【笔记】公钥密码学之基于离散对数的密码体制

一、前言

在公钥加密体系中，除了基于大整数分解问题的RSA加密体制，另一类重要的加密体制是基于离散对数的难解性，如ECC椭圆曲线加密、Diffie-Hellman算法、ElGamal算法等。为了解决离散对数问题，本文首先介绍一些近世代数的基本知识，之后介绍几类基于离散对数的加密体制，最后列出几道CTF中的相关赛题。

二、代数基本知识

2.1群

2.1.1定义

设G是非空集合，若在G内定义一种代数运算⨀，且满足下列4个条件，则称G（对运算⨀）构成一个群：

• 封闭性：对任意的$a,b$ $\in$$G$，恒有$a⨀b$$\in$$G$;
• 结合律：对任意的$a,b,c$$\in$$G$，恒有$(a⨀b)⨀c=a⨀(b⨀c)$
• 有单位元：存在$e$$\in$$G$，对任意的$a$$\in$$G$,有 $a⨀e=e⨀a=a$
• 每个元存在逆元：对任意$a$$\in$$G$,存在$b$$\in$$G$,使得 $a⨀b=b⨀a=e$，称 $b$ 为 $a$ 的逆元。

其中运算$⨀$可以是通常的乘法或者是加法。若$⨀$为乘法，则称$G$为乘法群，单位元记为$1$。若$⨀$为加法，则称$G$为加法群，单位元记为$0$。
一般情况下，记：$\underset{k个}{a⨀a⨀\dots ⨀a}$=$a$^k

群 $G$所含元素的个数，称为该群的阶。 若群$G$含有有限个元素，则称$G$为有限群，否则，为无限群。

若对群$G$中任何$a,b$$\in$$G$，有 $a⨀b=b⨀a$，则称$G$为交换群或$Abel$群。

2.1.2循环群

定义：设$（G，\cdot ）$是一个群，如果群$G$中存在一个元素$\alpha$，使得对群$G$任意元素$b$都存在一个整数$i$，使得$b=$$a$ⁱ则我们称$G$是一个循环群。元素$\alpha$是$G$的一个生成元。

2.1.3加法循环群

整数的加法群是一个无限循环群，它由1生成。在这种情况下，幂被解释为用加法合成的，因此$n$是1的n次幂。

例：（Z₆，$⨁$）是循环群，其中Z₆={0,1,2,3,4,5}，$⨁$为模6加法，其中生成元为1或5。

生成元的含义可以理解为：1或5的加法，可以实现群Z₆内所有的元素。
5 mod 6 = 5，35 mod 6 = 5
10 mod 6 = 4，40 mod 6 = 4，
15 mod 6 = 3，45 mod 6 = 3
20 mod 6 = 2，50 mod 6 = 2
25 mod 6 = 1，55 mod 6= 1
30 mod 6 = 0，60 mod 6= 0

所以通过生成元5的模6加法，可以得到群内的所有元素，实现循环群。而2，3，4不能作为生成元，是因为这些元素的模6加法并不能得到群内的所有元素，而且并不是连续循环的数。

乘法循环群也是同样的道理。

有限循环群的生成元还具有以下性质：
（元素的阶）：循环群$（G,\cdot ）$，$\alpha$为$G$的一个生成元，$1$为$G$的单位元，$G$的阶为$n$,则：$a$ⁿ$=1$

2.2环

2.2.1定义

若集合$R$上定义了两种二元运算：$+$（加法）和x（乘法），且满足下列四个条件，则称$R$ 对这两种运算构成了一个环，记为$（R，+，x）$：

• $（R，+）$是一个Abel群，$R$关于加法是一个交换群，其恒等元为零元，用$0$表示。
• 乘法的封闭性：如果$a$和$b$都属于$R$,则$ab$也属于$R$。
• 乘法的结合律：对于$R$中的任意元素$a、b、c$，有$a(be)=(ab)c$成立。
• 分配律：对于$R$中的任意元素$a、b、c$，下面两个式子总成立：$a(b+c)=ab+ac$；$(a+b)c=ac+be$

本质上说，环就是一个集合，我们可以在其上进行加法、减法$[a-b=a+(-b)]$和乘法而不脱离该集合。

例：实数上所有n阶方阵的集合关于加法和乘法构成一个环。

2.2.2交换环

定义：环如果还满足乘法的交换律，即对于$R$中任意元素$a、b$，有$ab=ba$成立，则被称为是交换环

例：偶整数集合（包括正数、负数和0）记为$S$，在普通加法和乘法运算下是交换环；实数上所有n阶方阵的集合关于加法和乘法则不构成一个交换环。

2.2.3整环

定义：整环是满足以下公理的交换环：

1. 乘法单位元：在$R$中存在元素$1$，使得对于$R$中的任意元素$a$，有$a1=1a=a$成立。
2. 无零因子：如果有$R$中元素$a、b$,且 $ab=0$，则必有 $a = 0 $或 $b=0$。

例：普通加法和乘法运算下的整数集合（包括正数、负数和0）是一个整环。

2.3域

定义：设$F$是一个交换环，若$F$中的所有的非零元素对乘法都存在逆元，则$F$称为一个域。如果一个域所包含的元素是有限的则称此域是有限域，否则称为无限域。有限域中所含元素的个数称为有限域$(R,+,x)$的阶。

本质上说，域就是一个集合,我们可以在其上进行加法、减法、乘法和除法而不脱离该集合。
除法又按以下规则来定义: $a/b=a($$b$^-1$)$。

例：有理数集合、实数集合以及复数集合都是域。而所有整数的集合并不是一个域，因为并不是集合中所有的元素都有乘法逆元；实际上，整数集合中只有元素$1$和$-1$有乘法逆元。

群、环、域的公理总结：

2.4有限域

定义1： 有限域又常称为$Galois$域，并以$GF(q)$或$Fq$表示，其中$q$表示有限域的阶。

定义2： 设$F1、F2$是两个域，称$F1$到$F2$的一个可逆映射$\sigma$为一个同构(映射)，如果$\sigma$是保持运算的映射，即对任意的$a，b$$\in$$F1$，有：$\sigma$(a + b) = $\sigma$(a) + $\sigma$(b)，$\sigma$（a · b）=$\sigma$(a) · $\sigma$(b)

定理3： 设$F$是有限域，则有：

1. 在同构的意义下，阶与$F$相同的有限域只有一个，同阶的有限域必同构
2. 有限域$F$的阶必为某个素数的幂
3. 设$F$的阶为 $q=p$ⁿ ，$p$是一个素数，则$F$的任何一个子域的阶为$p$^m，其中$m$是$n$的因子
4. $F$_q^* 为有限域 $F$_q的所有非零元构成的集合，则$F$_q^*关于乘法做成一个阶为$q-1$的循环群。因此，对所有的$a$$\in$$F$_q，有$a$^q$=a$ 。这个群称为$F$_q的乘法群，乘法群$F$_q^* 的生成元称为$F$_q的本原元，共有$\varphi$$(q-1)$个本原元。
5. 设$F$_q(其中$q=p$ⁿ)是一个有限域，则对任何$a,b$$\in$$F$_q以及非负整数$K$$\ge$$0$，有：$(a+b)$^pk$=$$a$^pk $b$^pk

2.5多项式环

定义： 设$F$是一个域，多项式f(x)=a_nxⁿ+···+a₁x+a₀，其中$a_i$$\in$$F$，$n$$\in$$N$。

若$a_n\ne 0$，称$n$为该多项式的次数，称为首项系数。

对于域$F$上$x$的多项式的全体组成的集合记为 $F[x]$。多项式$a(x)$ 的次数记为$deg(a(x))$

设存在多项式$f(x)$与$g(x)$，满足：

• 加法运算：$f(x)+g(x)$$\in$$F[x]$
• 乘法运算：$f(x)\cdot g(x)$$\in$$F[x]$

容易验证$F[x]$对这样定义的多项式加法与乘法构成一个交换环，称为多项式交换环。

不可约多项式： 设$f(x)$是$F[x]$上的一个次数大于零的多项式，如果它不能分解成两个低次数的多项式的乘积，则称$f[x]$是$F$上的不可约多项式。

三、加密算法

3.1.$Zp$上的离散对数问题

$Zp$上的离散对数问题是指对于循环群 $Zp$（p是一个素数），$\alpha$是群$Zp$的生成元，对于任意的$c$$\in$$Zp$寻找唯一 的整数 $d$ $(0$ $\le$ $d$ $\le$ $p-1)$满足：$C\equiv a^d(modp)$

我们把整数$d$记为$log$_α$c$，并称之为离散对数。

3.2ElGamal算法

背景： ElGamal是建立在解有限乘法群上的离散对数问题的困难性基础上的一种公钥密码体制。

算法描述：

• 公开参数：取大素数 $p$，并取$\alpha$是乘法群$Zp$^* { $1,\dots ，p-1$ }的一个生成元。
• 密钥生成：随机选取整数$d：0<d<(p-1)$并计算$\beta$=$\alpha$^d $modp$。其中公开参数：$p$和$\alpha$ ；公钥：$\beta$；私钥：$d$
• 加密运算：对于明文$m$，选取随机整数$k:0<k<(p-1)$，计算：$c_1=$$\alpha$^k$modp$， $c_2=m$$\beta$^k$modp$，得到密文$c=(c_1,c_2)$。
• 解密运算：对于密文$c=(c_1,c_2)$，用私钥$d$解密。$m=c_2$$(c_1$^d$)$^-1$modp$

计算离散对数的算法：

• Shanks算法
• 小步大步发（baby-step 、giant-step）算法
• Pohlig-Hellman算法
• 指数演算法(index-calculus)

3.3Diffie-Hellman算法

背景： Diffie-Hellman算法由Whitfield Diffie 和 Martin Hellman 提出，该算法的安全性也是基于一般有限域上的离散对数问题的难解性。该算法的目的是使两个用户能安全地交换密钥，以便在后续的通信中用该密钥对消息加密。该算法本身只限于进行密钥交换。

算法描述：

3.4椭圆曲线密码

四、相关赛题

4.1

题目链接buu平台

#!/usr/bin/env python
# -*- coding: utf-8 -*-
from Crypto.Util.number import *
import random

n = 2 ** 512
m = random.randint(2, n-1) | 1
c = pow(m, bytes_to_long(flag), n)
print 'm = ' + str(m)
print 'c = ' + str(c)

# m = 391190709124527428959489662565274039318305952172936859403855079581402770986890308469084735451207885386318986881041563704825943945069343345307381099559075
# c = 6665851394203214245856789450723658632520816791621796775909766895233000234023642878786025644953797995373211308485605397024123180085924117610802485972584499

加密过程为：c = pow(m, bytes_to_long(flag), n)
即已知c, m, n求离散对数：bytes_to_long(flag) = log_(mmodn) (c mod n)

题解：

m = 391190709124527428959489662565274039318305952172936859403855079581402770986890308469084735451207885386318986881041563704825943945069343345307381099559075
c = 6665851394203214245856789450723658632520816791621796775909766895233000234023642878786025644953797995373211308485605397024123180085924117610802485972584499
n = 2 ** 512
import sympy
from Crypto.Util.number import *
flag=sympy.discrete_log(n,c,m)
print(long_to_bytes(flag))