Crypto入门-离散对数相关入门

基础知识

ElGamal

密钥生成方法：选择一个$p\in \mathbb{P}$和$\mathbb{Z}{p}^{\ast }$，且$p-1$有很大的素因子，选取$\mathbb{Z}{p}^{\ast }$的生成元$g$，选择随机的$k$，其中$0<k<p-1,k\in \mathbb{Z}$，计算$y=g^{k}modp$，即得到公钥为$(p,g,y)$，私钥为$k$。

加密：选择随机的$r$，其中$0<r<p-1,r\in \mathbb{Z}$，得到密文$(y_1,y_2)$为$(g^{r}modp,m{y}^{r}modp)$，其中$m$为明文。

解密：通过私钥$k$计算：

$$\begin{array}{r}\begin{array}{cc}& {\left(y_1^k\right)}^{-1}{y}_{2}modp\\ =& (g^{rk}{)}^{-1}m{y}^{r}modp\\ =& m\end{array}\end{array}$$

ECC

圆锥曲线公钥密码使用形如$y^2=x^3+ax+b$且满足$(4a^2+27b^2)modp\ne 0$的曲线来进行计算。

对于圆锥曲线上的一个整点$P=(x,y)$，规定加法为：作$P$的切线交于圆锥曲线于另一点$R$，过$R$作$Y$轴的平行线交曲线于$Q$，则$P+R=Q$。规定乘法为：$nP$等于$n$个$P$相加，则$n={\log }_{P}nP$。如果$nP$可以表示椭圆曲线中的所有点，则称$P$为椭圆曲线的一个生成元，使$nP$称为无穷远点的最小的$n$称为$P$的阶。

密钥生成方法：选择一条满足性质的公开的圆锥曲线$E$和它的生成元$G$，再选择一个$n\in {\mathbb{N}}_{+}$，计算$P=nG$，公钥为$P$，私钥为$n$。

加密：选择一个小于曲线$E$的阶的随机$k$，其中$k\in {\mathbb{N}}_{+}$，计算$kG=(x_1,y_1)$，将待加密的信息编码为$E$上的一个点，计算$M+kP=(x_2,y_2)$，其中$P$为公钥，加密结果为$((x_1,y_1),(x_2,y_2))$。

解密：计算$n(x_1,y_1)=nkG=kP$，得到明文$M=(x_2,y_2)-kP$。

暴力计算

当$p$小于$1\mathrm{e}7$数量级时可考虑暴力计算，时间复杂度为$O(n)$。

例如以下曲线和点，求${\log }_{P}Q$：$a=123,b=234,p=31337,P(233,18927),Q(1926,3590)$。

暴力解法：

#sage
k.<a>=GF(31337)
E=EllipticCurve(k,[123,234])
P=E([233,18927])
Q=E([1926,3590])
for i in xrange(31337):
    if(i*P==Q):
        print i
        break

更高效的计算方法

在$p=31337,g=5,y=15676$情况下，解$y=g^{x}modp$：

#sage
F=GF(31337)
g=F(5)
y=F(15676)
#BSGS大步小步算法 通用 时间复杂度$O(\sqrt{2})$
x=bsgs(g,y,(0,31336),operation='*')
#自动选择BSGS或Pohlig Hellman算法 当模数没有大素数因子 时间复杂度$O(\sqrt{p})$（p为模数最大素因子）
x=discrete_log(y,g,operation='*')
#Pollard rho算法 模p乘法群的阶为素数 时间复杂度$O(\sqrt{2})$
x=discrete_log_rho(y,g,operation='*')
#Pollard Lambda算法 确定所求值在某一小范围
x=discrete_log_lambda(y,g,(5000,6000),operation='+')

椭圆曲线的情况：

k.<a>=GF(31337)
E=EllipticCurve(k,[123,234])
P=E([233,18927])
Q=E([1926,3590])
#BSGS
n=bsgs(P,Q,(0,31336),operation='+')
#BSGS或Pohlig Hellman
x=discrete_log(Q,P,operation='+')