[发明专利]密码芯片中安全椭圆曲线的生成方法

说明书

技术领域

本发明涉及密码学领域，特别是涉及一种密码芯片中安全椭圆曲线的生成方法。

背景技术

实数域上椭圆曲线可以表示为y²＝x³+ax+b，其中x,y,a,b为实数。而密码算法中，椭圆曲线是定义在素数域E(F_p)上，其中p为素数，x,y,a,b可以取0，1，2，3...p-1；同时在素数域上满足4a³+27b²mod p≠0。给定整数k和点P，容易计算kP；不妨记Q=kP，如果给定点P和Q，对于精心选取的椭圆曲线，很难求出k。这就是椭圆曲线离散对数问题，也是椭圆曲线密码的数学安全基础。

当椭圆曲线的阶是一个大素数，那么对于这个离散对数问题目前还没有好的解决方法，所以称目前是安全的。但是对于椭圆曲线的攻击，可以通过导入故障攻击，使它的点不落在安全曲线上，而落在比如扭曲线上。如果扭曲线的阶可以分解成小素数的乘积，就能够通过求离散对数问题来得到密钥。

发明内容

本发明要解决的技术问题是提供一种密码芯片中安全椭圆曲线的生成方法，能使构造的椭圆曲线具有更高的安全性。

为解决上述技术问题，本发明的密码芯片中安全椭圆曲线的生成方法，包括如下步骤：

步骤一，建立素数域F_p；

步骤二，在素数域F_p中选取两个随机数a，b；

步骤三，验证Δ＝-16*(4*a³+27*b²)是否为0，如果为0，则返回步骤二；如果不为0则执行步骤四；

步骤四，在素数域Fp构建椭圆曲线E，即y²＝x³+ax+b；

步骤五，运算椭圆曲线E的阶r₀，如果r₀不是素数，则返回步骤二；如果是素数则执行步骤六；

步骤六，选取一个数c；

步骤七，验证Δ1=-16*[4*(ac2)3+27*(bc3)2]]]>是否为0，如果为0，则返回步骤二；如果不为0则执行步骤八；

步骤八，在素数域F_p构建扭曲线E₁即cy²＝x³+ax+b；

步骤九，计算扭曲线E₁的阶r₁，如果r₁不是素数，则返回步骤二；如果是素数则执行步骤十；

步骤十，输出随机数a，b；

其中，p为素数，c是p的二次非剩余，“﹡”代表乘号，△为椭圆曲线E的判别式，只有满足△≠0时，y²＝x³+ax+b所构成的点与无穷远点才可以构成椭圆曲线，△₁为椭圆曲线E₁的判别式，只有满足△₁≠0时，cy²＝x³+ax+b所构成的点与无穷远点才可以构成椭圆曲线。

步骤五中，所述椭圆曲线E的阶r₀是一个至少160比特的素数。

步骤八中，所述扭曲线E₁的阶r₁是一个至少160比特的素数。