sm2椭圆曲线参数选取讲解学习.pdf

精品文档 关于 SM2 椭圆曲线参数选取 一．安全的椭圆曲线的选取 1.椭圆曲线上的公钥密码体制的安全性是建立在椭圆曲线离散 对数的基础上 , 但并不是所有椭圆曲线都可以应用到公钥密码体制 中, 为了保证其安全性 , 必须选取安全椭圆曲线 ,即只有选到合适的 有限域 GF(p)和椭圆曲线 (ECC)，能够抵抗攻击 ECDLP 算法的攻击， 才能保证所选 ECC 的安全性。 若某椭圆曲线存在优于 n1/2 级（ n 是基点阶次）计算复杂度的攻 击方法，则称此曲线为弱椭圆曲线。 Fp 上的超奇异椭圆曲线（有限 域 Fp 的特征整除 q+1-#E （Fp））和 Fp 上的异常曲线（ #E （Fp）=p） 都是弱椭圆曲线。 （国密局文档 p4，p25A.4 抗攻击椭圆曲线满足的条 件）。下面是选取曲线时应遵循的原则： （一种椭圆曲线参数生成的快 速算法） （1）为了抗击 Pollard- ρ攻击，所选取椭圆曲线的阶 #E(GF(p)) 的分解式中应该包含一个大的素数因子，目前应不小于 160bit ； （2）为了抗击 Weil 对和 Tate 对的攻击，对于 1≤k≤30，n 不 k 能除 p -1 （不宜选取超奇异椭圆曲线）； （3）为了抗击 Semaev-Smart-Satoh-Araki 的攻击所选曲线的阶 P 不能等于该曲线所定义的有限域的阶，即 #E(F ) ≠p （不宜选取异常 椭圆曲线）； m （4 ）对于二进制域 GF(2 ) 的度 m不宜为合数。 Gaudry，Hess 和 Smart 提出，若 m有小约数 l （l=4 ），存在比 Pollards rho 算法更 精品文档 精品文档 快求解 ECDLP的方法。 （5）选择 GF(p)的子域 H，满足它的阶 |H| 是#E 的最大素因子 n，并在 H 上实现 ECC。 2.一般来说有 4 种寻找安全椭圆曲线的方法 : （椭圆曲线密码体 制及其参数生成的研究 .2006.DR ） (1) 有限域 GF( p) 上随机生成一椭圆曲线 , 直接计算其阶 , 判断 阶是否为大素数或含大素数因子 , 若是即确定 ,否则继续选取曲线 , 直至符合条件。 (2) 取具有一定特殊性椭圆曲线的系数 , 计算该椭圆曲线的阶 , 对该阶进行判断 , 直至找到所需要的安全曲线。 m (3) 如果 p = 2 , 其中 m 能被一个比较小的整数 d 整除 , 首先在 有限域 GF( p1 ) ( p1 = 2 d ) 上选择一椭圆曲线 E，并计算其阶 , 根据 此值 , 利用 Weil 定理 [ 2] 计算该曲线在其扩域 GF( p) 上的阶 , 若此 阶符合安全标准 , 再找曲线 E 在域 GF( p) 上的嵌入 E, 则 E 即为所 需的安全椭圆曲线。 (4) 首先给出具有安全条件的曲线阶