【现代密码学】笔记7.1-7.3、10.4 RSA问题与加密 -- 数论与密码学困难性假设（素数、大整数分解、循环群）《introduction to modern cryphtography》

写在最前面

主要在 哈工大密码学课程 张宇老师课件 的基础上学习记录笔记。

内容补充：骆婷老师的PPT
《introduction to modern cryphtography》–Jonathan Katz, Yehuda Lindell（现代密码学——原理与协议）中相关章节
密码学复习笔记 这个博主好有意思

初步笔记，如有错误请指正

快速补充一些密码相关的背景知识

---

8.2 RSA问题与加密

1. 本节学习第一个也是目前应用最广泛的公钥加密方案RSA。

2. 目录：RSA问题，针对“书本上RSA”加密的攻击，实践中的RSA加密。

RSA问题

3. RSA概览

   • RSA: Ron Rivest, Adi Shamir and Leonard Adleman, 三位作者于1977年发表RSA加密方案。
   • RSA问题: 给定 $N=pq$ (两个不同的大质数的乘积) 并且 $y\in {\mathbb{Z}}_N^{\ast }$，计算 $y^{-e}$，即$y$模$N$下的$e$次方根。
   • 开放问题：RSA问题比分解 N 更容易吗?
   • RSA相关标准: PKCS#1 (RFC3447/8017), ANSI X9.31, IEEE 1363
   • 密钥长度：1,024 到 4,096 比特
   • 已知最强的公开密码学分析：768比特密钥已经被破解
   • RSA挑战赛：破解 RSA-2048 来赢得 $200,000 USD
   • 密钥长度比较 ：3072比特RSA密钥安全强度相当于128比特对称密钥

RSA问题和分解 $N$

RSA问题和分解整数 (N) 的问题，都与RSA加密算法的安全性紧密相关。

RSA问题

RSA问题可以表述为：给定一个RSA公钥 $(N,e)$ 和一个密文 $c$，找到一个明文 $m$ 使得下面的等式成立：
$$m^e\equiv c\mathrm{m}\mathrm{o}\mathrm{d}N$$
这里，$N$ 是一个大合数，通常是两个大素数 $p$ 和 $q$ 的乘积，$e$ 是公钥的一部分，$m$ 是待求的明文。

整数分解问题

整数分解问题涉及，找出一个给定合数 $N$ 的素数因子。在RSA加密的背景下，$N=pq$，其中 $p$ 和 $q$ 是两个大素数。

它们之间的关系

• 如果能分解 $N$：如果有人能有效地分解 $N$，即找到 $p$ 和 $q$，那么他们可以计算出RSA的私钥。一旦有了私钥，就可以解决RSA问题，即解密任何用相应公钥加密的信息。
• 如果不能分解 $N$：即使不能分解 $N$，目前还不清楚是否存在其他方法可以解决RSA问题。换句话说，没有已知的方法可以在不分解 $N$ 的情况下有效地解决RSA问题，但这并不意味着这样的方法不存在。

安全性影响

这个问题的不确定性是评估RSA加密算法安全性的一个关键因素。如果找到了一种比整数分解更有效的方法来解决RSA问题，那么RSA加密的安全性可能会受到严重影响。因此，密码学家和安全专家持续关注这个开放问题，并寻找可能的解决方案。同时，这也促进了对量子计算和其他潜在威胁对RSA算法影响的研究。

针对“书本上RSA”加密的攻击

4. 书本上的RSA

   • 构造：
     • $\mathsf{G}\mathsf{e}\mathsf{n}$: 输入 $1^n$ 运行 $\mathsf{G}\mathsf{e}\mathsf{n}\mathsf{R}\mathsf{S}\mathsf{A}(1^n)$ 产生 $N,e,d$。 $pk=⟨N,e⟩$ 和 $sk=⟨N,d⟩$。
     • $\mathsf{E}\mathsf{n}\mathsf{c}$: 输入 $pk$ 和 $m\in {\mathbb{Z}}_N^{\ast }$，获得密文 $c:=[m^e\mathrm{m}\mathrm{o}\mathrm{d}N]$.
     • $\mathsf{D}\mathsf{e}\mathsf{c}$: 输入 $sk$ 和 $m\in {\mathbb{Z}}_N^{\ast }$，获得明文 $m:=[c^d\mathrm{m}\mathrm{o}\mathrm{d}N]$.
   • 不安全性：由于“书本上的RSA”是确定性的，在我们已经提出的任何安全定义下都是不安全的。
   • 下面学习问题：如何产生 $N,e,d$? 什么是 ${\mathbb{Z}}_N^{\ast }$? 如何计算 $m^e\mathrm{m}\mathrm{o}\mathrm{d}N$? 这个难题是TDP? 为什么很难？
   • 参考教材：《A Computational Introduction to Number Theory and Algebra》(Version 2) Victor Shoup。

质数与模算术

5. 质数与模算术

   • 整数集合 $\mathbb{Z}$, $a,b,c\in \mathbb{Z}$。
   • $a$ 整除 $b$: $a\mid b$ 如果 $\exists c,ac=b$ (否则 $a\nmid b$). $b$ 是 $a$ 的倍数。如果 $a\notin \{1,b\}$，那么 $a$ 是 $b$ 的因子。
   • $p>1$ 是质数（素数），如果其没有因子；否则，是合数。
   • $\forall a,b$, $\exists$ 商 $q$, 余数 $r$: $a=qb+r$, 且 $0\le r<b$。
   • 最大公因子 $\gcd (a,b)$ 是最大的整数 $c$ 使得 $c\mid a$ 且 $c\mid b$。 $\gcd (0,b)=b$, $\gcd (0,0)$未定义。
   • $a$ 和 $b$ 是互质，如果 $\gcd (a,b)=1$。
   • 余数 $r=[a\mathrm{m}\mathrm{o}\mathrm{d}N]=a-b\lfloor a/b\rfloor$ 并且 $r<N$. $N$ 称为模。
   • ${\mathbb{Z}}_N=\{0,1,\dots ,N-1\}=\{a\mathrm{m}\mathrm{o}\mathrm{d}N|a\in \mathbb{Z}\}$.
   • $a$ 是模 $N$ 下可逆的$⟺\gcd (a,N)=1$。如果 $ab\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}N)$，那么 $b=a^{-1}$是模 $N$ 下 $a$ 的乘法逆。

6. 模算术例子

   • 欧几里德算法（辗转相除法）： $\gcd (a,b)=\gcd (b,[a\mathrm{m}\mathrm{o}\mathrm{d}b]).$

     • $\gcd (12,27)$

   • 扩展欧几里德算法：给定 $a,N$，寻找 $X,Y$ 使得 $Xa+YN=\gcd (a,N)$ （贝祖定理）

     • 例子，求11 (mod 17)下的逆元，$a=11$，$N=17$，$Xa+YN=r$

                      r     X    Y  m
                      17    0    1
                      11    1    0  1
                       6   -1    1  1
                       5    2   -1  1
                       1   -3    2   
       

   • 求余然后相加/乘

     • 计算 $193028\cdot 190301\mathrm{m}\mathrm{o}\mathrm{d}100$

   • 消去律：如果 $\gcd (a,N)=1$ 且 $ab\equiv ac(\mathrm{m}\mathrm{o}\mathrm{d}N)$，那么 $b\equiv c(\mathrm{m}\mathrm{o}\mathrm{d}N)$.

     • $a=3,c=10,b=2,N=24$

7. ${\mathbb{Z}}_N^{\ast }$ 群

   • ${\mathbb{Z}}_N^{\ast }\stackrel{\text{def}}{=}\{a\in \{1,\dots ,N-1\}|\gcd (a,N)=1\}$
   • 群是一个集合 $\mathbb{G}$ 带有一个二元操作 $\circ$:
     • 闭包： $\forall g,h\in \mathbb{G}$, $g\circ h\in \mathbb{G}$.
     • 单位元： $\exists$ 单位元 $e\in \mathbb{G}$ 使得 $\forall g\in \mathbb{G},e\circ g=g=g\circ e$.
     • 逆元： $\forall g\in G$, $\exists h\in \mathbb{G}$ 使得 $g\circ h=e=h\circ g$. $h$ 是 $g$ 的逆元.
     • 结合律：$\forall g_1,g_2,g_3\in \mathbb{G}$, $(g_1\circ g_2)\circ g_3=g_1\circ (g_2\circ g_3)$.
   • $\mathbb{G}$ with $\circ$ 是阿贝尔群，如果有交换律：$\forall g,h\in \mathbb{G},g\circ h=h\circ g$.
   • 逆元的存在意味着消去律
   • 当 $\mathbb{G}$ 是有限群，$|\mathbb{G}|$ 是群的阶。
   • 问题： ${\mathbb{Z}}_N^{\ast }$ 是乘法下的群吗？ ${\mathbb{Z}}_N$ 在乘法下呢？ ${\mathbb{Z}}_{15}^{\ast }=?$ ${\mathbb{Z}}_{13}^{\ast }=?$

8. 群指数

   • $g^m\stackrel{\text{def}}{=}\underset{m\text{times}}{g\circ g\circ \cdots \circ g}.$
   • 欧拉定理：$\mathbb{G}$ 是有限群。那么， $\forall g\in \mathbb{G},g^{|\mathbb{G}|}=1$.
   • 注：课上证明，将群中每个元素与 $g$ 相乘后连乘等于群中元素连乘。
   • 例子：计算 $3\in {\mathbb{Z}}_7^{\ast }$ 的所有幂。
   • 费马小定理：$\forall g\in \mathbb{G}$ and $i$, $g^i\equiv g^{[i\mathrm{m}\mathrm{o}\mathrm{d}|\mathbb{G}|]}$.
   • 注：这是欧拉定理的推论。
   • 例子：计算 $3^{78}\in {\mathbb{Z}}_7^{\ast }$

9. 算术算法

   • 加/减：线性时间 $O(n)$.
   • 乘：最初 $O(n^2)$。
     • Karatsuba (1960，当时23岁): $O(n^{{\log }_{2}3})$ $(2^b{x}_1+x_0)\times (2^b{y}_1+y_0)$ 使用3个乘法。
     • 注：因为 $x_1\cdot y_0+x_0\cdot y_1=(x_1+x_0)\cdot (y_1+y_0)-x_1\cdot y_1-x_0\cdot y_0$。
     • 最佳渐进算法: $O(n\log n)$。
   • 除/求余：$O(n^2)$。
   • 指数：$O(n^3)$，平方指数法，例如计算8次幂并不需要乘8次，而是计算4次幂的平方，而4次幂来自2次幂平方。
     • 输入 $g\in G$; 指数 $x=[x_n{x}_{n-1}\dots x_2{x}_1{x}_0{]}_2$
     • 输出：$g^x$
     • $y\leftarrow g;z\leftarrow 1$
     • For $i=0$ to $n$
       • If （$x_i==1$）{$z\leftarrow z\times y$}
       • $y\leftarrow y^2$
     • Return $z$
     • 这里举个例子，例如算$g^9$

10. 欧拉的Phi函数

    • 欧拉phi函数：$\varphi (N)\stackrel{\text{def}}{=}|{\mathbb{Z}}_N^{\ast }|$. 注：整数乘法群的阶
    • 算法基本定理：$N={\prod }_i{p}_i^{e_i}$ , $\{p_i\}$ 是不同的质数， $\varphi (N)={\prod }_i{p}_i^{e_i-1}(p_i-1)$。
    • 例题：$N=pq$ 其中 $p,q$ 是不同质数。$\varphi (N)=?$ $\varphi (12)=?$ $\varphi (30)=?$
    • 欧拉定理与费马小定理：$a\in {\mathbb{Z}}_N^{\ast }$. $a^{\varphi (N)}\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}N)$. 注：前面证明过
    • 如果 $p$ 是质数并且 $a\in \{1,\dots ,p-1\}$，那么 $a^{p-1}\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}p)$. 注：因为质数$p$乘法群的阶为$p-1$
    • 例题：$3^{43}\mathrm{m}\mathrm{o}\mathrm{d}49=?$

11. 基于群指数函数的排列

    • 指数函数 $f_e:$ ${\mathbb{Z}}_N^{\ast }\to {\mathbb{Z}}_N^{\ast }$ by $f_e(x)=[x^e\mathrm{m}\mathrm{o}\mathrm{d}N]$.
    • 对指数函数求逆：$y$ 的 $e$ 次方根: $x^e\equiv y$, $x\equiv y^{1/e}$.
    • 推论：如果 $\gcd (e,\varphi (N))=1$，那么 $f_e$ 是排列。
    • 证明：令 $d=[e^{-1}\mathrm{m}\mathrm{o}\mathrm{d}\varphi (N)]$，那么 $f_d$ 是 $f_e$ 的逆函数。$y\equiv x^e;f_d(y)\equiv y^d\equiv x^{ed}\equiv x$.
    • 例题：在 ${\mathbb{Z}}_{10}^{\ast }$ 中, $e=3,d=?,f_e(3)=?,f_d(f_e(3))=?,9^{\frac{1}{3}}=?$
    • 问题：如果对于某些特别的$N$无法计算 $\varphi (N)$ ，那么会如何？如果不能分解 $N$ 呢?

12. 整数分解是难的

    • 分解 $N=pq$. $p,q$ 长度相同为 $n$.
    • 尝试分解: $\mathcal{O}(\sqrt{N}\cdot \mathsf{p}\mathsf{o}\mathsf{l}\mathsf{y}\mathsf{l}\mathsf{o}\mathsf{g}(N))$.
    • Pollard’s $p-1$ 方法: 当 $p-1$ 具有小质数因子时有效。
    • Pollard’s rho 方法: $\mathcal{O}(N^{1/4}\cdot \mathsf{p}\mathsf{o}\mathsf{l}\mathsf{y}\mathsf{l}\mathsf{o}\mathsf{g}(N))$.
    • 二次筛法 [Carl Pomerance]: 亚指数时间 $\mathcal{O}(\exp (\sqrt{n\cdot \log n}))$.
    • 已知最优算法为通用数域筛法 [Pollard]：$\mathcal{O}(\exp (n^{1/3}\cdot (\log n{)}^{2/3}))$.

13. RSA问题是难的

    • 思路：分解难 $⟹$ 对于 $N=pq$, 找到 $p,q$ 难 $⟹$ 计算 $\varphi (N)=(p-1)(q-1)$ 难

      $⟹$ 无法模 $\varphi (N)$ 计算

      $⟹$ 计算 $e^{-1}\mathrm{m}\mathrm{o}\mathrm{d}\varphi (N)$ 难

      这里存在一段空白

      $⟹$ RSA 问题难：给定 $y\in {\mathbb{Z}}_N^{\ast }$, 计算 $y^{-e}$ modulo $N$.

    • 开放问题：RSA 比分解容易?

14. 产生随机质数

    • 为了构造RSA问题，首先需要一个产生随机质数的方法：随机选择的一个数，测试其是否为质数。
    • 该方法的有效性需要回答两个问题：(1) 随机选择的数是质数的概率多大？(2) 是否能够有效地测试其是否为质数？
    • 对于问题1，$\exists$ 常数 $c$ 使得, $\forall n>1$, 一个随机选择的 $n$ 比特数为质数的概率至少 $c/n$。
    • 对于问题2，如果 $N$ 是质数，那么Miller-Rabin质性测试始终输出质数。如果 $N$ 是合数，那么算法输出质数的概率至多 $2^{-t}$。

15. 产生RSA问题

    • 令 $\mathsf{G}\mathsf{e}\mathsf{n}\mathsf{M}\mathsf{o}\mathsf{d}\mathsf{u}\mathsf{l}\mathsf{u}\mathsf{s}(1^n)$ 为一个概率多项式时间算法，输入 $1^n$, 输出 $(N,p,q)$ ，其中 $N=pq$, 并且 $p,q$ 是 $n$ 比特质数，除了有可忽略的概率失败。
    • 产生RSA问题算法简述：
      1. 由$\mathsf{G}\mathsf{e}\mathsf{n}\mathsf{M}\mathsf{o}\mathsf{d}\mathsf{u}\mathsf{l}\mathsf{u}\mathsf{s}(1^n)$ 产生 $(N,p,q)$ ；
      2. 计算$\varphi (N):=(p-1)(q-1)$；
      3. 寻找一个$e$，使得$\gcd (e,\varphi (N))=1$；
      4. 计算$d:=[e^{-1}\mathrm{m}\mathrm{o}\mathrm{d}\varphi (N)]$；
      5. 返回 $N,e,d$

16. RSA假设

    • RSA实验 ${\mathsf{R}\mathsf{S}\mathsf{A}\mathsf{i}\mathsf{n}\mathsf{v}}_{\mathcal{A},\mathsf{G}\mathsf{e}\mathsf{n}\mathsf{R}\mathsf{S}\mathsf{A}}(n)$:
      1. 运行 $\mathsf{G}\mathsf{e}\mathsf{n}\mathsf{R}\mathsf{S}\mathsf{A}(1^n)$ 来产生 $(N,e,d)$。
      2. 选择 $y\leftarrow {\mathbb{Z}}_N^{\ast }$。
      3. 敌手 $\mathcal{A}$ 给定 $N,e,y$, 并输出 $x\in {\mathbb{Z}}_N^{\ast }$.
      4. ${\mathsf{R}\mathsf{S}\mathsf{A}\mathsf{i}\mathsf{n}\mathsf{v}}_{\mathcal{A},\mathsf{G}\mathsf{e}\mathsf{n}\mathsf{R}\mathsf{S}\mathsf{A}}(n)=1$ ，实验成功，如果 $x^e\equiv y(\mathrm{m}\mathrm{o}\mathrm{d}N)$，否则实验失败 0 。
    • 定义：RSA问题相对于$\mathsf{G}\mathsf{e}\mathsf{n}\mathsf{R}\mathsf{S}\mathsf{A}$是难的，如果 $\forall$ PPT算法 $\mathcal{A}$, $\exists$ $\mathsf{n}\mathsf{e}\mathsf{g}\mathsf{l}$ 使得，$\mathrm{Pr}[{\mathsf{R}\mathsf{S}\mathsf{A}\mathsf{i}\mathsf{n}\mathsf{v}}_{\mathcal{A},\mathsf{G}\mathsf{e}\mathsf{n}\mathsf{R}\mathsf{S}\mathsf{A}}(n)=1]\le \mathsf{n}\mathsf{e}\mathsf{g}\mathsf{l}(n).$

17. 构造陷门排列

    • 用 $\mathsf{G}\mathsf{e}\mathsf{n}\mathsf{R}\mathsf{S}\mathsf{A}$ 来定义一个排列族：
      • $\mathsf{G}\mathsf{e}\mathsf{n}$: 输入 $1^n$, 运行 $\mathsf{G}\mathsf{e}\mathsf{n}\mathsf{R}\mathsf{S}\mathsf{A}(1^n)$ 来产生 $(N,e,d)$ 并且 $I=⟨N,e⟩,\mathsf{t}\mathsf{d}=d$, 令 ${\mathcal{D}}_I={\mathcal{D}}_{\mathsf{t}\mathsf{d}}={\mathbb{Z}}_N^{\ast }$.
      • $\mathsf{S}\mathsf{a}\mathsf{m}\mathsf{p}$: 输入 $I$, 挑选一个随机元素 $x$ of ${\mathbb{Z}}_N^{\ast }$.
      • $f_I(x)=[x^e\mathrm{m}\mathrm{o}\mathrm{d}N]$.
      • 确定性求逆算法 ${\mathsf{I}\mathsf{n}\mathsf{v}}_{\mathsf{t}\mathsf{d}}(y)=[y^d\mathrm{m}\mathrm{o}\mathrm{d}N]$.
    • 将RSA问题规约到陷门排列求逆问题。

18. 回顾“书本上的RSA”

    • 略

19. 攻击带有小$e$的“书本上的RSA”

    • 小 $e$ 和 小 $m$ 令模算术失去作用，不再是难题。
      • 如果 $e=3$ 并且 $m<N^{1/3}$，那么 $c=m^3$ 并且 $m=$ ？
      • 在混合加密中，1024比特 RSA 与 128比特 AES。
    • 当小$e$ 被使用时通用攻击：
      • $e=3$, 同一个消息 $m$ 被发送给 3 个不同的接收者。
      • $c_1=[m^3\mathrm{m}\mathrm{o}\mathrm{d}{N}_1]$, $c_2=[m^3\mathrm{m}\mathrm{o}\mathrm{d}{N}_2]$, $c_3=[m^3\mathrm{m}\mathrm{o}\mathrm{d}{N}_3]$.
      • $N_1,N_2,N_3$ 互质, 并且 $N^{\ast }=N_1{N}_2{N}_3$，使用中国剩余定理可知，$\exists$ 唯一的 $\hat{c}<N^{\ast }$:
      • $\hat{c}\equiv c_1(\mathrm{m}\mathrm{o}\mathrm{d}{N}_1)$, $\hat{c}\equiv c_2(\mathrm{m}\mathrm{o}\mathrm{d}{N}_2)$, $\hat{c}\equiv c_3(\mathrm{m}\mathrm{o}\mathrm{d}{N}_3)$.
      • $\hat{c}\equiv m^3(\mathrm{m}\mathrm{o}\mathrm{d}{N}^{\ast })$. 由于 $m^3<N^{\ast }$, $m={\hat{c}}^{1/3}$.

20. 对恢复明文的二次改进

    • 如果 $1\le m<\mathcal{L}=2^{\ell }$, 存在一个算法可以在 $\sqrt{\mathcal{L}}$ 时间恢复 $m$ 。
    • 思路：$ c \equiv m^e = (r\cdot s)^e = r^e\cdot s^e \pmod N $
    • 算法：
      • 输入：公钥 $⟨N,e⟩$; 密文 $c$; 参数 $\ell$
      • 输出：$m<2^{\ell }$ 使得 $m^e\equiv c(\mathrm{m}\mathrm{o}\mathrm{d}N)$
      • $T:=2^{\alpha \ell }$ //$\frac{1}{2}<\text{constant}\alpha <1$
      • For{$r=1$ to $T$} {$x_r:=[c/r^e\mathrm{m}\mathrm{o}\mathrm{d}N]$}
      • sort pairs $\{(r,x_r){\}}_{r=1}^T$ by $x_r$
      • For $s=1$ to $T$
        • If $[s^e\mathrm{m}\mathrm{o}\mathrm{d}N]\stackrel{?}{=}{x}_r$ for some $r$
          • Return $[r\cdot s\mathrm{m}\mathrm{o}\mathrm{d}N]$
      • Return fail

21. 共模攻击

    • 共模攻击使用相同的模数 $N$.
    • 情况1：多个用户带有自己的密钥。每个用户可以以自己的 $e,d$ 计算 $\varphi (N)$ ，然后找到其他人的 $d$.
    • 情况2：用两个公钥为同一个消息加密。
      • 假设 $\gcd (e_1,e_2)=1$, $c_1\equiv m^{e_1}$ and $c_2\equiv m^{e_2}(\mathrm{m}\mathrm{o}\mathrm{d}N)$. $\exists X,Y$ 使得 $X{e}_1+Y{e}_2=1$ （贝祖定理）.
      • $c_1^X\cdot c_2^Y\equiv m^{X{e}_1}{m}^{Y{e}_2}\equiv m^1(\mathrm{m}\mathrm{o}\mathrm{d}N).$
      • $N=15,e_1=3,e_2=5,c_1=8,c_2=2,m=?$

22. 对“书本上RSA”的CCA

    • 使用CCA恢复消息：敌手 $\mathcal{A}$ 选择一个随机数 $r\leftarrow {\mathbb{Z}}_N^{\ast }$ 并计算 $c^{\prime }=[r^e\cdot c\mathrm{m}\mathrm{o}\mathrm{d}N]$，使用CCA获得 $m^{\prime }$ 。那么，$m=?$
    • 在拍卖中讲价格翻倍：$c=[m^e\mathrm{m}\mathrm{o}\mathrm{d}N]$. $c^{\prime }=[2^{e}c\mathrm{m}\mathrm{o}\mathrm{d}N]$.

23. RSA实现问题

    • 将二进制串编码为 ${\mathbb{Z}}_N^{\ast }$ 中元素： $\ell =\Vert N\Vert$。任意长度为$\ell -1$ 的二进制串 $m$ 可以被看作是 $Z_N$ 中元素。尽管 $m$ 不在 $Z_N^{\ast }$ 中，RSA 仍工作。
    • $e$ 的选择：$e=3$ 或小 $d$ 都是坏选择。 推荐 $e=65537=2^{16}+1$
    • 使用中国剩余定理来加速解密：$ [c^d \bmod N] \leftrightarrow ([c^d \bmod p],[c^d \bmod q]). $
    • 假设一个 $n$ 比特整数指数预算需要 $n^3$ 操作。RSA 解密花费 $(2n{)}^3=8n^3$，其中使用中国剩余定理需要 $2n^3$。

24. Padded RSA

    • 思路：添加随机性来改进安全
    • 构造：
      • 令 $\ell$ 为一个函数，对所有 $n$， $\ell (n)\le 2n-2$，为被加密的消息长度。
      • $\mathsf{G}\mathsf{e}\mathsf{n}$: 输入 $1^n$, 运行 $\mathsf{G}\mathsf{e}\mathsf{n}\mathsf{R}\mathsf{S}\mathsf{A}(1^n)$ 来产生 $(N,e,d)$. 输出 $pk=⟨N,e⟩$ 和 $sk=⟨N,d⟩$。
      • $\mathsf{E}\mathsf{n}\mathsf{c}$: 输入 $m\in \{0,1{\}}^{\ell (n)}$, 选择随机串 $r\leftarrow \{0,1{\}}^{\Vert N\Vert -\ell (n)-1}$. 输出 $c:=[(r\Vert m{)}^e\mathrm{m}\mathrm{o}\mathrm{d}N]$。注：填充随机串后加密
      • $\mathsf{D}\mathsf{e}\mathsf{c}$: 计算 $\hat{m}:=[c^d\mathrm{m}\mathrm{o}\mathrm{d}N]$, 并输出 $\hat{m}$ 中的低$\ell (n)$个比特。注：这部分为明文
    • $\ell$ 不应该太大 (理论上的 $r$ 太小) 也不应该太小 (实践中的 $m$ 太小)。
    • 定理：如果RSA问题相对于$\mathsf{G}\mathsf{e}\mathsf{n}\mathsf{R}\mathsf{S}\mathsf{A}$ 是难的，那么基于 $\ell (n)=\mathcal{O}(\log n)$ 的构造是CPA安全的。
    • 证明：与对称加密中CPA安全方案类似。

实践中的RSA加密

25. 对RSA的实现攻击

    • 对HTTPS中PKCS1 v1.5的简化的CCA攻击 [Bleichenbacher]
    • 服务器对给定的密文来应答明文的最高有效位是否等于1 (版本号) 。攻击者发送 $c^{\prime }=(2^r{)}^e\cdot c$。如果收到 $Yes$，那么明文中第$(r+1)$最高有效位= ?
    • 防御：处理格式不正确的消息和格式正确的消息的方式应该是不可区分的。[RFC 5246]

26. PKCS #1 v2.1 （RSAES-OAEP）

    • 最优非对称加密填充（Optimal Asymmetric Encryption Padding，OAEP): 将长度 $n/2$ 的 $m$ 编码为长度 $2n$ 的消息 $\hat{m}$ 。 $G,H$ 是随机预言机。
    • RSA-OAEP在ROM下是CCA安全的。（当RO实例化后可能不安全）
    • CPA攻击下，敌手不知道$r$，则$m$被完美保护；若要知道 $r$，则必须知道$s$，这不可能。
    • CCA攻击下，无法有效进行解密查询，因为在应答前会检查明文中“00…0”。
    • 局限性：这个方案对RSA是安全的，但对其他TDP可能不是。

27. OAEP改进

    • OAEP+对所有TDP都是CCA安全的
    • SAEP+更简单填充，同样安全

28. 对RSA的实现攻击（续）

    • 计时攻击：[Kocher et al. 1997] 计算 $c^d$ 所消耗的时间可能泄漏 $d$。 (需要高解析时钟)
    • 能耗攻击：[Kocher et al. 1999] 为计算$c^d$ 智能卡消耗的能量可能泄漏$d$。
    • 防御：将密文和随机数 $r$ 绑定，解密 $r^e\cdot c$。
    • 密钥生成问题：(在 OpenSSL RSA 密钥生成过程中):
    • 相同的 $p$ 由多个设备产生 (源自启动时的低熵)，但是不同的 $q$ (源自额外的随机性).
      • 问题: 不同设备的 $N_1,N_2$ , $\gcd (N_1,N_2)=?$
      • 实验结果: 可分解 0.4% 的公开的HTTPS密钥。

29. 对RSA的故障攻击

    • 故障攻击：在解密过程中 $c^d\mathrm{m}\mathrm{o}\mathrm{d}N$ 发生的计算机故障可能泄漏 $d$ 。

    • 之前提到过使用中国剩余定理来加速解密:

      $[c^d\mathrm{m}\mathrm{o}\mathrm{d}N]\leftrightarrow ([m_p\equiv c^d(\mathrm{m}\mathrm{o}\mathrm{d}p)],[m_q\equiv c^d(\mathrm{m}\mathrm{o}\mathrm{d}q)])$

    • 假设在计算 $m_q$ 时发生错误，但在计算 $m_p$ 时没有错误。

    • $m^{\prime }\equiv c^d(\mathrm{m}\mathrm{o}\mathrm{d}p)$, $m^{\prime }\not\equiv c^d(\mathrm{m}\mathrm{o}\mathrm{d}q)$。

    • $(m^{\prime }{)}^e\equiv c(\mathrm{m}\mathrm{o}\mathrm{d}p)$, $(m^{\prime }{)}^e\not\equiv c(\mathrm{m}\mathrm{o}\mathrm{d}q)$

    • $\gcd ((m^{\prime }{)}^e-c,N)=?$

    • 防御：检查输出 (但减慢 10% )。

30. 总结

    • RSA问题是TPD，但书本上RSA加密不安全，RSA-OAEP在ROM下是CCA安全的。

8.3 DH问题与加密

1. 本节学习基于循环群上离散对数问题的DH问题及Elgamal加密方案。

2. 目录：循环群与离散对数，DH假设和应用，Elgamal加密方案。

3. 循环群（Cyclic Groups）与生成元（Generators）

   • $\mathbb{G}$ 是一个群并且一个元素 $g\in \mathbb{G}$通过运算生成一个子群 $⟨g⟩\stackrel{\text{def}}{=}\{g^0,g^1,\dots ,\}=\{g^0,g^1,\dots ,g^{i-1}\}$。
   • $g$ 的阶是最小的正整数 $i$ 令 $g^i=1$。
   • $\mathbb{G}$ 是一个循环群（cyclic group）如果 $\exists g$ 有阶 $m=|\mathbb{G}|$. $⟨g⟩=\mathbb{G}$, $g$ 是 $\mathbb{G}$ 的生成元。注：循环群中存在一个元素通过指数运算可生成整个群中每个元素。
   • 例题： 乘法下的${\mathbb{Z}}_6^{\ast }$, ${\mathbb{Z}}_7^{\ast }$,或 ${\mathbb{Z}}_8^{\ast }$ 是循环群吗? 找到生成元。

4. 离散对数

   • 如果 $\mathbb{G}$ 是阶为 $q$ 的循环群，那么 $\exists$ 生成元 $g\in \mathbb{G}$ 使得 $\{g^0,g^1,\dots ,g^{q-1}\}=\mathbb{G}$。
   • $\forall h\in \mathbb{G}$, $\exists$ 唯一的 $x\in {\mathbb{Z}}_q$ 使得 $g^x=h$。
   • $x={\log }_{g}h$ 是以$g$为底$h$的离散对数（discrete logarithm）。
   • 如果 $g^{x^{\prime }}=h$, 那么 ${\log }_{g}h=[x^{\prime }\mathrm{m}\mathrm{o}\mathrm{d}q]$。
   • ${\log }_{g}1=0$ 并且 ${\log }_g(h_1\cdot h_2)=[({\log }_g{h}_1+{\log }_g{h}_2)\mathrm{m}\mathrm{o}\mathrm{d}q]$。

5. 离散对数算法概览

   • 给定一个生成元 $g\in \mathbb{G}$ 并且 $y\in ⟨g⟩$，求 $x$ 使得 $g^x=y$.
   • 蛮力： $\mathcal{O}(q)$, $q=\mathsf{o}\mathsf{r}\mathsf{d}(g)$ 是 $⟨g⟩$ 的阶。
   • Baby-step/giant-step [Shanks]: $\mathcal{O}(\sqrt{q}\cdot \mathsf{p}\mathsf{o}\mathsf{l}\mathsf{y}\mathsf{l}\mathsf{o}\mathsf{g}(q))$.
   • Pohlig-Hellman算法：当 $q$ 有较小因子。
   • Index calculus 法: $\mathcal{O}(\exp (\sqrt{n\cdot \log n}))$.
   • 已知最好的算法是通用数域筛法：$\mathcal{O}(\exp (n^{1/3}\cdot (\log n{)}^{2/3}))$.
   • 椭圆曲线群 vs. ${\mathbb{Z}}_p^{\ast }$: 在保证安全性相同的同时，更高效。(1024-bit ${\mathbb{Z}}_p^{\ast }$ 和 132-bit 椭圆曲线都需要 $2^{66}$ 步来破解。)

6. 使用质数阶群

   • 定理：如果 $\mathbb{G}$ 是质数阶，那么 $\mathbb{G}$ 是循环群。除单位元外，所有 $g\in \mathbb{G}$ 是生成元。
   • 根据拉格朗日定理，任意元素的阶都等于群的阶。
   • 拉格朗日定理：子群阶可以整除群阶。$⟨g⟩$ 是 $\mathbb{G}$ 子群，并且 $|⟨g⟩|\mid |\mathbb{G}|$。
     • 思路：由一个子群可以派生覆盖了整个群的若干子集，这些子集的阶与子群相同，并且这些子集彼此不相交。
     • 设群$\mathbb{G}$的子群$H$，陪集（coset）$gH$（$g$和$H$中每个元素$h$运算构成的集合）和子群$H$的阶相同。
     • 子群的任意两个陪集$g_{1}H$和$g_{2}H$。
       • 或者相同，如果$g_1^{-1}{g}_2\in H$。$g_1(g_1^{-1}{g}_2)h\in g_{1}H$，$g_{2}h\in g_{1}H$。
       • 或者没有交集，如果$g_1^{-1}{g}_2\notin H$。采用反证法，如果有交集，则$g_1{h}_1=g_2{h}_2$，$g_1^{-1}{g}_2=h_1{h}_2^{-1}\in H$，矛盾。
     • 因此，群可以划分为任意子群的若干不相交陪集，每个陪集阶相同，群的阶就是子群的整数倍。
     • 推荐参考：https://brilliant.org/wiki/lagranges-theorem/
   • 离散对数问题在质数阶群上是最难的。
   • 在质数阶群上找一个生成元很简单。
   • 任何非零指数在以质数阶为模下都可逆。
   • DDH问题是难题的必要条件是 ${\mathsf{D}\mathsf{H}}_g(h_1,h_2)$ 与群中随机元素之间是不可区分的。在质数阶群上这基本成立。

7. 产生质数阶（子）群

   • 如果 $p$ 是质数，那么 ${\mathbb{Z}}_p^{\ast }$ 是乘法群。
   • $y\in {\mathbb{Z}}_p^{\ast }$ 是模$p$下的二次剩余（quadratic residue modulo），如果 $\exists x\in {\mathbb{Z}}_p^{\ast }$ 使得 $x^2\equiv y(\mathrm{m}\mathrm{o}\mathrm{d}p)$
   • 例题：${\mathbb{Z}}_7^{\ast }$ 下的二次剩余？
   • QR集合是一个子群（满足群条件），阶为 $(p-1)/2$，因为 $x^2\equiv (p-x{)}^2(\mathrm{m}\mathrm{o}\mathrm{d}p)$。
   • $p$ 是一个强质数（strong prime），如果 $p=2q+1$ 且 $q$ 是质数。
   • 强质数下的二次剩余子群是一个循环群，因为群的阶是质数。
   • 循环群生成算法：产生一个强质数$p$，阶为$q=(p-1)/2$，随机选择一个$x\in {\mathbb{Z}}_p^{\ast }$，得到生成元$g=x^2$，输出$p,q,g$。

8. 离散对数假设

   • 离散对数（discrete logarithm）实验 ${\mathsf{D}\mathsf{L}\mathsf{o}\mathsf{g}}_{\mathcal{A},\mathcal{G}}(n)$:
     • 运行一个群生成算法 $\mathcal{G}(1^n)$ 来产生 $(\mathbb{G},q,g)$，其中 $\mathbb{G}$ 是阶为 $q$ ( $\Vert q\Vert =n$) 的循环群，并且 $g$ 是 $\mathbb{G}$ 的生成元。
     • 挑选一个 $h\leftarrow \mathbb{G}$. ($x^{\prime }\leftarrow {\mathbb{Z}}_q$ and $h:=g^{x^{\prime }}$)
     • 敌手 $\mathcal{A}$ 给定 $\mathbb{G},q,g,h$，并且输出 $x\in {\mathbb{Z}}_q$.
     • 实验成功 ${\mathsf{D}\mathsf{L}\mathsf{o}\mathsf{g}}_{\mathcal{A},\mathcal{G}}(n)=1$，如果 $g^x=h$, 否则 0 。
   • 定义：离散对数问题相对于群$\mathcal{G}$是难的，如果 $\forall$ ppt 算法 $\mathcal{A}$, $\exists$ $\mathsf{n}\mathsf{e}\mathsf{g}\mathsf{l}$ 使得 $\mathrm{Pr}[{\mathsf{D}\mathsf{L}\mathsf{o}\mathsf{g}}_{\mathcal{A},\mathcal{G}}(n)=1]\le \mathsf{n}\mathsf{e}\mathsf{g}\mathsf{l}(n).$

9. DH假设

   • 计算性DH（Computational Diffie-Hellman, CDH）问题：${\mathsf{D}\mathsf{H}}_g(h_1,h_2)\stackrel{\text{def}}{=}{g}^{{\log }_g{h}_1\cdot {\log }_g{h}_2}$
   • 判断性DH（Decisional Diffie-Hellman, DDH)）问题：区分 ${\mathsf{D}\mathsf{H}}_g(h_1,h_2)$ 与一个随机的群元素 $h^{\prime }$.
   • 定义：DDH问题与$\mathcal{G}$相关的是难的，如果 $\forall$ ppt $\mathcal{A}$, $\exists$ $\mathsf{n}\mathsf{e}\mathsf{g}\mathsf{l}$ 使得 $|\mathrm{Pr}[\mathcal{A}(\mathbb{G},q,g,g^x,g^y,g^z)=1]-\mathrm{Pr}[\mathcal{A}(\mathbb{G},q,g,g^x,g^y,g^{xy})=1]|\le \mathsf{n}\mathsf{e}\mathsf{g}\mathsf{l}(n).$
   • DL, CDH 和 DDH 的难解性：DDH 比 CDH 和 DL 容易。

10. 安全密钥交换实验

    • 密钥交换实验（key-exchange experiment） ${\mathsf{K}\mathsf{E}}_{\mathcal{A},\Pi }^{\mathsf{e}\mathsf{a}\mathsf{v}}(n)$:

      1. 双方持有安全参数 $1^n$ 执行协议 $\Pi$。 $\Pi$ 执行的结果为对话记录 (transcript) $\mathsf{t}\mathsf{r}\mathsf{a}\mathsf{n}\mathsf{s}$ 包含双方发送的所有消息，以及各方都输出的密钥 $k$ 。
      2. 选择一个随机比特 $b\leftarrow \{0,1\}$ 。 如果 $b=0$ 那么选择 $\hat{k}\leftarrow \{0,1{\}}^n$ u.a.r；如果 $b=1$ 那么令 $\hat{k}:=k$。
      3. 敌手 $\mathcal{A}$ 给定 $\mathsf{t}\mathsf{r}\mathsf{a}\mathsf{n}\mathsf{s}$ 和 $\hat{k}$, 并且输出一个比特 $b^{\prime }$。
      4. ${\mathsf{K}\mathsf{E}}_{\mathcal{A},\Pi }^{\mathsf{e}\mathsf{a}\mathsf{v}}(n)=1$ 如果 $b^{\prime }=b$， 否则 0 。

    • 定义：一个密钥交换协议 $\Pi$ 在出现窃听者攻击下是安全的，如果 $\forall$ ppt $\mathcal{A}$, $\exists$ $\mathsf{n}\mathsf{e}\mathsf{g}\mathsf{l}$ 使得

      $ \Pr[\mathsf{KE}^{\mathsf{eav}}_{\mathcal{A},\Pi}(n) = 1] < \frac{1}{2} + \mathsf{negl}(n). $

11. DH密钥交换协议

    • ${\mathsf{K}\mathsf{E}}_{\mathcal{A},\Pi }^{\mathsf{e}\mathsf{a}\mathsf{v}}$ 表示一个实验，其中如果 $b=0$ ，敌手被给予 $\hat{k}\leftarrow \mathbb{G}$。
    • 定理：如果DDH问题与$\mathcal{G}$相关是难的，那么DH 密钥交换协议 $\Pi$ 在出现窃听者时是安全的 (对应改动的实验 ${\mathsf{K}\mathsf{E}}_{\mathcal{A},\Pi }^{\mathsf{e}\mathsf{a}\mathsf{v}}$)。
    • 不安全性：在主动的敌手，中间人，攻击下是不安全的 (Man-In-The-Middle)。敌手在中间与双方分别通信，通信双方无法发现在与敌手通信，敌手可以与双方分别协商出密钥。

12. 证明

    • $\Pr \left[ \widehat{\mathsf{KE}}^{\mathsf{eav}}_{\mathcal{A},\Pi} =1\right] $ $=\frac{1}{2}\cdot \mathrm{Pr}\left[{\mathsf{K}\mathsf{E}}_{\mathcal{A},\Pi }^{\mathsf{e}\mathsf{a}\mathsf{v}}=1|b=1\right]+\frac{1}{2}\cdot \mathrm{Pr}\left[{\mathsf{K}\mathsf{E}}_{\mathcal{A},\Pi }^{\mathsf{e}\mathsf{a}\mathsf{v}}=1|b=0\right]$
    • 如果 $b=1$, 那么给真密钥；否则给随机的 $g^z$.
    • $=\frac{1}{2}\cdot \mathrm{Pr}\left[\mathcal{A}(g^x,g^y,g^{xy})=1\right]+\frac{1}{2}\cdot \mathrm{Pr}\left[\mathcal{A}(g^x,g^y,g^z)=0\right]$
    • $=\frac{1}{2}\cdot \mathrm{Pr}\left[\mathcal{A}(g^x,g^y,g^{xy})=1\right]+\frac{1}{2}\cdot (1-\mathrm{Pr}\left[\mathcal{A}(g^x,g^y,g^z)=1\right])$
    • $=\frac{1}{2}+\frac{1}{2}\cdot \left(\mathrm{Pr}\left[\mathcal{A}(g^x,g^y,g^{xy})=1\right]-\mathrm{Pr}\left[\mathcal{A}(g^x,g^y,g^z)=1\right]\right)$
    • $\le \frac{1}{2}+\frac{1}{2}\cdot \mathsf{n}\mathsf{e}\mathsf{g}\mathsf{l}(n)$

13. DHKE例子

    • $\mathbb{G}={\mathbb{Z}}_{11}^{\ast }$ ；二次剩余循环群的阶 $q=?$
    • 二次剩余子群 ?
    • $g=3$ 是生成元吗？
    • 如果 $x=3$ 且 $y=4$，Bob发给Alice消息是？
    • Alice 如何计算密钥？
    • Bob 如何计算密钥？

14. 三方密钥交换

    • DH基于的KE在2轮实现三方密钥交换，Key$=g^{abc}$。
    • Joux’s KE 在 1 轮实现三方密钥交换。在 bilinear map中，Key$=e(P,P{)}^{abc}$ 。
    • 开放问题：如何在一轮中在4方之间交换密钥？

15. 完美保密私钥加密引理

    • 引理：$\mathbb{G}$ 是有限群并且 $m\in \mathbb{G}$ 是任意元素。那么选择随机 $k\leftarrow \mathbb{G}$ 并令 $c:=m\cdot k$ ，将得到与随机选择的 $c\leftarrow \mathbb{G}$ 相同的分布，即 $\forall g\in \mathbb{G}$: $ \Pr[m\cdot k = g] = 1/|\mathbb{G}| $。
    • 证明：$g\in \mathbb{G}$ 是任意的，那么 $\Pr[m\cdot k = g] = \Pr[k = m^{-1}\cdot g] $。由于 $k$ 均匀随机选择，选择 $k$ 的概率与一个固定元素 $m^{-1}\cdot g$ 相同，都是 $1/|\mathbb{G}$|。
    • 注：这是一种完美保密的私钥加密方案，将一个元素（明文）与另一个元素（密钥）的运算得到第三个元素（密文），与之前一个字母的移位密码是完美保密是类似的。

16. Elgamal加密方案

    • 一个算法 $\mathcal{G}$, 输入 $1^n$, 输出一个循环群 $\mathbb{G}$, 其阶为 $q$ ($\Vert q\Vert =n$), 并且生成元为 $g$。
    • 构造：
      • $\mathsf{G}\mathsf{e}\mathsf{n}$: 运行 $\mathcal{G}(1^n)$ 来产生 $(\mathbb{G},q,g)$。一个随机的 $x\leftarrow {\mathbb{Z}}_q$ 和 $h:=g^x$。 $pk=⟨\mathbb{G},q,g,h⟩$ 并且 $sk=⟨\mathbb{G},q,g,x⟩$。
      • $\mathsf{E}\mathsf{n}\mathsf{c}$: 一个随机 $y\leftarrow {\mathbb{Z}}_q$ 并且输入 $⟨c_1,c_2⟩=⟨g^y,h^y\cdot m⟩$。
      • $\mathsf{D}\mathsf{e}\mathsf{c}$: $m:=c_2/c_1^x$。
    • 定理：如果DDH问题与$\mathcal{G}$相关是难的，那么Elgamal加密方案是CPA安全。

17. Elgamal加密例子

    • 加密前首先对明文进行二进制串编码：
      • 在模一个强质数 $p=(2q+1)$ 的二次剩余子群中，
      • 一个串 $\hat{m}\in \{0,1{\}}^{n-1}$, $n=\Vert q\Vert$。
      • 将 $\hat{m}$ 映射到被加密的明文 $m=[(\hat{m}+1{)}^2\mathrm{m}\mathrm{o}\mathrm{d}p]$。
        • 这里的加1是为了保证在消息为“0”时，明文也在这个乘法群里
      • 映射是一对一且可逆的。
    • 例子，略。

18. 证明

    • 思路：通过将DDH问题的算法$D$规约到窃听者算法$\mathcal{A}$来证明 $\Pi$ 在窃听者出现时是安全的。
    • 将 $\Pi$ 改造为 $\tilde{\Pi }$： 加密是通过随机选择的 $y\leftarrow {\mathbb{Z}}_q$ 和 $z\leftarrow {\mathbb{Z}}_q$ 然后输出密文：$⟨g^y,g^z\cdot m⟩$。
    • $\tilde{\Pi }$ 不是一个加密方案.
    • $g^y$ 独立于 $m$。
    • $g^z\cdot m$ 是独立于 $m$ 的随机元素 (之前的私钥加密引理)。
    • 实验成功概率与完美保密加密方案中是相同的。 $\mathrm{Pr}\left[{\mathsf{P}\mathsf{u}\mathsf{b}\mathsf{K}}_{\mathcal{A},\tilde{\Pi }}^{\mathsf{e}\mathsf{a}\mathsf{v}}(n)=1\right]=\frac{1}{2}.$

19. 证明（续一）

    • 将DDH问题的算法$D$规约到窃听者算法$\mathcal{A}$。

20. 证明（续二）

    • 情况1: $g_3=g^z$, 密文是 $⟨g^y,g^z\cdot m_b⟩$.

      $ \Pr[D(g^x,gy,g^z)=1] = \Pr\left[\mathsf{PubK}^{\mathsf{eav}}_{\mathcal{A},\tilde{\Pi}}(n)=1\right] = \frac{1}{2}. $

    • 情况2: $g_3=g^{xy}$, 密文是 $⟨g^y,g^{xy}\cdot m_b⟩$.

      $ \Pr[D(g^x,gy,g^{xy})=1] = \Pr\left[\mathsf{PubK}^{\mathsf{eav}}_{\mathcal{A},\Pi}(n)=1\right] = \varepsilon(n). $

    • 由于DDH问题是难的，

      $$\mathsf{n}\mathsf{e}\mathsf{g}\mathsf{l}(n)\ge |\mathrm{Pr}[D(g^x,g^y,g^z)=1]-\mathrm{Pr}[D(g^x,g^y,g^{xy})=1]|=|\frac{1}{2}-\epsilon (n)|.$$

21. Elgamal加密中CCA

    • Elgamal不是CCA安全的。
    • 例题：构造明文 $m\cdot m^{\prime }$ 的密文。
      • 给定 $pk=⟨g,h⟩$, $c=⟨c_1,c_2⟩$, $c_1=g^y$, $c_2=h^y\cdot m$,
      • 方法1：计算 $c_2^{\prime }:=c_2\cdot m^{\prime }$, 和 $c^{\prime }=⟨c_1,c_2^{\prime }⟩$. $ \frac{c_2’}{c_1^x} = ? $
      • 方法2：计算 $c_1^{\prime \prime }:=c_1\cdot g^{y^{\prime \prime }}$, 和 $c_2^{\prime \prime }:=c_2\cdot h^{y^{\prime \prime }}\cdot m^{\prime }$。
        • $ c_1’’=g^y\cdot g^{y’’} = g^{y+y’’};\text{and}; c_2’’= ? $
        • 所以 $c^{\prime \prime }=⟨c_1^{\prime \prime },c_2^{\prime \prime }⟩$ 是 $m\cdot m^{\prime }$ 的密文。

22. Elgamal实现问题

    • 共享公开参数：$\mathcal{G}$ 产生参数 $\mathbb{G},q,g$。
      • 这些参数可以只产生一次并且为所有人所使用（’‘once-and-for-all’’）。
      • 可以被多个接收者使用。
      • 每个接收者必须选择各自的保密数值 $x$ 并且发布他们自己的公钥包含 $h=g^x$。
    • 参数共享：在 Elgamal 的情况下，公开参数可以被共享。在 RSA 情况下，参数可以被共享吗？

23. 椭圆曲线密码学

    • 在椭圆曲线群上构造的离散对数问题
    • 其他密码学上的应用在1985年被提出
    • 类比离散对数，DH密钥交换，ElGamal加密和DSA，在椭圆曲线上有，ECDL，ECDHKE，ElGamal ECC，ECDSA
    • 比自然数域上更有效，密钥长度是所需蛮力搜索指数长度的二倍。
      • 二倍的原因是，离散对数问题的蛮力搜索所需指数长度是群阶指数长度的一半

24. 椭圆曲线群

    • 椭圆曲线群是在一个有限域中的一个平面代数曲线上的点之间“加法”操作
    • 在有限域中取模是关键，单位元是无穷远点

25. 在椭圆曲线点上做加法构成循环群

    • 每条直线和曲线有三个交点
      • 一条直线与曲线的切点算2次
      • 垂直线上，无穷远点计做一个点
    • 点上的加法
      • 三点成一线，三点之和为无穷远点
    • 密钥生成
      • 私钥是$d$，公钥为$dP$

26. ECDHKE的一个例子

    • 计算ECDHKE的密钥，这里枚举了生成元为（3，4）的所有指数结果
    • Alice的密钥为$a=4$，收到（2，7）
    • Alice密钥计算是从（2，7）开始，向后数3个点（乘4=加3次）
    • Bob密钥计算是从（4，10）开始（因为$a=4$），向后数2个点（因为$b=3$）

27. 实践中的椭圆曲线密码系统

    • P256有一定风险，被揭露有NSA的后门；
    • Curve25519更安全高效，其中常数选择有充分的解释；

28. 总结

    • DHKE，ElGamal加密来自于CDH，DDH问题，后者来自于在指数阶群上的离散对数问题
    • 椭圆曲线密码学更有效并且被广泛使用