1、12024-3-192024-3-19115.4.1 椭圆曲线密码体制简介5.4 椭圆曲线密码体制(略)椭圆曲线密码体制(略)在1985年,由Neal Koblitz和Victor Miller分别独立的提出了可以在低要求的计算环境里做到高强度加密的公钥算法,即椭圆曲线密码体制(ECC)。从1998年起,一些国际标准化组织开始了对椭圆曲线密码的标准化工作。椭圆曲线密码算法在与RSA算法相同安全性的情况下,其密钥短较短,160比特长的密钥相当于RSA算法密钥长1024比特的安全性,因而有利于容量受限的存储设备如智能卡等在安全领域的使用。加拿大的Certicom公司是一家ECC密码技术公司,Cer
2、ticom已经对上百家企业应用ECC密码技术进行授权,包括知名企业Cisco、摩托罗拉等。22024-3-192024-3-1922在我国,国家密码管理局2010年12月提出了SM2椭圆曲线公钥密码算法,同时,还要求升级并重新修改已有的RSA算法的电子认证系统和应用系统等。中国国家密码管理局发布了SM2椭圆曲线公钥密码算法标准。为满足电子认证服务系统等应用需求,该标准推荐了一条256位的随机椭圆曲线。NIST在标准FIPS 186-2中,推荐了美国政府使用的15个不同安全级别的椭圆曲线。其包括5条二进制域上的随机椭圆曲线、5条二进制域上的Koblitz曲线和5条素域上的随机椭圆曲线。FIPS
3、186-3中,对于椭圆曲线的参数选择有进一步的介绍.32024-3-192024-3-193342024-3-192024-3-19445.4.2 椭圆曲线(选讲)椭圆曲线是指由Weierstrass方程:在公钥密码学中,主要用到两种椭圆曲线:(1)素域Fp(p3)上的椭圆曲线,可以表示为:其中a,b为整数,其判别式4a3+27b20 (2)域F(2n)(n1)上的椭圆曲线,可以表示为:1.椭圆曲线的定义椭圆曲线的定义52024-3-192024-3-1955图图5-1 y2x3+x+6所表示的曲线所表示的曲线 本章的介绍以第一种椭圆曲线为主,本章的介绍以第一种椭圆曲线为主,如图5-1是y2x
4、3+x+6所表示的曲线,该图可以用matlab实现。显然该曲线关于x轴对称。62024-3-192024-3-19662椭圆曲线的加法椭圆曲线的加法 椭圆曲线的加法定义如下:设P1,P2为两个关于x轴对称的椭圆曲线上的点即P1=(x,y),P2=(x,-y),则它们互为加法逆元。72024-3-192024-3-1977 设P和Q是椭圆曲线上x坐标不同的两个点,,由加法的定义:。则P+Q=-R1=R,如图5-2。图图5-2 R=P+Q示意图示意图82024-3-192024-3-1988 点点P的倍点定义为:的倍点定义为:过P点做椭圆曲线的切线,设与椭圆曲线交于R1,则,故。如图5-3。图图5
5、-3 R=2P示意图示意图92024-3-192024-3-1999图图5-2 R=P+Q示意图示意图102024-3-192024-3-191010图图5-3 R=2P示意图示意图112024-3-192024-3-191111122024-3-192024-3-1912125.4.3 有限域上的椭圆曲线132024-3-192024-3-191313 例例5-5:y2x3+x+6(mod 11)是有限域是有限域GF(11)上的椭圆曲线,可以表示为上的椭圆曲线,可以表示为E11(1,6)。下面看看下面看看y2x3+x+6(mod 11)上的离散的点。上的离散的点。由平方剩余的定义,容易知道,
6、由平方剩余的定义,容易知道,1,3,4,5,9是模是模11的平方剩余。的平方剩余。求该曲线上离散的点可以通过令求该曲线上离散的点可以通过令x=0,1,10,求得求得y26,8,5,3,8,4,8,4,9,7,4(mod 11).故该椭圆曲线上的有故该椭圆曲线上的有(2,4)(2,7)(3,5)(3,6)(5,2)(5,9)(7,2)(7,9)(8,3)(8,8)(10,2)(10,9)。142024-3-192024-3-191414 -求解方法举例如下:求解方法举例如下:当当x=0,y26 mod11,6不是模不是模11的平方剩余,无解;的平方剩余,无解;当当x=1,y28 mod11,8不
7、是模不是模11的平方剩余,无解;的平方剩余,无解;当当x=2,y28+2+65 mod11,5是模是模11的平方剩余,的平方剩余,y4 mod 11 其他的点可以按这个方式求出。其他的点可以按这个方式求出。由前面的分析可知,该椭圆曲线上一共有由前面的分析可知,该椭圆曲线上一共有12个点。个点。这这12个点的分布如图个点的分布如图5-4所示,图所示,图5-4中左下标起点是中左下标起点是(0,0)点。点。对于对于同一条椭圆曲线,同一条椭圆曲线,y2x3+ax+b,p取不同的值,点的分布也不同。取不同的值,点的分布也不同。图图5-4 y2x3+x+6(mod 11)所表示的曲线所表示的曲线15202
8、4-3-192024-3-191515图图5-1 y2x3+x+6所表示的曲线所表示的曲线图图5-4 y2x3+x+6(mod 11)所表示的曲线所表示的曲线162024-3-192024-3-191616172024-3-192024-3-191717182024-3-192024-3-191818椭圆曲线密码体制椭圆曲线密码体制-原理原理-椭圆曲线离散对数问题椭圆曲线离散对数问题 已知椭圆曲线已知椭圆曲线E和点和点P,随机生成一个整数,随机生成一个整数d,容易计算,容易计算:Q=d*P,但给定但给定Q和和P,计算计算d就相对困难。就相对困难。选取选取:一个基域一个基域GF(p);定义在该基
9、域上的椭圆曲线定义在该基域上的椭圆曲线Ep(a,b);E上的一个拥有素数阶上的一个拥有素数阶n的点的点P。其中有限域其中有限域GF(p),椭圆曲线参数,椭圆曲线参数a,b,点,点P和阶和阶n都是公开信息。都是公开信息。192024-3-192024-3-191919n在区间在区间1,n-1中随机选取一个整数中随机选取一个整数dn计算计算:Q=d*Pn实体的实体的 -公开密钥公开密钥:点点Q -实体的私钥实体的私钥:整数整数d n待发送消息(待发送消息(AB):):M-查找查找B的公开密钥:的公开密钥:Q-将消息将消息M表示成一个域元素表示成一个域元素:m-在区间在区间1,n-1中随机选取一个整
10、数中随机选取一个整数k202024-3-192024-3-192020-计算点计算点:(x1,y1)=kP-计算点计算点:(x2,y2)=kQ,如果,如果x2=0,则返回第,则返回第步步-计算计算:c=mx2-传送加密数据传送加密数据(x1,y1,c)给给B n 当实体当实体B解密从解密从A收到的密文收到的密文(x1,y1,c)时,执行步骤:时,执行步骤:-使用私钥使用私钥d,计算点,计算点:(x2,y2)=d(x1,y1)-计算计算 ,恢复出消息,恢复出消息m 12xcm212024-3-192024-3-192121212024-3-192024-3-1921215.4.4 椭圆曲线上的E
11、lGamal密码体制(选讲)(1)先由系统选取一条椭圆曲线,该椭圆曲线上的点形成了循环群先由系统选取一条椭圆曲线,该椭圆曲线上的点形成了循环群E,GE是椭圆曲线上的一个点是椭圆曲线上的一个点,N是点是点G在循环群在循环群E的阶,即的阶,即NG=O。(2)用户选择一个整数)用户选择一个整数a,0aN,计算,计算=aG,a保密,但将保密,但将公开。即公开。即a,G是私钥,是私钥,a,是公钥,是公钥,所选择的椭圆曲线也是公开的。所选择的椭圆曲线也是公开的。(3)假定把明文消息)假定把明文消息m嵌入到群嵌入到群E的点的点Pm上。上。当消息发送者欲向当消息发送者欲向A发送发送m,可,可求得一对数偶求得一
12、对数偶(C1,C2),其中,其中C1=kG,C2=Pm+k,k是随机产生的整数。是随机产生的整数。222024-3-192024-3-192222 (4)A收到收到(C1,C2)后,计算后,计算C2-aC1得到消息得到消息Pm,因为,因为C2-aC1=(Pm+k)a(kG)=Pm。可以看到,如同可以看到,如同ElGamal密码体制一样,它也是一个不确定性算法,对于密码体制一样,它也是一个不确定性算法,对于一个消息一个消息m,加密过程中加密过程中k的选取不一样,则加密所得的密文也不同。另外,该的选取不一样,则加密所得的密文也不同。另外,该密码体制也有密文密码体制也有密文“信息扩展信息扩展”问题。
13、问题。232024-3-192024-3-192323232024-3-192024-3-1923235.4.5 算法举例例例5-12:设设p=11,E是由是由y2x3+x+6(mod 11)所确定的有限域所确定的有限域Z11上的椭圆曲线。上的椭圆曲线。解:解:先要确定先要确定E中的点,以减少计算过程。对每个中的点,以减少计算过程。对每个xZ11,首先计算,首先计算z=x3+x+6 mod 11,然后再求同余方程,然后再求同余方程y2z mod 11的解来实现。的解来实现。由由5.2.7的计算,可以得知,的计算,可以得知,E中有中有13个点。选取个点。选取r=(2,7),计算,计算2r。首先计
14、算:。首先计算:于是于是,x3=82-2-2 mod 115,y3=8(2-5)-7 mod 112 因此因此,2r=(5,2)。242024-3-192024-3-192424242024-3-192024-3-192424 再计算再计算3r=2r+r=(5,2)+(2,7),首先计算首先计算k=(7-2)(2-5)-1 mod 112。于是于是,x3=22-5-2 mod 118,y3=2(5-8)-2 mod 113 因此,因此,3r=(8,3)。类似地,类似地,还可以计算出还可以计算出nr,n1,计算结果如下:,计算结果如下:r=(2,7)2r=(5,2)3r=(8,3)4r=(10,
15、2)5r=(3,6)6r=(7,9)7r=(7,2)8r=(3,5)9r=(10,9)10r=(8,8)11r=(5,9)12r=(2,4)13r=因此,因此,r=(2,7)是是E的生成元,的生成元,E是一个循环群。是一个循环群。252024-3-192024-3-192525 由上面的讨论,可以确定由上面的讨论,可以确定E中的所有点,中的所有点,但这只是在例题中,实际应用中但这只是在例题中,实际应用中,由于给定的椭圆曲线上的点数太多,无法完全列举,由于给定的椭圆曲线上的点数太多,无法完全列举E中所有的点,也没有中所有的点,也没有必要列举必要列举E中所有的点。中所有的点。要确定要确定z是否是一
16、个模是否是一个模p的平方剩余,可以利用的平方剩余,可以利用Euler准则来实现,准则来实现,即如果即如果p是一个奇素数,则是一个奇素数,则z是模是模p平方剩余当且仅当平方剩余当且仅当z(p-1)/21 mod p。当当p3 mod 4时,如果时,如果x是一个模是一个模p的平方剩余,则的平方剩余,则 z(p+1)/41 mod p就是就是z的两个模的两个模p的平方根,这是因为:的平方根,这是因为:完成上面运算后,下面看例题。完成上面运算后,下面看例题。262024-3-192024-3-192626262024-3-192024-3-192626例例5-13:假设选取:假设选取r=(2,7),B
17、的私钥是的私钥是7,有,有=7r=(7,2).加密运算是:加密运算是:e(m,k)=(k(2,7),m+k(7,2)0k12,m是要加密的消息是要加密的消息 解密运算是:解密运算是:d(c1,c2)=c2-7c1 假设假设A要加密明文要加密明文m=(10,9)(这是这是E上的一个点上的一个点),如果随机选择,如果随机选择k=3,A计算计算c1=3r=3(2,7)=(8,3),c2=m+3=(10,9)+3(7,2)=(10,9)+(3,5)=9r+8r=17r=4r=(10,2)A发送(发送((8,3),(10,2))给)给B.B收到密文后,解密计算如下:收到密文后,解密计算如下:m=(10,
18、2)-7(8,3)=(10,2)-21r=(10,2)-8r=(10,2)+5r=4r+5r=9r=(10,9),于是恢复了明文。,于是恢复了明文。272024-3-192024-3-1927275.5 RSA、ElGamal及椭圆曲线密码比较 RSA密码体制是基于大数分解难题的,出现的时间是密码体制是基于大数分解难题的,出现的时间是20世纪世纪70年代,到现在年代,到现在已经已经30多年了。多年了。经过比较长时间的使用和学者们的研究,从算法和计算角度看是安全的,只经过比较长时间的使用和学者们的研究,从算法和计算角度看是安全的,只是随着人类计算能力的提高,是随着人类计算能力的提高,RSA算法中
19、选取的参数算法中选取的参数(p,q)越来越大,现在普遍认越来越大,现在普遍认为为,n=pq的取值为的取值为2048比特是安全的,这相当于比特是安全的,这相当于600位的十进制整数。这也导致位的十进制整数。这也导致了加解密的运算量和存储空间的增加,影响了其在便携产品如手机了加解密的运算量和存储空间的增加,影响了其在便携产品如手机/PDA等中的使等中的使用。用。国际上一些标准化组织国际上一些标准化组织ISO,ITU及及SWIFT等均己接受等均己接受RSA体制作为标准。体制作为标准。在在Internet中所采用的中所采用的PGP中也将中也将RSA作为传送会话密钥和数字签字的标准算法。由作为传送会话密
20、钥和数字签字的标准算法。由于于RSA是简单且,比较成熟的一种公钥密码体制,许多公司及研究团体都对它进是简单且,比较成熟的一种公钥密码体制,许多公司及研究团体都对它进行了实现。行了实现。282024-3-192024-3-192828292024-3-192024-3-192929 ElGamal密码体制是基于离散对数难题的,很多密码算法如著名的密钥交换密码体制是基于离散对数难题的,很多密码算法如著名的密钥交换算法算法DH(Diffie-Hellman)密钥交换算法,以及后面学到的美国的数字签名标准(密钥交换算法,以及后面学到的美国的数字签名标准(DSA)就是基于离散对数问题的。就是基于离散对数
21、问题的。ElGamal密码体制在加密的时候要完成两次模密码体制在加密的时候要完成两次模幂运算,密文的长度是消息长度的两倍,在一定程度上影响了其广泛使用。幂运算,密文的长度是消息长度的两倍,在一定程度上影响了其广泛使用。椭圆曲线密码是椭圆曲线密码是ElGamal密码体制在椭圆曲线上的应用,优点是在同等安全密码体制在椭圆曲线上的应用,优点是在同等安全程度下,其密钥比程度下,其密钥比RSA和和ElGamal要短得多。要短得多。由现有的资料可知,由现有的资料可知,ECC的密钥长的密钥长度为度为160比特时的安全强度与比特时的安全强度与RSA的密钥长度为的密钥长度为1024比特时相当,这对于存储和比特时
22、相当,这对于存储和通信带宽受限时的应用是一个很重要的优点通信带宽受限时的应用是一个很重要的优点,比如,比如PDA,IC卡,无线设备等,而卡,无线设备等,而且且160比特的比特的ECC的运算速度比的运算速度比1024比特的模运算快。基于椭圆曲线离散对数的比特的模运算快。基于椭圆曲线离散对数的加密算法和签名算法被很多标准采用。加密算法和签名算法被很多标准采用。302024-3-192024-3-1930305.6 其他非对称密码体制简介(略)除了前面介绍的基于大数分解难题的除了前面介绍的基于大数分解难题的RSA密码算法,基于离散对数难题的密码算法,基于离散对数难题的ELGamal密码算法,基于椭圆
23、曲线离散对数难题的椭圆曲线密码算法外,在密码密码算法,基于椭圆曲线离散对数难题的椭圆曲线密码算法外,在密码学的发展历史上,还有一些其他的非对称密码算法,对于非对称密码体制的发展学的发展历史上,还有一些其他的非对称密码算法,对于非对称密码体制的发展产生了重大影响。产生了重大影响。-背包公钥密码体制背包公钥密码体制312024-3-192024-3-193131 背包算法,公钥密码体制的第一个算法是有背包算法,公钥密码体制的第一个算法是有Mercle和和Hellman开发的背包开发的背包算法,其安全性基于背包难题,这是一个算法,其安全性基于背包难题,这是一个NP完全问题完全问题。尽管这个算法后来发
24、现。尽管这个算法后来发现是不安全的,但由于它证明了如何讲是不安全的,但由于它证明了如何讲NP完全问题用于公钥密码学,在公钥密码完全问题用于公钥密码学,在公钥密码学的发展史上有过重大的影响。学的发展史上有过重大的影响。322024-3-192024-3-193232332024-3-192024-3-193333-Rabin公钥密码体制公钥密码体制342024-3-192024-3-193434352024-3-192024-3-193535362024-3-192024-3-193636372024-3-192024-3-193737-NTRU公钥密码体制公钥密码体制 NTRU(Number
25、Theory Research Unit)公钥密码体制是由布朗大学公钥密码体制是由布朗大学 3 位数学家位数学家Jeffrey Hoffstein,J.Pipher 和和 J.H.Silverman 于于 1996 年提出后,经过几年的迅速发年提出后,经过几年的迅速发展与完善,该算法在密码学领域中受到了高度的重视,并在实际应用中取得了良好展与完善,该算法在密码学领域中受到了高度的重视,并在实际应用中取得了良好的效果。的效果。NTRU 公钥算法的安全性不是基于传统的困难问题,而是公钥算法的安全性不是基于传统的困难问题,而是基于格基归约基于格基归约的困难的困难性性,建立在多项式环的基础之上的建立在
26、多项式环的基础之上的,从现有技术来看,在量子计算机中本算法仍是安,从现有技术来看,在量子计算机中本算法仍是安全的。全的。因此,从理论上来说为公钥密码体制开辟了一个新的领域。因此,从理论上来说为公钥密码体制开辟了一个新的领域。在以后的两年中,在以后的两年中,Don Coppersmith,Johan Hastad,Andrew Odlyzko,和和 Adi Shamir 等一些密码学界的资深专家对算法进行了深入的安全性分析,均没有发现等一些密码学界的资深专家对算法进行了深入的安全性分析,均没有发现 NTRU 算法存在有大的安全问题。在算法存在有大的安全问题。在 1998 年,年,Jeffrey
27、Hoffstein、Jill Pipher 和和Joseph Silverman 正正 式式 发发 表表 了了 论论 文文“NTRU:A New High Speed Public Key Crypto-system”。382024-3-192024-3-193838 1999 年年,A.May 和和 P.Nguyen 于对该体制提出了一些攻击方法,在于对该体制提出了一些攻击方法,在 2000 年,年,Jeffrey Hoffstein 和和 Joseph Silverman 在对原有在对原有 NTRU 算法进行了改进,在不降低算法进行了改进,在不降低算法安全强度的情况下,进一步提高了算法的运
28、算速度。算法安全强度的情况下,进一步提高了算法的运算速度。到目前为止,有很多讨论到目前为止,有很多讨论 NTRU 算法安全性。但还没有哪一种分析方法能破译算法安全性。但还没有哪一种分析方法能破译该密码体制。该密码体制。在改进算法的同时,人们又开始研究在改进算法的同时,人们又开始研究 NTRU 签名算法,由于签名算法,由于 NTRU 的独特特的独特特性,其不能象性,其不能象 RSA 之类的公钥算法直接用于构造签名算法,因此借助于之类的公钥算法直接用于构造签名算法,因此借助于 NTRU 格格的困难性,提出了多种的困难性,提出了多种 NTRU 签名算法,如:签名算法,如:NSS,R-NSS和和 NT
29、RU Sign等。等。自自 2000 年开始,美国年开始,美国 IEEE 标准化组织起草专门针对标准化组织起草专门针对 NTRU 的标准的标准 P1363.1。在实际应用方面,在实际应用方面,NTRU 公司已对公司已对 NTRU 算法进行软硬件实现,并已作出产品,销算法进行软硬件实现,并已作出产品,销售量很好。售量很好。392024-3-192024-3-193939 当前,当前,NTRU 公司还看好的三个项目公司还看好的三个项目“手机手机/PDA”、“无线无线 LAN”和和“IC 卡卡”其中,其中,IC 卡方面的应用被放在了首位。卡方面的应用被放在了首位。目前,在目前,在 IC 卡加密方面,
30、主流方式是通用密钥方式卡加密方面,主流方式是通用密钥方式“DES”,但是这种方式,但是这种方式“密钥长度较短,而且一旦通用密钥被盗则风险相当大密钥长度较短,而且一旦通用密钥被盗则风险相当大”,因此因此 NTRU 认为市场上认为市场上存在着向该公司开发的公开密钥加密方式过渡的需求。存在着向该公司开发的公开密钥加密方式过渡的需求。注注1 1:NTRUNTRU的安全性基于多项式、不同模混合运算的相互作用和从一个非常大的安全性基于多项式、不同模混合运算的相互作用和从一个非常大的维数格中寻找最短向量的困难性。的维数格中寻找最短向量的困难性。对现有的对现有的RSA、DSA等公钥密码体制而言,等公钥密码体制
31、而言,由于涉及到大数的模指运算,此运算所需存储空间大、速度慢。由于涉及到大数的模指运算,此运算所需存储空间大、速度慢。NTRU只使用了只使用了简单的模乘法和模求逆运算简单的模乘法和模求逆运算,因而它具有密钥产生容易因而它具有密钥产生容易,加、解密速度快等特点。加、解密速度快等特点。402024-3-192024-3-194040 -,这是由中国密码学家陶仁冀提出的,该算,这是由中国密码学家陶仁冀提出的,该算法基于有限自动机理论。法基于有限自动机理论。如同分解两个大素数的乘积很困难一样,要分解两个有限如同分解两个大素数的乘积很困难一样,要分解两个有限自动机的合成也很困难。自动机的合成也很困难。该
32、算法由该算法由McEliece在在1978年提出,是一种基于代数编码理论年提出,是一种基于代数编码理论的公开密钥密码系统。其思想是构造一个的公开密钥密码系统。其思想是构造一个Goppa码并将其伪装成普通的线性码。码并将其伪装成普通的线性码。不不过该算法的公开密钥太庞大,加密后的密文长度为明文的两倍,在一定程度上影响过该算法的公开密钥太庞大,加密后的密文长度为明文的两倍,在一定程度上影响了它的广泛应用,故而研究的人也比较少。了它的广泛应用,故而研究的人也比较少。注注2 2:就目前来说,就目前来说,NTRU 的安全性和目前最有影响的的安全性和目前最有影响的RSA算法、椭圆曲线密算法、椭圆曲线密码体
33、制码体制(ECC)等算法是一样安全的,且具有与等算法是一样安全的,且具有与RSA同等程度的安全性,能抵抗量子同等程度的安全性,能抵抗量子运算攻击。运算攻击。412024-3-192024-3-194141-多变量公钥密码体制(多变量公钥密码体制(Multivariate Public Key Cryptosystem,MPKC)被认为被认为是这样一种有希望的选择。是这样一种有希望的选择。近年来,多变量公钥密码体制逐渐成为现代密码学研近年来,多变量公钥密码体制逐渐成为现代密码学研究的热点。究的热点。多变量公钥密码体制的安全性是建立在求解有限域上随机多变量多项式方程多变量公钥密码体制的安全性是建立
34、在求解有限域上随机多变量多项式方程组是组是NP困难问题的论断上。由于运算都是在较小的有限域上进行,所以多变量困难问题的论断上。由于运算都是在较小的有限域上进行,所以多变量公钥密码体制中的计算速度非常快。公钥密码体制中的计算速度非常快。到目前为止,到目前为止,已经研究出很多新的多变量公钥密码体制,这些多变量公钥密已经研究出很多新的多变量公钥密码体制,这些多变量公钥密码体制当中一些非常适用于诸如无线传感器网络和动态码体制当中一些非常适用于诸如无线传感器网络和动态RFID标签等计算能力有标签等计算能力有限能力的设备。限能力的设备。2003年,一个多变量签名体制年,一个多变量签名体制SFLASH已经被
35、欧洲已经被欧洲NESSIE密码计划接密码计划接受用于低耗智能卡的推荐算法。受用于低耗智能卡的推荐算法。422024-3-192024-3-194242 目前,目前,多变量公钥密码体制典型的代表有多变量公钥密码体制典型的代表有 *MI多变量公钥密码体制多变量公钥密码体制(是(是1988年由年由Matsumoto和和Imai提出的,它是第提出的,它是第1个使用个使用“小域小域大域大域”的思想来构造域的方法,也是多变量公钥密码体制发展的思想来构造域的方法,也是多变量公钥密码体制发展史上的里程碑,还是第史上的里程碑,还是第1个实用的多变量公钥密码体制,它为这个领域带来了一个实用的多变量公钥密码体制,它
36、为这个领域带来了一种全新的数学思想,并且得到了广泛的研究和推广)种全新的数学思想,并且得到了广泛的研究和推广)*多层油醋签名体制(多层油醋签名体制(原始的油醋签名体制是原始的油醋签名体制是Patarim在在1997年受到线性化年受到线性化方程的启发构造出来的签名体制方程的启发构造出来的签名体制;油醋签名体制分为三类:平衡的油醋签名体制、;油醋签名体制分为三类:平衡的油醋签名体制、不平衡的油醋签名体制和彩虹油醋签名体制;彩虹油醋签名体制是一种多层油醋不平衡的油醋签名体制和彩虹油醋签名体制;彩虹油醋签名体制是一种多层油醋签名体制)签名体制)关于它们的具体算法介绍,读者可以参阅相关文献资料。关于它们
37、的具体算法介绍,读者可以参阅相关文献资料。432024-3-192024-3-194343-DNA密码体制简介密码体制简介 1994年,年,Adieman利用利用DNA计算解决了一个有向哈密尔顿路径问题,标志着信息时计算解决了一个有向哈密尔顿路径问题,标志着信息时代开始了一个新的阶段。代开始了一个新的阶段。由于由于DNA计算具有超大规模并行性、超低的能力消耗和超高密度的信息存储能力。计算具有超大规模并行性、超低的能力消耗和超高密度的信息存储能力。伴随着伴随着DNA计算的研究出现了一个新的密码学领域计算的研究出现了一个新的密码学领域DNA密码学。密码学。DNA密码的特点是以密码的特点是以DNA为
38、信息载体,以现代生物技术为实现工具,挖掘为信息载体,以现代生物技术为实现工具,挖掘DNA固固有的高存储密度和工并行性等优点,实现加密、认证及签名等功能。有的高存储密度和工并行性等优点,实现加密、认证及签名等功能。2004年,年,Gehani等人利用等人利用DNA实现了一次一密的加密方法,他们还提出了两种方实现了一次一密的加密方法,他们还提出了两种方法来加密大量的短消息,一是用替代方法,二是用分子计算技术进行异或计算。关于法来加密大量的短消息,一是用替代方法,二是用分子计算技术进行异或计算。关于这些方法的具体介绍,读者可以参阅相关文献资料。这些方法的具体介绍,读者可以参阅相关文献资料。44202
39、4-3-192024-3-194444 尽管目前尽管目前DNA密码学取得了一定的进展,但是密码学取得了一定的进展,但是DNA密码仍还处于探索阶段。密码仍还处于探索阶段。但是但是可以肯定的是,由于可以肯定的是,由于DNA具有高密度数据存储和超大规模并行计算的能力,这也成具有高密度数据存储和超大规模并行计算的能力,这也成为研究为研究DNA计算和计算和DNA密码的动力。密码的动力。现在的目标和难点是如何充分挖掘和利用这些现在的目标和难点是如何充分挖掘和利用这些潜力,但无论是潜力,但无论是DNA计算,还是计算,还是DNA密码,都还没有建立起完善的理论。密码,都还没有建立起完善的理论。当前,现代生物学仍
40、然是偏重于实验而不是偏重于理论。当前,现代生物学仍然是偏重于实验而不是偏重于理论。一个一个DNA密码算法的密码算法的安全性所依据的生物学难题有多么难,相应的安全性所依据的生物学难题有多么难,相应的DNA密码体制有多么安全,这些都还密码体制有多么安全,这些都还没有有效的方法来衡量。没有有效的方法来衡量。如何建立起类似于计算复杂度理论的方法来评估生物学难题的难度是一个迫切需如何建立起类似于计算复杂度理论的方法来评估生物学难题的难度是一个迫切需要解决的问题要解决的问题。因此,现阶段最重要的工作是发掘因此,现阶段最重要的工作是发掘DNA可用于计算机和加密方面是优良特性,可用于计算机和加密方面是优良特性,建立起建立起DNA密码的理论依据,密码的理论依据,并积累并积累DNA密码算法的研究经验,密码算法的研究经验,为研究安全且方便为研究安全且方便实用的实用的DNA密码体制打下坚实的基础。密码体制打下坚实的基础。452024-3-192024-3-194545462024-3-192024-3-194646472024-3-192024-3-194747
