当前位置：首页 > news >正文

零知识证明-椭圆曲线(五）

news 来源：原创 2024/9/20 14:39:02

这章主要讲述椭圆曲线 N 子群的阶n ，明文嵌入等补充上章的知识点
1：椭圆曲线的阶 一个群中的元素数量称为这个群的阶（order）
当 p 小时，0到p-1的所有整数x代入方程，然后对于每个x都找到所有满足方程的解，这样我们就找到了曲线上所有的点。当p大时，
Hasses 定理：令 E 是Fp上的椭圆曲线，E 上的点的数量 |E| 满足如下条件
y² = x³ - 7x +10 mod 19 G(1,2) p=19 n=24
p+1- p^1/2 <= |E| <= p+1+ p^1/2 //p^1/2为 p开平方根
Schoof算法运用了 Hasses 定理。Hasses定理给出了椭圆曲线在 Fp 的阶的范围，可以看出，当 p 很大时，阶跟 p 的值是比较接近的。
循环子群的阶（Subgroup order）
跟实数域一样，在素数域里面也是选取一个点 P，然后计算倍乘 nP 作为公钥。还是以 y² = x³ - 7x +10 mod 19为例，G(1，2)，我们采用素数域下新的计算公式计算
0G = O 1G(1，2) 2G(18,15) …
8G= O 9G(1,2) 10G(18,15) …
可以发现kG = (k mod 8)G ，即 G 的标量乘法得到的点集是原椭圆曲线群的一个子集，则它是原椭圆曲线群的一个子群，而且是循环子群。子群中元素个数称为子群的阶(示例子群的阶为8)，点 G 称为该子群的基点或者生成元。循环子群是椭圆曲线密码体系的基础，期望子群中元素越多越好，如何找到一个合适的子群尤为重要

根据拉格朗日的群论定理，子群的阶是父群的阶的约数

曲线上点G生成的子群的阶可以用下面方法：
1、使用Schoof算法计算椭圆曲线群的阶数N；
2、找到N的所有除数（约数）
3、对每个N 的除数n ，计算nG ；
4、使 nG=0 成立的最小n就是子群G的阶
此时我们考虑一种特殊情况：假设一个椭圆曲线群的阶数N是质数，那么这个椭圆曲线的子群的阶就只有两种情况：
子群的阶是1，此时的子群只包含一个点O；
子群的阶是N，此时的子群包含椭圆曲线上的所有
EG: y² = x³ - 7x +10 mod 19 G(1,2) p=19 n=24
曲线为例，父群的阶是 24，则以曲线上的点生成的子群的阶只能是
1,2,3,4,6,8,12,24
G=（1,2）， G ≠ O， 2G≠ O，。。。 8G = O, 生成的子群的阶就是 8
G =(3,4) 生成的子群的阶则正好等于父群的阶24

寻找基点G
在加密算法中，我们期望找到一个阶高的子群。不过，通常不是先去找个基点，然后计算子群的阶，因为这样过于不确定，算法上不好实现。相反地，先选择一个大的子群阶，然后再找生成该子群的一个基点就容易多了
子群的阶 n 是父群的阶 N 的约数，即有
N =nh -> h = N/n // ℎ 就是余因子(cofactor)
对椭圆曲线上任意一点 G有 NG=O 。原因很简单，因为N是所有子群的阶的倍数，我们用余因子的定义，可以把这个结论写作：n(hG)=0
现在假设n是一个质数，那么上面这个等式实际上就告诉我们点 P=ℎG 可以生成一个 n 阶子群（除非点 P=ℎG=O ，这种情况下生成的子群的阶是1）

算法概述如下：
1>计算椭圆曲线的阶数 N
2>选择子群的阶数 n。为了使算法有效，数字n必须是质数，并且必须是 N 的除数(约数)
3>计算余因子ℎ=N/n
4>选择椭圆曲线上的一个随机点 G
5>计算 P=ℎG
6>若 P=0 , 就回到步骤4，否则，我们就找到了一个子群的基点，阶数为 n 和余因子为 ℎ

计算小素数p 椭圆曲线方程的阶n 穷举法

#include<stdlib.h>
#include<math.h>const int add_O_point = 1;int main() {int a, b, mod;//1 1 23   n= 28   //还有O点需要增加//-7 10 19  n=24   /还有O点需要增加for (;;) {printf("please input  a,b,mod:");if (3 != scanf_s("%d %d %d", &a, &b, &mod)) {break;}int n = 0;//y^2^ = x^3^+ax+b mod pfor (int i = 0; i < mod; i++) {//int right = i * i * i + a * i + b;for (int j = 0; j < mod; j++) {if ((j * j) % mod == (right % mod)) {printf("%d(%d,%d)\n", ++n, i, j);}}}}return 0;}

package mainimport "fmt"func main()  {a,b,mod := 0,0,0//1 1 23   n= 28   //还有O点需要增加//-7 10 19  n=24   /还有O点需要增加for ;; {fmt.Printf("please input a,b mod：")if _, err := fmt.Scan(&a, &b, &mod); err != nil {fmt.Printf("input error")break}n := 0for i:=0;i<mod;i++ {right := i*i*i +a*i+bright %= modfor j:=0;j<mod;j++{if j*j %mod  == right {n++fmt.Printf("%v (%v,%v)\n",n,i,j)}}}}fmt.Printf("end \n")
}

在这里插入图片描述
域参数
如前所述，椭圆曲线加密算法工作在素数域下的椭圆曲线循环子群中，需要的域参数(Domain Parameter)包括：
p: 素数域的大小。
a, b: 椭圆曲线的系数。 y² = x³ +ax+b mod p
G：生成子群的基点。
n：子群的阶。
h：子群的余因子。
如比特币用来做数字签名中采用的椭圆曲线 [secp256k1] 的域参数如下：

p = 0xFFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFE FFFFFC2F = 2²⁵⁶ - 2³² -2⁹-2⁸-2⁷-2⁶-2⁴-1 = 2²⁵⁶ - 2³² - 977
a = 0, b = 7，即曲线方程是。 y² = x³ +7
G = (0x79BE667E F9DCBBAC 55A06295 CE870B07 029BFCDB 2DCE28D9 59F2815B 16F81798,
0x483ADA77 26A3C465 5DA4FBFC 0E1108A8 FD17B448 A6855419 9C47D08F FB10D4B8)
n = 0xFFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFE BAAEDCE6 AF48A03B BFD25E8C D0364141
h = 1

明文嵌入
一般采用Kobits方法，X=mK+j,其中k是一个从1增大的值，根据二次剩余定理，我们可以大概判断出有1/2的概率x是可以被编码的。因此我们只需要尝试一定次数，在概率上我们可以认为一定可以找到。
也可以采用其他的方法，eg:我们将最后8位设为填充区，通过不断改变它的值，我们也可以找到合法的点
在kobits方法里面，其实没有解决这个问题，当然我们可以采用一些自己的默认规则来帮助识别,eg:y 值小/大的点

参考 https://crypto.stackexchange.com/questions/76340/how-to-create-an-ec-point-from-a-plaintext-message-for-encryption/76343#76343
在这里插入图片描述