專利名稱:橢圓曲線點的編碼方法
橢圓曲線點的編碼方法本發(fā)明涉及基于橢圓曲線點使用的消息加密���,尤其涉及以確定性方法類型的加為了對消息進(jìn)行加密計算�����,通常采用在數(shù)學(xué)結(jié)構(gòu)中插入任意數(shù)字的算法�����。為此目的�����,橢圓曲線有可能易于實現(xiàn)這類加密計算且能與其它加密計算相比可節(jié)省存儲空間的數(shù)學(xué)結(jié)構(gòu)�����。然而�,使用橢圓曲線來插入任意數(shù)值的有效算法是概率性的。因此����,這類算法的執(zhí)行時間是不恒定的,它是基于待編碼的消息����。因此,如果破解者確定所運(yùn)用算法的各種不同執(zhí)行時間��,那么他就有可能獲得該編碼消息的信息��。為了掩飾概率插入算法所使用的時間�����,可以提供在這類算法中加入無效的步驟�����, 使得無論處理何種信息,它們的應(yīng)用始終散布在認(rèn)證長度的時間段中�����。然而����,這樣的處理相當(dāng)繁瑣且消耗大量時間。本發(fā)明旨在改善這樣的情況��。本發(fā)明的第一部分提供了一種在電子元件中執(zhí)行加密計算的方法��,包括獲得在橢圓曲線上的點P的步驟���,所述橢圓曲線滿足下列公式Y(jié)2+aiXY+a3Y = X3+a2X2+a4+X+a6(1)式中ai、a2����、a3、a4和 為元素集A中的元素����,A為數(shù)模整數(shù)Z/qZ的環(huán),而q為數(shù)量I的不同質(zhì)數(shù)的正整數(shù)的乘積且絕對大于3��,I則大于或等于2的整數(shù),或者A為具有質(zhì)數(shù)冪q的有限區(qū)域F,;式中�����,X和Y為點P的座標(biāo)且為A的元素���,
所述方法包括下述步驟/a/確定參數(shù)(11);/b/通過將函數(shù)運(yùn)用于所述參數(shù)(12)�,獲得點P的坐標(biāo)X和Y(13)����;A的歐拉函數(shù)φ滿足公式
φ (A) mod 3 = 1,所述函數(shù)是由在ai、如如 和%以及在A中參數(shù)的有理分式所表示的可逆和確定性的函數(shù)�����,并獲得至少q/41的數(shù)量的點P����,其中對有限區(qū)域F,而言I等于1 ;/c/在密碼加密或哈?;蚝灻蚴跈?quán)或認(rèn)證中使用所述點P。上述“至少確定數(shù)量的點”表明所討論的函數(shù)適用在輸出上至少提供確定數(shù)量的不同點的事實����。其優(yōu)點在于�����,它有可能在電子元件中執(zhí)行基于橢圓曲線點的加密計算�,并且不會對潛在的破解者提供信息��,同時還能保證較高的執(zhí)行效率��。實際上�,該函數(shù)有可能獲得有理分式的橢圓曲線上的點,因此該函數(shù)是確定性的而不再是概率性函數(shù)���;無論何種輸入?yún)?shù)�����, 用于計算它的時間都是恒定的。在這些條件下���,獲得在橢圓曲線上的點是有效的����,并且與現(xiàn)有技術(shù)相比,計算時間不再基于待編碼的消息�����。環(huán)A可以為RSA(Rivest Shamir Adleman)環(huán)����。在這樣的情況中,該環(huán)可以表示為Z/qZ����,其中q等于兩個質(zhì)數(shù)的乘積,計算其積φ ( A )較困難�。值得注意的是,在環(huán)A上的歐拉函數(shù)φ為提供在該環(huán)A上可逆元素數(shù)量的函數(shù)��。在 A為有限域Ftl的情況中�,可有
φ (A) =q-l通過考慮數(shù)模整數(shù)Z/qZ的環(huán),式中q為數(shù)量I的不同質(zhì)數(shù)的正整數(shù)積且絕對大于 3��,I大于或等于2���,可以獲得
φ{(diào)Α) = Icmip1 -l,p2-\,....pi~ 1)式中1cm表示最小公倍數(shù)����,Pi為I的質(zhì)數(shù)。根據(jù)本發(fā)明一個實施例�����,所獲得的確定性函數(shù)可以有理分式的形式來表示�����,它們用于任何消息或數(shù)據(jù)所執(zhí)行的時間都是相同的���。實際上�,在集A中��,用于冪為3和1/3的函數(shù)為雙射函數(shù)���。因此�����,它們可以表示為有理分式的形式�����,并且因此確定性函數(shù)f可以表示為有理分式的形式����。在集A中���,冪為1/3 的計算與(2φ (a) +1) /3冪的計算相同����。后者為整數(shù)�����,因為φ (A) mod 3 = 1�。下述公式中A滿足χΦ(Α) = 1從該公式中推導(dǎo)出下式(χ3) (2Φ(Α)+1)/3 = χ3(2φ(Α)+1)/3 = χ2φ(Α)+1 = χ因此,可以表示為⑷+ι)/3 = χι/3現(xiàn)在���,能夠獲得橢圓曲線點P的函數(shù)f包括其自身的1/3冪���。因此,用于冪為1/3的函數(shù)的優(yōu)點在于����,對任何A的元素都能以恒定時間進(jìn)行計算,這樣就有可能獲得沒有處理概率性的橢圓曲線的點��。因此,加密計算的執(zhí)行時間不再取決執(zhí)行這個計算的消息����,就如同現(xiàn)有技術(shù)中采用概率性方法來執(zhí)行的這類計算。然而����,在A對應(yīng)有限區(qū)域F,的情況中,確定性函數(shù)f可提供橢圓曲線的至少q/4個點P��。在A對應(yīng)數(shù)模整數(shù)Z/qZ的環(huán)時����,式中q為I個不同質(zhì)數(shù)的正整數(shù)乘積且絕對大于3, I為大于或等于2的整數(shù)���,則確定性函數(shù)f可提供橢圓曲線至少q/41個P點���。這樣的點的數(shù)量,可以確定性的方法在橢圓曲線上獲得��,從而允許具有防止?jié)撛谄平獾妮^高安全性的多種加密應(yīng)用���。在本發(fā)明的一個實施例中���,所使用的橢圓曲線為ffeierstrass (魏爾斯特拉斯)類型的曲線,或者具有特征P的其它特征曲線����。因此,這里所討論的q與2n不同���。公式(1)可以表示為Y2 = X3+aX+b,式中 a = ει2 和 b = ει6����。確定性函數(shù)提供根據(jù)下述不同公式的橢圓曲線的點坐標(biāo)
權(quán)利要求
1.一種在電子元件中執(zhí)行加密計算的方法�����,其包括獲得在橢圓曲線上的點P的步驟���, 所述橢圓曲線滿足下列公式Y(jié)2+aiXY+a3Y = X3+a2X2+a4+X+a6(1)式中叫�、a2����、a3、a4和a6為元素集合A的元素�����,A為數(shù)模整數(shù)Z/qZ的環(huán),q為數(shù)量I的不同質(zhì)數(shù)的正整數(shù)乘積且絕對大于3�,I大于或等于2的整數(shù),或者A為具有質(zhì)數(shù)冪q的有限區(qū)域Fq;其中�����,X和Y為點P的座標(biāo)�����,并且為A的元素��; 所述方法包括下述步驟 /a/確定參數(shù)(11)�;/b/通過將函數(shù)運(yùn)用于所述參數(shù)(12),獲得點P的坐標(biāo)X和Y(13)���; A的歐拉函數(shù)φ滿足公式
2.根據(jù)權(quán)利要求1所述的執(zhí)行計算的方法����,其特征在于�����,所述A不同于F2n,公式(1)表示為Y2 = X3+aX+b式中a = a2 和 b = a6 �;其中確定性函數(shù)根據(jù)下述不同公式提供橢圓曲線的點的坐標(biāo)
3.根據(jù)權(quán)利要求1所述的執(zhí)行計算的方法,其特征在于����,所述q滿足公式 q = 2n���;式中n為奇整數(shù)�,公式(1)表示為 Y2+XY = Y3+aX2+b 式中a = a2 禾口 b = a6 �����;其中確定性函數(shù)根據(jù)下述不同公式提供橢圓曲線的點的坐標(biāo)X = (W4 + Wi ++ H'(16)Y= uX+w2式中u為在步驟/a/中所確定的參數(shù)���;以及�, w = a+u2+u0
4.根據(jù)上述任一權(quán)利要求所述的執(zhí)行計算的方法��,其特征在于���,在步驟/a/中����,通過運(yùn)用哈希函數(shù)獲得參數(shù)。
5.根據(jù)權(quán)利要求4所述的執(zhí)行計算的方法����,其特征在于,所述哈希函數(shù)是單向的����。
6.根據(jù)權(quán)利要求1至5中任一項所述的執(zhí)行計算的方法,其特征在于�����,在步驟/a/中�, 通過執(zhí)行第一哈希函數(shù)h和第二哈希函數(shù)h’來獲得參數(shù),所述加密計算包括應(yīng)用下述函數(shù)f (h) +h' .G式中f為確定性函數(shù)��;G為橢圓曲線的點組的生成器����。
7.—種通過實施根據(jù)上述任一權(quán)利要求所述的加密計算方法所獲得的至少一個密碼進(jìn)行認(rèn)證的方法,其特征在于��,在步驟/a/中將所述參數(shù)確定為密碼的函數(shù)�,所述密碼包括在參數(shù)中,并且根據(jù)點P來執(zhí)行認(rèn)證步驟。
8.一種加密數(shù)據(jù)的方法�,所述加密是基于允許聯(lián)機(jī)操作的橢圓曲線上的 Boneh-Frankli標(biāo)識符;其中所述標(biāo)識符為識別實體的數(shù)字?jǐn)?shù)值�����,所述方法包括下述步驟/a/通過對標(biāo)識符使用執(zhí)行例如權(quán)利要求6所述的加密計算的方法來獲得點����; /b/通過組合所述點、隨機(jī)參數(shù)以及數(shù)據(jù)來獲得加密的數(shù)據(jù)�����。
9.一種在電子元件中執(zhí)行加密計算的方法����,包括在滿足下述公式的橢圓曲線上獲得點 P的步驟Y2+aiXY+a3Y = X3+a2X2+a4+X+a6 (1)式中&1��、 ��、&3��、 和 為元素集A的元素且A為數(shù)模整數(shù)冪Z/qZ的環(huán)����,q為數(shù)量I的不同質(zhì)數(shù)的的正整數(shù)乘積且絕對大于3�,I大于或等于2����,或者A為具有質(zhì)數(shù)冪q的有限的區(qū)域F,;其中,X和Y為點P的座標(biāo)且為A的元素�����, 所述方法包括下述步驟 /a/確定在橢圓曲線上具有坐標(biāo)X和Y的點P ��; /b/通過對點P運(yùn)用函數(shù)獲得參數(shù)���; A的歐拉函數(shù)φ滿足公式φ ( A ) mod 3 = 1�����,所述函數(shù)為由a1; a2, a3, a4和%以及在A中的所述參數(shù)的有理分式所表示的可逆和確定函數(shù)的反函數(shù)���,并且獲得至少q/41數(shù)量的點P,其中對有限區(qū)域F,而言I等于1 ���; /c/在密碼加密或哈?��;蚝灻蛘J(rèn)證和識別應(yīng)用中使用所述參數(shù)�。
10.一種數(shù)據(jù)壓縮的方法��,其中待壓縮數(shù)據(jù)分別對應(yīng)橢圓曲線的點P坐標(biāo)的X和Y的數(shù)據(jù)對���,橢圓曲線滿足下述公式Y(jié)2+aiXY+a3Y = X3+a2X2+a4+X+a6 (1) 式中a” ει2���、a3、a4禾口 a6為元素集A的元素�;其中,A為數(shù)模整數(shù)Z/qZ的環(huán)����,q為數(shù)量I的不同質(zhì)數(shù)的正整數(shù)乘積且絕對大于3�����,I大于或等于2�,或者A為具有質(zhì)數(shù)冪q的有限區(qū)域Ftl ; 其中�,X和Y為點P的座標(biāo)且為A的元素,其中�����,執(zhí)行根據(jù)權(quán)利要求9所述的加密計算方法的步驟/a/至/c/應(yīng)用于各個所述數(shù)據(jù)對,并且所述各個數(shù)據(jù)對由在步驟/c/中分別獲得的參數(shù)表示�。
11.一種電子裝置,包括適用于實施根據(jù)權(quán)利要求1至6中任一項所述的加密計算方法的部件��。
12. 一種電子裝置��,包括適用于實施根據(jù)權(quán)利要求9所述的加密計算方法的部件�����。
全文摘要
一種在電子元件中執(zhí)行加密計算的方法��,其包括獲得在橢圓曲線上的點P的步驟���,所述橢圓曲線滿足公式Y(jié)2+a1XY+a3Y=X3+a2X2+a4+X+a6(1)��,式中a1����、a2��、a3���、a4和a6為元素集A的元素���,其中���,A為數(shù)模整數(shù)Z/qZ的環(huán),q為數(shù)量I的不同質(zhì)數(shù)的正整數(shù)乘積且絕對大于3�����,I大于或等于2���,或者A為具有質(zhì)數(shù)冪q的有限區(qū)域Fq���;其中,X和Y為點P的座標(biāo)且為A的元素��。本方法包括確定直徑(11)�����,以及通過將函數(shù)運(yùn)用于所述參數(shù)(12)�,獲得點P的座標(biāo)X和Y(13)���。A的歐拉函數(shù)對應(yīng)于公式φ(A)mod 3=1�����。所述函數(shù)由在a1�、a2、a3����、a4和a6以及在A中的參數(shù)的有理分式所表示的可逆和確定性函數(shù),且獲得至少q/4I數(shù)量的點��,其中對有限區(qū)域Fq而言I等于1�����。本方法還包括在計算或哈?��;蚝灻蚴跈?quán)或認(rèn)證等加密應(yīng)用中使用所述點P����。
文檔編號H04L9/32GK102318264SQ201080008815
公開日2012年1月11日 申請日期2010年1月8日 優(yōu)先權(quán)日2009年1月14日
發(fā)明者托馬斯·伊卡特 申請人:茂福公司