ECC(椭圆曲线密码编码学)简介

参考：ECC加密算法入门介绍

ECC（Elliptic Curves Cryptography，椭圆曲线密码编码学）属于公开密钥算法。

一、平行线

假设平行线相交于无穷远点P∞，那么所有直线都相交，且只有一个交点。为与无穷远点相区别把原来平面上的点叫做平常点。无穷远点的性质：

直线上的无穷远点只能有一个。
平面上一组相互平行的直线有公共的无穷远点。
平面上任何相交的两直线有不同的无穷远点。
平面上全体无穷远点构成一条无穷远直线。
平面上全体无穷远点与全体平常点构成射影平面。

二、射影平面坐标系

射影平面坐标系是对普通平面直角坐标系的扩展，可以表示无穷远点。

对普通平面直角坐标系上的点A的坐标（x,y）做如下改造：

令x=X/Z ，y=Y/Z（Z≠0），则A点可以表示为（X:Y:Z）。比如点（1,2）在新坐标系下可表示为（1,2,1）等如（Z:2Z:Z）的点。

也可以得到直线的方程aX+bY+cZ=0。平行直线的方程是：
aX+bY+c1Z =0； aX+bY+c2Z =0 (c1≠c2)；

将二方程联立，求解。有c2Z= c1Z= -（aX+bY），∵c1≠c2 ∴Z=0 ∴aX+bY=0；
所以无穷远点就是这种形式（X：Y：0）表示。注意，平常点Z≠0，无穷远点Z=0，因此无穷远直线对应的方程是Z=0。

这个新的坐标体系能够表示射影平面上所有的点，被叫做射影平面坐标系。

三、椭圆曲线

椭圆曲线的定义：一条椭圆曲线是在射影平面上满足方程
$Y^{2}Z+a_{1}XYZ+a_{3}YZ^{2} = X^{3}+a_{2}X^{2}Z+a_{4}XZ^{2}+a_{6}Z^{3}$ ----------------[3-1]
的所有点的集合，且曲线上的每个点都是非奇异（或光滑）的。

$Y^{2}Z+a_{1}XYZ+a_{3}YZ^{2} = X^{3}+a_{2}X^{2}Z+a_{4}XZ^{2}+a_{6}Z^{3}$ 是Weierstrass方程（维尔斯特拉斯，Karl Theodor Wilhelm Weierstrass,1815-1897），是一个齐次方程。

看椭圆曲线是什么样的：

所谓“非奇异”或“光滑”的，在数学中是指曲线上任意一点的偏导数Fx(x,y,z)，Fy(x,y,z)，Fz(x,y,z)不能同时为0。

椭圆曲线上有一个无穷远点O∞（0:1:0），因为这个点满足方程[3-1]。

设x=X/Z ，y=Y/Z代入方程[3-1]得到：

$y^{2}+a_{1}xy+a_{3}y = x^{3}+a_{2}x^{2}+a_{4}x+a_{6}$ -------------------[3-2]

也就是说满足方程[3-2]的光滑曲线加上一个无穷远点O∞，组成了椭圆曲线。

平常点A(x,y)的切线的斜率k

$k=(3x^{2}+2a_{2}x+a_{4}-a_{1}y) /(2y+a_{1}x +a_{3})$ ------------------------[3-3]

四、椭圆曲线上的加法

运算法则：任意取椭圆曲线上两点P、Q （若P、Q两点重合，则做P点的切线）做直线交于椭圆曲线的另一点R’，过R’做y轴的平行线交于R。我们规定P+Q=R。

1.根据这个法则，可以知道椭圆曲线无穷远点O∞与椭圆曲线上一点P的连线交于P’，过P’作y轴的平行线交于P，所以有无穷远点 O∞+ P = P 。这样，无穷远点 O∞的作用与普通加法中零的作用相当（0+2=2），我们把无穷远点 O∞ 称为零元。同时我们把P’称为P的负元（简称，负P；记作，-P）。

2.根据这个法则，可以得到如下结论：如果椭圆曲线上的三个点A、B、C，处于同一条直线上，那么他们的和等于零元，即A+B+C= O∞

3.k个相同的点P相加，我们记作kP。如下图：P+P+P = 2P+P = 3P。

五、密码学中的椭圆曲线

前面学到的椭圆曲线是连续的，并不适合用于加密；所以，要把椭圆曲线变成离散的点。把椭圆曲线定义在有限域上。

下面，我们给出一个有限域Fp，这个域只有有限个元素。
Fp中只有p（p为素数）个元素0,1,2 …… p-2,p-1；
Fp 的加法（a+b）法则是 a+b≡c (mod p)；即，(a+c)÷p的余数和c÷p的余数相同。
Fp 的乘法(a×b)法则是 a×b≡c (mod p)；
Fp 的除法(a÷b)法则是 a/b≡c (mod p)；即 a×b-1≡c (mod p)；（b-1也是一个0到p-1之间的整数，但满足b×b-1≡1 (mod p)；
Fp 的单位元是1，零元是 0。

同时，并不是所有的椭圆曲线都适合加密。y2=x3+ax+b是一类可以用来加密的椭圆曲线，也是最为简单的一类。下面我们就把y2=x3+ax+b 这条曲线定义在Fp上：
选择两个满足下列条件的小于p(p为素数)的非负整数a、b
4a3+27b2≠0　(mod p)
则满足下列方程的所有点(x,y)，再加上无穷远点O∞ ，构成一条椭圆曲线。
y2=x3+ax+b (mod p)
其中 x,y属于0到p-1间的整数，并将这条椭圆曲线记为Ep(a,b)。

我们看一下y2=x3+x+1 (mod 23)的图像

Fp上的椭圆曲线同样有加法，但已经不能给以几何意义的解释。不过，加法法则和实数域上的差不多。
1 无穷远点 O∞是零元，有O∞+ O∞= O∞，O∞+P=P
2 P(x,y)的负元是 (x,-y)，有P+(-P)= O∞
3 P(x1,y1),Q(x2,y2)的和R(x3,y3) 有如下关系：
x3≡k2-x1-x2(mod p)
y3≡k(x1-x3)-y1(mod p)
其中若P=Q 则 k=(3x2+a)/2y1 若P≠Q，则k=(y2-y1)/(x2-x1)

最后，我们讲一下椭圆曲线上的点的阶。
如果椭圆曲线上一点P，存在最小的正整数n，使得数乘nP=O∞，则将n称为P的阶，若n不存在，我们说P是无限阶的。事实上，在有限域上定义的椭圆曲线上所有的点的阶n都是存在的。

六、椭圆曲线上简单的加密/解密

考虑如下等式：
K=kG [其中 K,G为Ep(a,b)上的点，k为小于n（n是点G的阶）的整数]
不难发现，给定k和G，根据加法法则，计算K很容易；但给定K和G，求k就相对困难了。
这就是椭圆曲线加密算法采用的难题。我们把点G称为基点（base point），k（k<n，n为基点G的阶）称为私有密钥（privte key），K称为公开密钥（public key)。

现在我们描述一个利用椭圆曲线进行加密通信的过程：
1、用户A选定一条椭圆曲线Ep(a,b)，并取椭圆曲线上一点，作为基点G。
2、用户A选择一个私有密钥k，并生成公开密钥K=kG。
3、用户A将Ep(a,b)和点K，G传给用户B。
4、用户B接到信息后，将待传输的明文编码到Ep(a,b)上一点M（编码方法很多，这里不作讨论），并产生一个随机整数r（r<n）。
5、用户B计算点C1=M+rK；C2=rG。
6、用户B将C1、C2传给用户A。
7、用户A接到信息后，计算C1-kC2，结果就是点M。因为
C1-kC2=M+rK-k(rG)=M+rK-r(kG)=M
再对点M进行解码就可以得到明文。

在这个加密通信中，如果有一个偷窥者H ，他只能看到Ep(a,b)、K、G、C1、C2 而通过K、G 求k 或通过C2、G求r 都是相对困难的。因此，H无法得到A、B间传送的明文信息。

密码学中，描述一条Fp上的椭圆曲线，常用到六个参量：
T=(p,a,b,G,n,h)。
（p 、a 、b 用来确定一条椭圆曲线，
G为基点，
n为点G的阶，
h 是椭圆曲线上所有点的个数m与n相除的整数部分）

这几个参量取值的选择，直接影响了加密的安全性。参量值一般要求满足以下几个条件：

1、p 当然越大越安全，但越大，计算速度会变慢，200位左右可以满足一般安全要求；
2、p≠n×h；
3、pt≠1 (mod n)，1≤t<20；
4、4a3+27b2≠0 (mod p)；
5、n 为素数；
6、h≤4。