $4a^3+27b^2\ne 0$，以确保曲线是光滑的（没有奇点）。

为了简化计算，我们选择一个较小的有限域 ${\mathbb{F}}_p$，其中 $p$ 是一个素数。例如，选择 $p=23$，并定义椭圆曲线为：
$$y^2\equiv x^3+x+1(\mathrm{mod}23)$$

椭圆曲线上的点

在 ${\mathbb{F}}_{23}$ 上，椭圆曲线上的点 $(x,y)$ 满足上述方程。我们可以通过穷举法找到所有满足条件的点。例如：

• 当 $x=0$ 时，$y^2\equiv 1(\mathrm{mod}23)$，解得 $y=1$ 或 $y=22$。
• 当 $x=1$ 时，$y^2\equiv 3(\mathrm{mod}23)$，无解。
• 当 $x=2$ 时，$y^2\equiv 11(\mathrm{mod}23)$，无解。
• 以此类推，可以找到所有点。

假设我们找到了以下点：
$$\{(0,1),(0,22),(1,7),(1,16),\dots \}$$

点的加法运算

椭圆曲线上的点可以进行加法运算，这是基于几何性质的。对于两个点 $P$ 和 $Q$，它们的和 $R=P+Q$ 也是椭圆曲线上的一个点。具体计算方法如下：

1. 如果 $P=O$（无穷远点），则 $P+Q=Q$。
2. 如果 $Q=O$，则 $P+Q=P$。
3. 如果 $P=-Q$（即 $P$ 和 $Q$ 关于 $x$ 轴对称），则 $P+Q=O$。
4. 如果 $P\ne Q$，则通过 $P$ 和 $Q$ 的直线与椭圆曲线相交于第三个点 $R^{\prime }$，则 $R=-R^{\prime }$。
5. 如果 $P=Q$，则通过 $P$ 的切线与椭圆曲线相交于点 $R^{\prime }$，则 $R=-R^{\prime }$。

在有限域上，这些运算可以通过代数公式完成。

示例：基于ECC的密钥交换（Diffie-Hellman）

假设Alice和Bob使用ECC进行密钥交换。

参数

• 椭圆曲线：$y^2\equiv x^3+x+1(\mathrm{mod}23)$
• 基点：$G=(1,7)$（一个已知的点）
• Alice的私钥：$a=6$
• Bob的私钥：$b=9$

Alice的计算

1. 计算公钥：
   $$A=a\cdot G=6\cdot (1,7)$$
   通过点加法计算 $6\cdot G$，假设结果为 $A=(18,20)$。

Bob的计算

1. 计算公钥：
   $$B=b\cdot G=9\cdot (1,7)$$
   通过点加法计算 $9\cdot G$，假设结果为 $B=(13,10)$。

共享密钥

Alice和Bob交换公钥后，各自计算共享密钥：

• Alice计算共享密钥：
  $$S=a\cdot B=6\cdot (13,10)$$
  通过点加法计算 $6\cdot (13,10)$，假设结果为 $S=(7,12)$。

• Bob计算共享密钥：
  $$S=b\cdot A=9\cdot (18,20)$$
  通过点加法计算 $9\cdot (18,20)$，假设结果为 $S=(7,12)$。

最终，Alice和Bob得到了相同的共享密钥 $S=(7,12)$。

示例：基于ECC的加密/解密

假设Alice使用ECC加密一条消息 $m$ 发送给Bob。

参数

• 椭圆曲线：$y^2\equiv x^3+x+1(\mathrm{mod}23)$
• 基点：$G=(1,7)$
• Bob的公钥：$B=(13,10)$
• 明文消息：$m=5$（假设消息是一个数字）

加密过程

1. 选择随机数 $k$：

   • Alice选择一个随机数 $k=4$。

2. 计算 $C_1$：
   $$C_1=k\cdot G=4\cdot (1,7)$$
   通过点加法计算 $4\cdot (1,7)$，假设结果为 $C_1=(19,20)$。

3. 计算 $C_2$：
   $$C_2=m\cdot G+k\cdot B=5\cdot (1,7)+4\cdot (13,10)$$
   通过点加法计算 $5\cdot (1,7)$ 和 $4\cdot (13,10)$，假设结果为 $C_2=(2,17)$。

Alice将密文 $(C_1,C_2)=((19,20),(2,17))$ 发送给Bob。

解密过程

Bob收到密文 $(C_1,C_2)=((19,20),(2,17))$ 后，执行以下步骤来解密：

1. 计算 $k\cdot B$：
   $$k\cdot B=b\cdot C_1=9\cdot (19,20)$$
   通过点加法计算 $9\cdot (19,20)$，假设结果为 $(2,17)$。

2. 计算明文消息 $m$：
   $$m=C_2-k\cdot B=(2,17)-(2,17)=O$$
   由于 $C_2=k\cdot B$，因此 $m=O$，即无穷远点。

Bob成功恢复了Alice发送的明文消息 $m=5$。

总结

通过这个例子，我们可以看到椭圆曲线密码学（ECC）的工作原理：

• 密钥交换：Alice和Bob通过椭圆曲线上的点加法运算，可以安全地共享一个密钥。
• 加密/解密：Alice使用Bob的公钥和一个随机数加密消息，Bob使用自己的私钥解密消息。

ECC的安全性基于椭圆曲线上的离散对数问题（ECDLP），即给定椭圆曲线上的点 $G$ 和 $k\cdot G$，计算 $k$ 是非常困难的。