專利名稱:定制的靜態(tài)Diffie-Helman群的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及密碼系統(tǒng)領(lǐng)域的靜態(tài)群(static group )�。
背景技術(shù):
在1975年由Diffie和Helman引入的公鑰密碼系統(tǒng)使不需要預(yù)先 共享密碼(pre-shared secret)以及具有不可否i人性(non-repudiation property)的數(shù)字簽名的加密通信成為可能。
公鑰加密系統(tǒng)的Diffie-Helman (DH)協(xié)議最具獨(dú)創(chuàng)性的方面是 使用了一種稱為群的數(shù)學(xué)結(jié)構(gòu)����,在該結(jié)構(gòu)中, 一個(gè)特定問題����,離散對 數(shù)問題(discrete logarithm problem)是很難處理的。
一個(gè)群只是一組元素和作用于任意兩個(gè)元素的單個(gè)運(yùn)算��。常見的 群的實(shí)例包括在加法運(yùn)算下的整數(shù)(包含零和負(fù)整數(shù))���、在加法運(yùn) 算下的有理數(shù)��、以及在乘法運(yùn)算下的非零有理數(shù)�。這些常見的實(shí)例是 無限群,但是還存在有限(或離散)群���。部分地由于群的元素可以用 固定位數(shù)傳送,所以密碼系統(tǒng)通常對有限群更感興趣�。有限群的實(shí)例 通常為本領(lǐng)域公知。
最常見的實(shí)例是基于模運(yùn)算(modular arithmetic)的群����。如果p 是素?cái)?shù),t是任意整數(shù)����,則tmodp是t被p除的余數(shù)。從而如果對于 某一整凄史q�����, t=pq+r,并且r包含在0和p國l之間�����,貝'J r=tmodp�����。在才莫 加的運(yùn)算下�����,從0至p-l的整數(shù)組形成一個(gè)群,其中s和t組合變?yōu)?s+tmodp��。這個(gè)群用Zp表示���。更一般地����,p可以是任意整數(shù)����。
從1至p-1的整數(shù)組在模乘運(yùn)算下形成另一個(gè)群,其中s和t組 合變?yōu)閟tmodp�。這個(gè)群用Z/表示,通常稱為modp群���。更一般地����, p可以是具有略微不同運(yùn)算的素?cái)?shù)的任意次冪�����。當(dāng)書寫這些群的運(yùn)算 時(shí),如果在上下文中很清楚�����,符號modp經(jīng)常省略��。
群G的子群是G中的元素子集的群并且具有與G相同的運(yùn)算����。 例如�,群Z/具有次數(shù)為2的子群,所述子群的元素是l和p-l��。更通
常地��,對于群中的任意元素g,存在包含〈g〉元素的最小的子群����,表 示為〈g〉??芍磄〉由關(guān)于整數(shù)X的元素組gX精確給定,其中g(shù)x表 示X個(gè)g的乘積����。在具有加號的群中���,例如Zp,冪gx被替換記作xg。 元素g是〈g〉的生成元����。假如一個(gè)群具有生成元,則它是循環(huán)的�,從
而〈g〉是天然循環(huán)的。群Zp和z/也是循環(huán)的�����,但通常���,群不是必須循環(huán)�����。
群的次數(shù)是元素的數(shù)量���,群Zp具有次數(shù)p并且群Z/具有次數(shù)p-1 。 元素g的次數(shù)是子群〈g〉的次數(shù)��。假設(shè)g具有次數(shù)n。
在運(yùn)算記作乘法的群中�,離散對數(shù)問題可以陳述為給定g和w, 查找整數(shù)x��,使w-gx�����,其中g(shù)x表示x個(gè)g的乘積��。這個(gè)問題通常在這 種情況下提出存在這樣一個(gè)整數(shù)x����,也就是說w是〈g〉的元素��。通 常的對數(shù)問題不要求x是整數(shù)����,并且只在群具有可以定義非整數(shù)冪的 加法屬性時(shí)定義。
在某些離散群中�,離散對數(shù)問題(DLP)難以解決。Diffie和 Hellman利用了 DLP "難"這一事實(shí)����,以提供針對公鑰加密的第一可 行解法�����。在這種情況下����,Alice選擇隨機(jī)整數(shù)x�����,發(fā)送給Bob—個(gè)群元 素gx, Bob選擇一個(gè)隨一幾數(shù)y,并且發(fā)送給Alice —個(gè)群元素gy�����。隨 后���,Alice計(jì)算z—gx)y, Bob計(jì)算z��, =(gy)x��。顯然z:z�����, =§�����、", 所以Alice和Bob可以計(jì)算同一個(gè)值��。 -底如沒有其他能夠計(jì)算z����,則 Alice和Bob已經(jīng)對共享秘密(secret)達(dá)成一致。則該共享密鑰可以 用于加密Alice和Bob之間傳遞的消息�����。這個(gè)協(xié)議是Diffie-Helman密 鑰協(xié)議����。在這個(gè)協(xié)議之前��,Alice和Bob不得不預(yù)先會面以秘密地對z 達(dá)成一致���。這個(gè)協(xié)議使Alice和Bob免于預(yù)先會面�����。
因?yàn)閿?shù)值gx和gy是公開的���,所以這是所謂的公鑰加密����。它們被 稱為公鑰����,而x和y被稱為私鑰。數(shù)據(jù)對(x, g"稱為密鑰對��。對手 Eve看到公鑰�。假如Eve能夠解決DLP,則她能夠從g和gX找到x���。 利用x��, Eve能夠以與Alice相同的方式計(jì)算z,即利用Bob的公鑰gy 和Alice的私鑰x�����。因此����,共享的秘密不再是秘密的���,Eve能夠利用它 解密Alice和Bob互相發(fā)送的被加密消息��。因此�����,Diffie-Helman密鑰
協(xié)議的安全性的先決條件是DLP是"難"題����。Eve不能解決DLP。
幸運(yùn)地���,存在譯碼者認(rèn)為DLP困難的群�。DLP困難的群主要是 兩類公知的群�,即有限區(qū)域的乘法群的子群,以及橢圓曲線群的子群���。 橢圓曲線群具有超過其他DLP群的優(yōu)點(diǎn)利用更少的帶寬傳輸和存 儲公鑰,并且能更快的運(yùn)算�����。
靜態(tài)Diffie-Helman密鑰協(xié)議是Di伍e-Helman密鑰協(xié)議的重要的 變體�����,其中一方或兩方具有不隨時(shí)間改變的密鑰對。如果Alice具有 靜態(tài)密鑰對����,則她的私鑰x和公鑰gx對于所有事務(wù)都保持相同。這樣 的一個(gè)優(yōu)點(diǎn)是Alice可以讓授4又才幾構(gòu)(certificate authority)標(biāo)記她的 公鑰���,則Bob可以從數(shù)據(jù)庫中查找最終的授權(quán)而不用從Alice請求�����。 這樣的一種應(yīng)用是當(dāng)Bob發(fā)送加密郵件給Alice時(shí)����。Alice不必在Bob 能加密郵件之前向Bob發(fā)送g 相反��,Bob從數(shù)據(jù)庫中查找gx,所述 數(shù)據(jù)庫可以是他的地址簿或其他某種公用字典����。對于gx的授權(quán)將進(jìn)一 步向Bob保證,Alice (且只有Alice)能夠解密該電子郵件�。
在某些群中,Diffie-Helman密鑰協(xié)議目前普遍使用在IPSec協(xié)議 中,用于保護(hù)虛擬專用網(wǎng)絡(luò)(VPN)�。包含靜態(tài)變體的Diffie-Helman 密鑰協(xié)議也是普遍使用的Internet Engineering Task Force (IETF )安全 協(xié)議,例如Transport Layer Security ( TLS )(用于保護(hù)網(wǎng)站)�����、Secure Multipurpose Internet Message Extensions ( S/MIME)(用于4呆4戶電子由卩 件)或Secure Shell (SSH)(用于保護(hù)遠(yuǎn)程登錄計(jì)算機(jī))的可選擇特 征��。因此��,需要使Di迅e-Helman密鑰協(xié)議盡可能安全�。
靜態(tài)Di伍e-Helman密鑰協(xié)議的安全性不僅取決于離散對數(shù)是難 的。特別地�����,對手確定Alice的靜態(tài)私鑰的方法是通過向Alice發(fā)送特 別選擇的公鑰gy并從Alice獲得最終共享秘密2=『��。在多數(shù)群中�����,利 用這種主動攻擊查找x比直接求解離散對數(shù)問題更容易���。
對于本領(lǐng)域技術(shù)人員,上述攻擊在兩個(gè)方面不完全是實(shí)際的�����。然 而,確定的是�����,這種屬性的攻擊是纟艮值得考慮的�����。
第一��,受害者Alice不會向?qū)κ直┞豆蚕砻孛躾�。然而,z的目的 是應(yīng)用�,而且量化應(yīng)用z的準(zhǔn)確方式是很難限定的。z的任何使用將
導(dǎo)致多少有些暴露�����。因此��,譯碼者(cryptographer)已經(jīng)發(fā)現(xiàn)考慮精 選的暗文攻擊是明智的����,在所述暗文攻擊中����,受害者暴露了她的私鑰 運(yùn)算結(jié)果�。而且,對精選的暗文攻擊表現(xiàn)出抵抗力意味著更弱的攻擊 也被阻止了����。為了謹(jǐn)慎,譯碼者尋求阻止可能的最強(qiáng)攻擊�����,而不僅是 最弱的攻擊��。因此假設(shè)z會暴露既是謹(jǐn)慎的也并非完全不合實(shí)際的�。
第二,在Di迅e-Helman密鑰協(xié)議的多數(shù)標(biāo)準(zhǔn)化版本中���,共享的 秘密z只用于一個(gè)目的���,即得到密鑰。為此��,采用密鑰推導(dǎo)函數(shù)(KDF )。 Alice將計(jì)算k=KDF ( z )���。密鑰推導(dǎo)函數(shù)通常選擇為一種單向函數(shù), 意思是沒有僅從k重建z的已知途徑�����。因此����,在上述攻擊中Alice更 有可能將k暴露給對手而不是z。然而����,為了執(zhí)行,攻擊需要z�。如 果Alice僅暴露k,攻擊不能用來查找x。因?yàn)镵DF是單向的�����,攻擊 者不能從暴露的k值中恢復(fù)z�。
在考慮上述攻擊之前,已經(jīng)知道采用KDF具有一些比較不重要 的安全利益����。其中之一是共享的秘密z經(jīng)常是可與隨機(jī)數(shù)區(qū)分的����。因 為z是與隨機(jī)數(shù)可區(qū)分的���,所以作為密鑰是不理想的����。然而���,直到考 慮上述攻擊��,才知道z實(shí)際上會泄露關(guān)于x的某些信息��。
許多協(xié)議和Diffie-Helman密鑰協(xié)議的執(zhí)行不嚴(yán)格利用KDF�,在 一些智能卡實(shí)施中�����,智能卡將z暴露給智能卡閱讀器��,并且智能卡閱 讀器應(yīng)用KDF��。在這樣的系統(tǒng)中,惡意的智能卡閱讀器可能使用攻擊 和來自智能卡的z值以推斷智能卡中的私鑰x�����。在某些協(xié)議中���,例如 基本ElGamal力。密十辦i義,i殳計(jì)有Chaum和van Antwerpen的不可否i人 的簽名�,從而實(shí)體Alice暴露z作為協(xié)議的一部分。因此這些協(xié)議易 于受到攻擊����。然而,這兩個(gè)協(xié)議是在知道KDF的任何好處之前i殳計(jì) 的��。這些協(xié)議可以很容易地通過使用KDF修正��。實(shí)際上�����,Di迅e-Helman 擴(kuò)展加密方案(DHAES)是由Bellare和Rogaway設(shè)計(jì)的��,設(shè)計(jì)為 ElGamal的改進(jìn)���,其中��,在采用z作密鑰之前將KDF施加到共享秘密 z��。
其他的協(xié)議存在���,然而�����,它們不容易通過增加KDF進(jìn)行修正����。 一種這樣的協(xié)議是Ford-Kaliski密鑰恢復(fù)協(xié)議��。在該協(xié)議中�,基點(diǎn)g
是客戶端密碼的函數(shù),并且Alice是服務(wù)器端�����?�?蛻舳诉x擇隨機(jī)數(shù)y 并且發(fā)送gy到Alice�����。為了該協(xié)議執(zhí)行,��,Alice必須向任何與她一起 執(zhí)行Diffie-Helman密鑰協(xié)議的客戶端暴露共享的秘密z����。從z中,客 戶端得到靜態(tài)值gx����,該值是客戶端密鑰和服務(wù)器端私鑰x兩者的函數(shù)�。 因?yàn)楸绕胀艽a更難猜,靜態(tài)值gx稱為恢復(fù)密鑰(retrieved key)或 硬化密碼(passwordhardening)��。密鑰恢復(fù)或密碼硬化是Ford-Kaliski 協(xié)議的主要目的��??蛻舳送ㄟ^計(jì)算z^g^來實(shí)現(xiàn)該目的,其中u使 yu在指數(shù)空間等于1 ��。如果Alice將KDF施加到z�,該協(xié)議不執(zhí)行, 因?yàn)檫@樣客戶端將不能恢復(fù)靜態(tài)值���。對手可能建立惡意的客戶端以利 用z值得到Alice的私鑰x����。因?yàn)閷κ脂F(xiàn)在知道了 x,猜gx就象猜密碼 x—樣容易。特別地�,對手可能能夠啟動字典:J叟索以非常迅速地確定 硬化密碼。因此�,這次攻擊擊敗了 Ford-Kaliski協(xié)議的主要目的。
一個(gè)完全不同的方面是靜態(tài)Di伍e-Helman問題是困難的����。更準(zhǔn) 確地,在不知道私鑰x的時(shí)候難以計(jì)算wx��。取w-gy表示破解靜態(tài) Diffie-Helman協(xié)議與查找x —樣困難��。按照上述攻擊這似乎是自相矛 盾的�,但事實(shí)上不是。在上述攻擊中����,對手是主動的。對手使用受害 者解決關(guān)于gy的Diffie-Helman問題���。這給了對手解決Diffie-Helman 問題的能力�,這相當(dāng)于查找x的問題。更準(zhǔn)確地�����,靜態(tài)DH問題幾乎 和將x確定為某個(gè)因子一樣難�����。
寸叚如Alice設(shè)法防止攻擊�,比方說利用KDF,則這仍然是正確的 解決靜態(tài)DH問題幾乎和查找x —樣難。這為Alice提供了沒有人能 解決靜態(tài)Diffie-Helman問題的保證�,這意味著除了她和Bob沒有其 他人知道私鑰y,也沒有其他人能計(jì)算公共秘密z。這個(gè)屬性的結(jié)果 是公知的可證實(shí)安全�����。
先前DH問題的可證實(shí)安全結(jié)果沒有涉及靜態(tài)變體�����。因此��,先前 的結(jié)果沒有就利用Alice的私鑰為她提供同樣多的保證�����。而且���,沒有 與先前安全結(jié)果相應(yīng)的已知攻擊���。關(guān)于DH的可證實(shí)安全結(jié)果的有效 性,取決于DH群的選擇���。因此采用這樣的群是理想的�����,在該群中包 括靜態(tài)DH問題的DH問題是難的���。
因此,本發(fā)明的目的是避免或減輕上面提到的缺點(diǎn)���。
發(fā)明內(nèi)容
在一方面�����,本發(fā)明提供一種選^f奪用于靜態(tài)Di伍e-Helma密鑰協(xié)議 的modp群以防止對手主動攻擊的方法�,包括步驟選擇偶數(shù)h值, 搜索r和n值以滿足關(guān)系式i^hr+l��,其中�����,r和n是素?cái)?shù)��,并且搜索 一個(gè)值t以計(jì)算p—n+l�,其中p是素?cái)?shù)。
在另 一方面���,本發(fā)明提供了 一種選擇用于靜態(tài)Diffie-Helma密鑰 協(xié)議的定義在二元區(qū)域上的橢圓曲線群以防止對手主動攻擊的方法���, 包括步驟選擇隨機(jī)曲線,計(jì)算曲線上的點(diǎn)數(shù)��,并且檢驗(yàn)曲線上的點(diǎn) 數(shù)是2n�,其中n是素?cái)?shù)且n-l滿足優(yōu)選的標(biāo)準(zhǔn)�。
仍然在另一方面,本發(fā)明提供了一種選擇用于靜態(tài)Diffie-Helma 密鑰協(xié)議的定義在次數(shù)為q的素?cái)?shù)區(qū)域上的橢圓曲線群以防止對手主 動攻擊的方法��,包括步驟計(jì)算n-hr+l�,其中,n是素?cái)?shù)且n-l滿足 優(yōu)選的標(biāo)準(zhǔn),并且執(zhí)行關(guān)于n的復(fù)數(shù)乘法方法�,由此產(chǎn)生q值和具有 次數(shù)n的定義在q值上的橢圓曲線E 。
在下列結(jié)合附圖的詳細(xì)說明中����,本發(fā)明的特征將變得更清楚,其
中
圖l是密碼系統(tǒng)的示意圖2表示在一個(gè)modp實(shí)施例中的步驟的流程圖3表示在第 一 簡化橢圓曲線實(shí)施例中的步驟的流程圖4表示在第二簡化橢圓曲線實(shí)施例中的步驟的流程圖�����。
具體實(shí)施例方式
參考圖1����, 一對通信方A和B通過數(shù)據(jù)通信鏈路12連接。通信 方A和B中的每一方具有密碼單元14�����,該加密單元根據(jù)已建立的協(xié) 議執(zhí)行公鑰密碼運(yùn)算以確保鏈路1上通信的安全���。密碼單元14在密
碼域(cryptographic domain)內(nèi)運(yùn)算�,密碼域的參凄i由其4也方共享�����。
由通信方A、 B共享的域參數(shù)包括群G����、群G的次數(shù)p和具有次 凄史n的群的生成元(generator) g。
本發(fā)明既應(yīng)用于橢圓曲線群也應(yīng)用于有限區(qū)域的乘法子群���,通常 公知的mod p群�����。因?yàn)閙od p群更容易理解�����,首先解釋mod p實(shí)施例 20并在圖2中通常地表示��。因此�����,適用于兩種情況的本發(fā)明的幾個(gè)方 面更容易理解�����。然而����,因?yàn)樵趫?zhí)行性能上的多種優(yōu)勢���,本發(fā)明的優(yōu)選 實(shí)施例利用了橢圓曲線群�����。
Modp實(shí)施例
為了簡化表達(dá)�,我們假設(shè)在Z/中的Di伍e-Helman礎(chǔ)(base)或 生成元g具有次數(shù)n, n為素?cái)?shù)�����。對于本領(lǐng)域技術(shù)人員來說�����,延伸到 的g具有非素?cái)?shù)次數(shù)的情況是顯然的�。
域名參數(shù)的安全性取決于n-l的整數(shù)因子u的大小。如果已知的 因子u接近n"3,則上述攻擊10具有大約3111/3的成本��。這與通常的 DLP攻擊相比相當(dāng)小�����,DLP攻擊具有大約n1/2的成本。隨機(jī)數(shù)n通常 具有接近n1/3的因子u是公知的��,因此隨機(jī)地選擇n將不會避免攻擊 10�。在現(xiàn)有技術(shù)中,n通常選擇為哈希函數(shù)(hash function)的輸出����, 哈希函數(shù)使n隨機(jī)更加有效,但不會避免攻擊���。通過適當(dāng)?shù)剡x擇n��, 有可能避免具有接近111/3的因子��。應(yīng)該理解��,參數(shù)的選擇和測試?yán)?編程的計(jì)算裝置執(zhí)行以進(jìn)行必要的計(jì)算�。該計(jì)算的結(jié)果是一組域參 數(shù)��,所屬域參數(shù)可以用于在單元14上執(zhí)行密碼函數(shù)�。
在第一實(shí)施例中,通過選擇『hr+l避免該因子�,其中r是素?cái)?shù), h是與r相比相對小并且足夠小以至小于111/3的整數(shù)。然后n-l的因子 是具有f或fr的型(form),其中f是h的因子���。如果h明顯小于n"3, 則因子f也明顯小于n"3����,因?yàn)閒至多為h�����。如果h明顯小于n"3���,則r 明顯大于n"3,從而因子fr明顯大于n"3。因此n-l的所有因子將明顯 小于或大于n1/3�����。因而避免了在靜態(tài)Diffie-Helman上的攻擊����。
已經(jīng)選擇了式hr+l的n,還必需選擇p。群理論的標(biāo)準(zhǔn)定理是元 素的次數(shù)除它的群的次數(shù)����。因?yàn)間是Z/的元素,它的次數(shù)n必須除 Z/的次數(shù)���,Z/的次數(shù)是p-l�。因此,對于某個(gè)整數(shù)t, p=tn+l�����。
因?yàn)槿篫/具有用于求解DLP的指數(shù)微積分(index calculus )算 法�����,通常的應(yīng)用是選擇比n大很多的p�。該思想是使次數(shù)n的群〈g〉 的一般DLP求解算法具有與Z/中的指數(shù)微積分(index calculus)算 法近似的成本。例如����,如果n是大約2^并且p是大約21024,則這兩 種DLP求解算法具有約等于28()次群運(yùn)算的成本�。另一種n的通常選 擇是大約2256, p的選擇是大約23Q72���,其中兩種DLP求解算法花費(fèi)大 約2128次運(yùn)算�。選擇這樣一個(gè)小n的主要優(yōu)點(diǎn)是因?yàn)橹笖?shù)較小�����,在 群<8>中求冪更快。
為了獲得上述相關(guān)大小的p和n,只要選擇適當(dāng)大小的t�����。關(guān)于第 一個(gè)實(shí)例���,選擇t大約是21G24-16Q=2864,而在第二個(gè)實(shí)例中t是大約22816�。 因?yàn)閜和n是奇數(shù),需要選擇t為偶數(shù)�。關(guān)于tmod3、 t mod 5的類 似決策(observations)也可以這樣做出��。
一般的過程是首先選擇需要型的n,然后嘗試多個(gè)t值���,直到找 到一個(gè)使p為素?cái)?shù)的值�。用于在小概率范圍內(nèi)確定p是素?cái)?shù)的快速檢 驗(yàn)是存在的����。這些檢驗(yàn)迅速地排除不是素?cái)?shù)的t的候選值。從而查找 合適的t很快����。實(shí)際上�,這是公知的從n開始查找p的最佳方式��。
為了構(gòu)造型hr+l的n,最初選^^一個(gè)h的近似大小或h的精確值�, 然后,通過期望的n的近似大小���,確定r的近似大小�����。事實(shí)上���,剛剛 確定的范圍內(nèi)的各種h和r可以被選擇和——檢查其適合性。 一個(gè)所 選擇的r值被檢驗(yàn)是否是素?cái)?shù)��,計(jì)算數(shù)值『hr+l��,然后檢驗(yàn)n是否為 素?cái)?shù)����。可以使用篩選(sieving)技術(shù)以選擇不具有小素?cái)?shù)因子例如2�、 3���、 5的r和n。這減少了進(jìn)行素?cái)?shù)檢驗(yàn)的數(shù)值r和n的數(shù)量����。利用h, 對n和r可以一起進(jìn)行篩選��,以4更更高效�。應(yīng)該注意,因?yàn)閞和n都 是素?cái)?shù)并且因此是奇數(shù)�����,所以h必須是偶數(shù)���。
在選擇數(shù)值h的近似大小或數(shù)值時(shí),需要一定的注意�����。最小的選 擇是11=2����。然而���,盡管h^2防止了上述攻擊并且防止了應(yīng)用現(xiàn)有技術(shù) 時(shí)的可證明安全結(jié)果,但這樣的選擇也可能太小了�����。
存在可證明安全結(jié)果有效的同時(shí)防止上述攻擊的h的范圍���。這個(gè) 范圍取決于執(zhí)行標(biāo)量乘法所需的群運(yùn)算的數(shù)量���。h的最優(yōu)值似乎是
(9/16 ) (log2n) 2,但是在這個(gè)值的0.5到2倍范圍內(nèi)的h值都可以采 用��。對于近似于該大小的h,靜態(tài)Diffie-Helman問題將會差不多與將 靜態(tài)Diffie-Helman私鑰確定為可接受的因子一樣困難���。這個(gè)因子可 以在h的全部選擇范圍內(nèi)優(yōu)化��。而且�����,通過h的這一選擇����,上述攻擊 具有約等于n^群運(yùn)算的成本。這意味著該攻擊不比查找x的一般DLP 求解算法更好���。因此在這種情況下���,該攻擊是不相關(guān)的。
總的來說�����,首先選擇近似(9/16) (log2n) 2次數(shù)的偶數(shù)h��,然后 假如所選擇的n是素?cái)?shù)����,則利用對r和n篩選和素?cái)?shù)檢驗(yàn)搜索r和n。 最后搜索t以得到p=tn+l為素?cái)?shù)��。
這個(gè)方法的更進(jìn)一步的效率提高也是有可能的�����。在這個(gè)方法中����, 搜索n和t,從而p具有使規(guī)約模(reduction modulo ) p更有效的型�。 例如,假如p具有低的漢明權(quán)重(Hamming weight),則規(guī)約模p更 有效�����。這使得模乘(modular multiplication )�����, Zp^的群運(yùn)算更有效�。
這個(gè)方法的更進(jìn)一步的安全性提高也是有可能的。r值能夠選擇 為可檢驗(yàn)的隨機(jī)數(shù)�,r值能夠選擇為散列函數(shù)的輸出。
這兩種進(jìn)一步的提高可以合并�,通過選擇r為可檢驗(yàn)的隨機(jī)數(shù), 然后搜索t值使p具有更有效的模簡約���。
如果不關(guān)注上述攻擊�����,因?yàn)檫@樣的對手對于特定協(xié)議的特定實(shí)施 是不實(shí)際的��,則可以不同地選擇Diffie-Helman群�����?����?赡軟]有必要避 免大小接近n1/3的因子u���,然而仍然希望靜態(tài)Diffie-Helman問題和一 般Di伍e-Helman問題是困難的�。為了使靜態(tài)Di伍e-Helman問題困難�����, 只需要大小近似(9/16) (log2n) 2的n-1的因子�����。在現(xiàn)有數(shù)論知識中 是否隨機(jī)數(shù)n會具有這種大小的因子是不清楚的�。因此,可以選擇隨 機(jī)數(shù)n并查找這樣的因子����,或者構(gòu)造具有這樣大小的因子h的n����。后 者可以通過選擇h�����、選擇任意r (不必是素?cái)?shù))�,并檢測n=hr+l是否是 素?cái)?shù)來完成�。
為了確保臨時(shí)的、或兩面的(two-sided), Diffie-Helman問題是
困難的����,可以利用現(xiàn)有的可證明安全結(jié)果。Maurer和Wolf的結(jié)果需 要查找輔助群��,通常是定義在大小為n的有限區(qū)域上的橢圓曲線��。輔 助群要具有光滑的次數(shù)(沒有大素?cái)?shù)因子)���。搜索這樣的輔助群需要 花費(fèi)相當(dāng)大的努力�����,并且可能無法達(dá)到n的較大值����。實(shí)際上��,查找這 樣的群幾乎和查找與n同樣大小的整數(shù)因子一樣困難�。
一個(gè)den Boer的以前的結(jié)果提到n-l是光滑的���,(臨時(shí)) Diffie-Helman問題幾乎和DLP —樣困難�����。
因此,現(xiàn)有技術(shù)的進(jìn)一步加強(qiáng)包括一種選擇11=1+8的方法�,其中
s是光滑整數(shù)(smooth integer )��。這個(gè)s可以作為小素?cái)?shù)的乘積找到����, 從而獲得正確的大小。然后檢驗(yàn)n是否為素?cái)?shù)?����?梢栽囼?yàn)多個(gè)s值。 在這種方式下選擇n的好處在于�����,通常意味著n-l具有大小足夠接近 (9/16) (log2n) 2的因子���,該因子確保靜態(tài)Diffie-Helman問題是困難 的,而不僅是臨時(shí)的Di伍e-Helman問題�。
由于這樣的n,素?cái)?shù)p^n+l可以如上那樣發(fā)現(xiàn)�。而且�,也可能利 用這種方法尋找特定結(jié)構(gòu)例如低漢明權(quán)重的n和p�。
橢圓曲線實(shí)施例
原則上��,上面描述的技術(shù)也用于橢圓曲線群的情況。更準(zhǔn)確地�����, n的理想標(biāo)準(zhǔn)是同一的��。然而��,在這種情況下��,次數(shù)為n的生成元g 不是Z/的元素�����,是橢圓曲線群E的一個(gè)元素。在modp的情況下��, 一旦確定了 n,就相對直接地找到群Zp'。對于橢圓曲線不能這么說。 對于一個(gè)確定的n,查找一個(gè)橢圓曲線群E仍然非常困難���。
因?yàn)闄E圓曲線使用戶運(yùn)算比群Z/更有效����,橢圓曲線的情況是本 發(fā)明的優(yōu)選實(shí)施例。這個(gè)實(shí)施例的方法比Z/情況略^f鼓復(fù)雜���,但是值 得的。
為了使表達(dá)更清楚,介紹并在圖3和圖4中示出了橢圓曲線實(shí)施 例中該方法的某些簡化型����。
在第一簡化型30中,橢圓曲線定義在二元區(qū)域(binaryfield)上����。 對于這些曲線�����,確定橢圓曲線群的次數(shù)非常容易�。簡化方法是選擇隨
機(jī)曲線����,計(jì)算點(diǎn)數(shù),核對點(diǎn)數(shù)是2n,其中n是素?cái)?shù)����,并且n-l滿足理 想的標(biāo)準(zhǔn)。優(yōu)選的標(biāo)準(zhǔn)是n-hhr,其中r是素?cái)?shù)并且h近似為(9/16) (log2n)2�。替代的標(biāo)準(zhǔn)是n-l是光滑的,假設(shè)不關(guān)心上述攻擊����。
在第二簡化型中,橢圓曲線定義在次數(shù)為q的素?cái)?shù)區(qū)域上�。q值 在確定n值之后確定。n值的選擇與上所述mod p群的情況一樣��。n 值可以滿足優(yōu)選的標(biāo)準(zhǔn)或替代的標(biāo)準(zhǔn)�����。然后,如ANSI x 9.62或正EE 13.63中闡述的復(fù)數(shù)乘法方法用于查找q值和定義在q上具有次數(shù)n 的橢圓曲線E�。
通常,復(fù)數(shù)乘法方法涉及首先選擇q���,因?yàn)榇_定的q值為用戶 提供更好的效率���。然而,如果首先選4奪n���,復(fù)數(shù)乘法方法也能實(shí)施。 一旦在復(fù)數(shù)乘法方法的第一階段發(fā)現(xiàn)q和n具有正確的數(shù)論關(guān)系�����,第 二階4殳確定定義橢圓曲線E的系數(shù)��。
第二簡化方法的缺點(diǎn)是作為結(jié)果的q在n的哈斯區(qū)間(Hasse interval)中具有或多或少的隨機(jī)數(shù)的型�����,所述區(qū)間是距離n大約n1/2 范圍之內(nèi)的所有整數(shù)���。出于給用戶提供更好的效率的原因�,q的特定 型是更理想的,例如在二元展開中的低漢明權(quán)重��。
換句話說���,對于q和n都具有這樣的型是理想的���。q的型是為了 效率,而n的型是為了安全性���。為此�����,對復(fù)數(shù)乘法方法的第一階段略 微修改����。嘗試特定期望型的q和n,然后檢驗(yàn)這對值以便看它們是否 滿足復(fù)數(shù)乘法(CM)方法要求的條件�。這個(gè)條件相對容易直接檢驗(yàn)。 當(dāng)q給定���,求解滿足該條件的n不容易�,反之亦然�����。
復(fù)數(shù)乘法的第一階段的修改是嘗試多個(gè)不同的具有理想式的q和 n對,檢驗(yàn)q和n的CM方法條件�,重復(fù)直至CM條件滿足,然后利 用CM方法的通常過程查找橢圓曲線E的定義系數(shù)a和b��。
CM方法是公知的方法�,但是它的修改形式不是公知的。利用如 本發(fā)明優(yōu)選實(shí)施例描述的CM方法的修改形式�,能夠找到非常有效并 非常安全的Diffie-Helman橢圓曲線群。
以一個(gè)實(shí)例解釋這個(gè)方法的生命力�。利用替代的標(biāo)準(zhǔn),即n-l是
光滑的�,發(fā)明人已經(jīng)發(fā)現(xiàn)數(shù)值對n=l+55 ( 2286 )和q=9+55 ( 2288 )都
是素?cái)?shù)��。CM方法的本領(lǐng)域技術(shù)人員應(yīng)該理解這個(gè)數(shù)值對的判別式是 55�����。這個(gè)判另ll式在kronecker類凄史(kronecker class number)比一大的 意義上是非平凡的����,所以橢圓曲線的自同態(tài)環(huán)(endomorphismring) 不是唯一的因數(shù)分解域。特別地��,這意味著不能從預(yù)定表中找到橢圓 曲線E的系數(shù)a和b并且必須通過求解次數(shù)為q的有限區(qū)域上的適度 大次數(shù)的多項(xiàng)式方程計(jì)算。
如上所述��,該技術(shù)可以用于產(chǎn)生具有理想特征的域參數(shù)���。這種產(chǎn) 生這些特征的方式還有助于檢驗(yàn)由第三方提供的域參數(shù)的效力以確 保它們不易受到攻擊���。可以枱r驗(yàn)參數(shù)以確保p和n值滿足要求的形式��。 假如它們不滿足標(biāo)準(zhǔn)�����,則可以拒絕域參數(shù)��。
盡管本發(fā)明結(jié)合特定實(shí)施例描述����,不背離由所附權(quán)利要求書界定 的本發(fā)明精神和范圍的各種修改對于本領(lǐng)域技術(shù)人員是顯而易見的。 上面所有引用的參考文件的整個(gè)內(nèi)容作為引用結(jié)合于此����。
權(quán)利要求
1、一種確定有限群G的參數(shù)的方法,所述有限群G具有素?cái)?shù)次數(shù)p和次數(shù)為n的生成元g��,所述方法包括步驟i)選擇型n=hr+1的n值��,其中h是整數(shù)�,r是素?cái)?shù),并且h與r相比相對較?�?���;ii)選擇偶整數(shù)t并且計(jì)算tn+1,其中t是偶整數(shù)���;iii)檢驗(yàn)計(jì)算值p=tn+1的素?cái)?shù)性�;以及iv)如果所述p值為素?cái)?shù)����,采用次數(shù)p的計(jì)算值��。
2�����、 根據(jù)權(quán)利要求1所述的方法,其特征在于�,選擇n的近似值并且 選擇遠(yuǎn)小于n^的h。
3����、 根據(jù)權(quán)利要求1所述的方法,其特征在于����,n必須為素?cái)?shù),并且 n值要進(jìn)行素?cái)?shù)性檢驗(yàn)���。
4�、 根據(jù)權(quán)利要求1所述的方法�,其特征在于,r和n的值通過篩選 以排除那些具有小素?cái)?shù)的值����。
5、 根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述群是橢圓曲線群�����, 并且所述方法包括計(jì)數(shù)曲線上的點(diǎn)并且確定點(diǎn)數(shù)為2n的步驟。
6���、 一個(gè)具有次數(shù)p和次數(shù)為n的生成元g的有限群G,其特征在于�, n=hr+l����,其中,h是整數(shù)且r是素?cái)?shù)��,并且其中p^n+l�����,其中t為整數(shù)��。
7�����、 一種驗(yàn)證用于群G的密碼系統(tǒng)的域參數(shù)方法���,所述群G具有次 數(shù)p和次數(shù)為n的生成元g,所述方法包括步驟確定n=hr+l,其中h 是整數(shù)且r是素?cái)?shù)����,并且確定p^n+l��,其中t為整數(shù)�。
全文摘要
本發(fā)明公開了選擇用于靜態(tài)Diffie-Helma密鑰協(xié)議的群以防止對手主動攻擊的方法��,在mod p群中��,選擇近似(9/16)(log<sub>2</sub>n)<sup>2</sup>的偶數(shù)h值�,用篩選和素?cái)?shù)檢驗(yàn)確定r和n值,并且搜索t值以計(jì)算p=tn+1���,其中p是素?cái)?shù)����。在定義在二元區(qū)域上的橢圓曲線群中��,選擇隨機(jī)曲線�����,計(jì)算曲線上的點(diǎn)數(shù)�,并且檢驗(yàn)曲線上的點(diǎn)數(shù)是2n,其中n是素?cái)?shù)且n-1滿足優(yōu)選的標(biāo)準(zhǔn)�。在定義在q次的素?cái)?shù)區(qū)域上的橢圓曲線群中�,計(jì)算n=hr+1����,其中,n是素?cái)?shù)且n-1滿足優(yōu)選的標(biāo)準(zhǔn)�����,并且執(zhí)行關(guān)于n的復(fù)數(shù)乘法方法����,由此產(chǎn)生值q和具有次數(shù)n的定義在q上的橢圓曲線E。
文檔編號H04L9/30GK101099328SQ200580046419
公開日2008年1月2日 申請日期2005年11月11日 優(yōu)先權(quán)日2004年11月11日
發(fā)明者丹尼爾·R.·L.·布朗, 斯科特·A.·萬斯通, 羅伯特·P.·加朗特 申請人:塞爾蒂卡姆公司