首先要說明的壹點是,橢圓曲線不是橢圓。橢圓方程是下面這樣的:
而通常我們討論的橢圓曲線的曲線方程是壹個二元三次方程,它有多種形式,在橢圓曲線密碼體系中,最常用的是如下的Weierstrass通用式(curve25519 等其他類型的橢圓曲線本文不討論):
之所以取名叫橢圓曲線,是因為該曲線方程跟求橢圓弧長的積分公式相似。從曲線方程和圖像易知,橢圓曲線關於X軸對稱。判定式不等於零是為了橢圓曲線不存在奇異點,即處處光滑可導,這樣才能進行橢圓曲線上的加法運算。下面是壹些適合用於加密的橢圓曲線,其中 。
橢圓曲線加密算法涉及數學中的群論、有限域等內容,這節簡要介紹下相關數學理論。亦可以跳過直接看第3節,遇到相關名詞再查閱即可。
在討論群之前,先說說集合。集合簡單來說就是把壹堆東西放在壹起,如自然數集合。當然光有壹堆東西還不夠,東西之間相互作用才能更好的描述大千世界。於是,自然數集合通過加減運算衍生出整數集合、整數集合經過乘除又可以衍生出有理數,而後通過無理數的加入又衍生出實數集合、負數開方引入了復數集合。群則是集合和壹個二元運算。
而如果再滿足交換律,則該群就被稱為是壹個阿貝爾群。
根據群的定義,整數的加法運算 就是壹個群,而且還是壹個阿貝爾群。而自然數的加法運算 就不是壹個群。整數加法運算構成群,因為它滿足群的定義:整數加法的封閉性、結合律、交換律都成立。整數加法運算中單位元是 0。所有整數 n 都有加法逆元 -n。
在密碼學中壹般都需要壹個有限的群,定義如下:
為了使壹個結構同時支持四種基本算術(即加減乘除),我們需要壹個包含加法和乘法群的集合,這就是域。當壹個集合為域的時候,我們就能在其中進行基本算術運算了。
所以域中元素只要形成加法群和乘法群並滿足分配律就行,因為群中元素都有逆元,減法/除法可以轉換為加/乘元素的逆元實現。實數集合 是壹個域,加法群中單位元是 0,每個實數 都有加法逆元 ,乘法群中單位元是 ,每個非零實數都有乘法逆元 。而整數集合就不是域,因為大部分元素沒有乘法逆元,不能構成壹個乘法群。
在密碼學中,通常只對有限元素的域感興趣,這種域稱為有限域(Finite Field)。有限域中我們經常用到的是素數域,所謂素數域,就是階為素數的有限域。 比如當 p 為素數時,整數環 就是壹個素數域,可以記作 。在素數域 中進行算術運算,需要遵守整數環的規則,即加法是模 p 加法,而乘法是模 p 乘法。
例如對於 有:
橢圓曲線上的點經過壹種特定的加法運算可以讓橢圓曲線在實數域構成壹個群。
無窮遠點 :定義壹個無窮遠點 ,即經過橢圓上任意壹點的與X軸垂直的直線都經過該點。可能有人疑惑垂直於X軸的直線是平行線,為啥可以定義為都經過 點?因為在非歐幾何中,可認為平行線在無窮遠處會交於壹點。
橢圓曲線點加法 :橢圓曲線上經過 和 兩個點的直線與橢圓曲線的交點記作 ,根據定義有 以及 。繼而定義橢圓曲線點加法: ,即加法結果是經過點 且與 X 軸垂直的直線與橢圓曲線的另外壹個交點,簡單來說,就是交點 關於 X 軸的對稱點。
橢圓曲線群:定義為橢圓曲線在實數域上的點集以及點加法
由此可知,橢圓曲線上的點在橢圓曲線加法運算上構成了壹個阿貝爾群。增加了單位元後,橢圓曲線方程改為:
由定義可知, ,所以,最終加法只需要計算交點 的逆元 即可。 幾種特殊情況說明:
上壹節定義了橢圓曲線幾何上意義的點加法,需要轉換為代數加法以方便計算。 要註意的是,這並不是兩個點的坐標簡單相加 。
假設直線 PQ 的斜率 ,然後將直線方程 代入曲線可以得到: , 轉換成標準式,根據韋達定理 ,即而可求得 ,想了解具體推導過程的可參見 [cubic-equations] 。
斜率 計算需要區分兩種情況,當 P=Q 時求橢圓曲線在 P 點的切線斜率(求導)即可:
可以簡單驗證,比如橢圓曲線是 ,通過參考資料1的 [可視化工具] 可得 。容易驗證,與代數加法公式計算結果壹致。
對於特殊情況 中有壹個是切點的情況,如 ,計算方式不變,易得 。而對於特殊情況 ,采用切線斜率亦可驗證公式正確。
在實際加密算法中,我們通常需要多次通過橢圓曲線加法來實現壹次加密,如下圖所示:
圖中打點的過程就是:
而在實際加密算法中,我們常常是使用壹個點自己疊加,即初始直線變成橢圓曲線的切線即可,像下面這樣:
我們定義對壹個點 P 進行 n 次加法得到 nP,稱之為標量乘法。如前面例子中 。
不過,當 n 很大時,執行 n 次加法需要 時間,效率有問題。 因為橢圓曲線點加法在實數域構成阿貝爾群,滿足交換律和結合律,於是可以通過 [Double-and-add] 算法進行優化 。比如 ,其二進制表示為 ,通過優化只要7次倍乘和4次加法計算即可,時間復雜度降到 。這是壹個很好的單向函數,正向計算容易,而反向和蠻力計算復雜。
令 ,則 Q 作為公鑰,n 為私鑰。如果要破解該密鑰,問題就是 "Q = nP,如果已知 P 和 Q,如何求解 n"? 這個問題是比較困難的。不過由於在實數域上曲線連續,可能會更容易找到壹些規律進行破解。而且實數域上數值大小沒有限制、浮點數等問題而導致計算效率問題,在實際應用中常將橢圓曲線限制到壹個有限域內,將曲線變成離散的點,這樣即方便了計算也加大了破解難度。
前面提到為了安全性和便於實現,需要將橢圓曲線限制到壹個有限域內,通常用的是素數域 (即對於點 為素數)。於是破解就會變成壹個離散對數問題,這比連續曲線上的對數問題會難很多。素數域下橢圓曲線定義如下:
下面是曲線 和 的圖像。可以發現,橢圓曲線變成了離散的點,且關於 對稱。
定義 上橢圓曲線點加法 如下,公式跟實數域上相比只是多了模 操作。
斜率 m 計算同樣分兩種情況:
橢圓曲線在素數域 上的點加法依然構成阿貝爾群。單位元依舊是無窮遠點,元素 的逆元變成 。而交換律、結合律、封閉性則可以通過素域上的模加法、模乘法來證明 。實數域的橢圓曲線點加法定義是有明確幾何意義的,從幾何上好證明。而橢圓曲線在 就沒有明顯的幾何意義了,觀察可發現 三點滿足 ,群律的證明過於繁瑣,略去(其實是沒有找到壹個簡易的證明)。
以前面曲線為例, ,則有 ,且 和 都在橢圓曲線上。從圖形上看, 在直線 上。
在有限域下,橢圓曲線加法群的元素是有限的,元素數目就是群的階。
如橢圓曲線 ,其在素數域 中元素有 ,階為24(23個素數域中的點 + 1個無窮遠點),如果 p 很大的話,則通過蠻力計算階是很難的,好在使用 [Schoof算法] 可以在多項式時間內計算出群的階。計算橢圓曲線在有限域上點的數目可以參見 [Counting points on elliptic curves] 。
Schoof算法運用了 Hasses 定理。Hasses定理給出了橢圓曲線在 的階的範圍,可以看出,當 p 很大時,階跟 p 的值是比較接近的。
跟實數域壹樣,在素數域裏面也是選取壹個點 P,然後計算倍乘 nP 作為公鑰。還是以 為例, ,我們采用素數域下新的計算公式計算 。
可以發現 ,即 P 的標量乘法得到的點集是原橢圓曲線群的壹個子集,則它是原橢圓曲線群的壹個子群,而且是循環子群。子群中元素個數稱為子群的階(示例子群的階為8),點 P 稱為該子群的基點或者生成元。循環子群是橢圓曲線密碼體系的基礎,我們期望子群中元素越多越好,如何找到壹個合適的子群尤為重要。
首先要解決壹個問題,就是已知 下的橢圓曲線上的點 P,如何求得 P 的倍乘運算後生成的子群的階? 根據拉格朗日的群論定理,子群的階是父群的階的約數。求解曲線上點 P 生成的子群的階可以用下面方法:
以示例曲線為例,父群的階是 ,則以曲線上的點生成的子群的階只能是 。對於點 ,故其生成的子群的階就是 8,而點 生成的子群的階則正好等於父群的階24。
在加密算法中,我們期望找到壹個階高的子群。不過,通常不是先去找個基點,然後計算子群的階,因為這樣過於不確定,算法上不好實現。相反地,先選擇壹個大的子群階,然後再找生成該子群的壹個基點就容易多了。
前面提到,子群的階 n 是父群的階 N 的約數,即有 ,h 是壹個整數,我們稱之為子群的余因子(cofactor)。因為 ,所以有:
通常會選擇壹個素數作為子群的階,即 n 是素數。可以發現,點 生成了階為 n 的子群( 除外,因為這個子群的階為1),不等於 的點 就是我們尋找的基點。具體步驟如下:
需要註意,上面算法裏的 n 必須是素數,否則計算的基點 G 生成的子群的階可能是 n 的約數而不是 n,不符合要求 。以曲線 為例, ,我們選擇 ,則 ,隨機選取壹個點 ,計算 ,恰好滿足要求。
如前所述,橢圓曲線加密算法工作在素數域下的橢圓曲線循環子群中,需要的域參數(Domain Parameter)包括 :
如比特幣用來做數字簽名中采用的橢圓曲線 [secp256k1] 的域參數如下: