cryptography_tutorial

第四章：公钥密码学

开篇

公钥密码学的发明是密码学史上最重要的突破之一，它解决了传统对称密码学中密钥分发的根本问题。通过引入陷门函数的概念，公钥密码学使得两个从未谋面的通信方能够建立安全通信信道。本章将深入探讨公钥密码学的数学基础，重点分析RSA、椭圆曲线密码学以及离散对数问题，并讨论在量子计算威胁下的安全性挑战。

学习目标：

理解陷门函数的数学性质和密码学意义
掌握RSA和椭圆曲线密码学的构造与安全性分析
熟悉选择密文攻击模型和可证明安全性理论
了解后量子密码学对传统公钥系统的冲击

公钥密码学基础概念

陷门函数的深层理论

公钥密码学的核心是陷门函数（Trapdoor Function）的概念，它是现代密码学最重要的理论工具之一。陷门函数的存在性与P vs NP问题密切相关，虽然我们无法证明陷门函数的存在，但基于特定数学假设可以构造候选函数族。

形式化地，一个陷门函数族是一个四元组$(G, F, F^{-1}, D)$，其中：

$G(1^k)$：概率性多项式时间密钥生成算法，输入安全参数$k$，输出函数索引$i$、公钥$pk$和陷门信息$td$
$F_i: D_i \rightarrow R_i$：确定性单向函数，定义域$D_i$到值域$R_i$的映射
$F^{-1}_{i,td}$：陷门逆函数，仅在知道陷门$td$时可高效计算
$D = {D_i}_{i \in I}$：函数族的定义域集合

严格的安全性定义：

对于安全参数$k$和函数族$(G, F, F^{-1}, D)$，定义以下实验：

实验 Invert_A,F(k):
(i, pk, td) ← G(1^k)
x ← D_i (均匀随机选择)
y ← F_i(x)
x' ← A(i, pk, y)
如果 F_i(x') = y 则输出 1，否则输出 0

如果对所有概率多项式时间算法$A$，都有$\Pr[\text{Invert}_{A,F}(k) = 1] \leq \text{negl}(k)$，则称$F$是单向的。

陷门特性：存在概率多项式时间算法$I$，对于$(i, pk, td) \leftarrow G(1^k)$和$x \in D_i$，有： $\Pr[I(i, td, F_i(x)) = x] = 1$

几何直观：陷门函数可视为一个”单向门”，公开信息允许任何人进入（正向计算），但只有持有特殊钥匙（陷门）的人才能出来（逆向计算）。

计算复杂性基础

公钥密码学的安全性建立在计算复杂性理论的基础之上。我们区分以下几类计算问题：

1. 单向性（One-wayness）

定义：存在函数$f$使得计算$f(x)$容易，但从$f(x)$计算$x$困难
形式化：$\Pr[A(f(x)) \in f^{-1}(f(x))] \leq \text{negl}(k)$，其中$x$均匀随机选择

2. 强单向性（Strong One-wayness）

定义：不仅难以完全逆向，连部分信息也难以获得
例子：从$f(x)$预测$x$的任意位的概率不超过$1/2 + \text{negl}(k)$

3. hardcore谓词

定义：对于单向函数$f$，如果谓词$B(x)$从$f(x)$难以预测，则称$B$是$f$的hardcore谓词
Goldreich-Levin定理：$B(x,r) = \langle x, r \rangle = \sum_{i} x_i r_i \bmod 2$是任意单向函数$f(x,r)$的hardcore谓词

非均匀计算模型：考虑具有多项式大小建议字符串的算法，这更准确地刻画了实际攻击者的能力。

Rule of thumb：陷门函数的安全性通常基于平均情况困难性假设，而非最坏情况，这与传统算法分析不同。

语义安全性与攻击模型层次

公钥加密方案的安全性通过多层次的攻击模型来定义，从最基本的语义安全性到最强的自适应选择密文攻击安全性。

语义安全性（Semantic Security）是最基础的安全概念。直观上，它要求攻击者从密文中无法获得关于明文的任何信息。形式化定义通过不可区分性实验给出：

IND-CPA实验：

实验 IND-CPA_A,Π(k):
(pk, sk) ← Gen(1^k)
(m_0, m_1, state) ← A_1(pk)，其中 |m_0| = |m_1|
b ← {0,1}，c ← Enc_pk(m_b)
b' ← A_2(state, c)
如果 b' = b 则输出 1，否则输出 0

如果对所有概率多项式时间算法$A$，都有： $\left|\Pr[\text{IND-CPA}_{A,\Pi}(k) = 1] - \frac{1}{2}\right| \leq \text{negl}(k)$

则称加密方案$\Pi$满足IND-CPA安全性。

更强的安全性概念：

1. 选择密文攻击（CCA1）

攻击者在挑战阶段前可以访问解密预言机
非自适应性：预言机查询必须在看到挑战密文前完成

2. 自适应选择密文攻击（CCA2）

攻击者在整个过程中都可以访问解密预言机
限制：不能查询挑战密文$c^*$本身
最强的安全概念：模拟现实世界中攻击者的最大能力

安全性层次关系： $\text{IND-CCA2} \Rightarrow \text{IND-CCA1} \Rightarrow \text{IND-CPA}$

实际意义：CCA2安全性防御恶意选择的密文攻击，这在实际系统中很常见，如选择密文填充攻击。

公钥密码学的形式化框架

标准的公钥加密方案是一个三元组$\Pi = (Gen, Enc, Dec)$：

1. 密钥生成算法 $Gen: {0,1}^* \rightarrow \mathcal{K} \times \mathcal{K}$

输入：安全参数$1^k$（unary编码）
输出：密钥对$(pk, sk) \in \mathcal{PK} \times \mathcal{SK}$
概率性：每次运行产生不同的密钥对
效率：运行时间为$k$的多项式

2. 加密算法 $Enc: \mathcal{PK} \times \mathcal{M} \rightarrow \mathcal{C}$

输入：公钥$pk$和消息$m \in \mathcal{M}_k$
输出：密文$c \in \mathcal{C}_k$
概率性：通常需要内部随机性以保证语义安全性
效率：运行时间为$k$和$ m $的多项式

3. 解密算法 $Dec: \mathcal{SK} \times \mathcal{C} \rightarrow \mathcal{M} \cup {\perp}$

输入：私钥$sk$和密文$c$
输出：消息$m$或错误符号$\perp$
确定性：通常是确定性算法
效率：运行时间为$k$和$ c $的多项式

正确性要求：对于所有$k \in \mathbb{N}$，所有$(pk, sk) \leftarrow Gen(1^k)$，所有$m \in \mathcal{M}_k$： $\Pr[Dec_{sk}(Enc_{pk}(m)) = m] = 1$

扩展性质：

密钥可恢复性：从公钥无法有效恢复私钥
消息空间：$\mathcal{M}_k$通常为${0,1}^{p(k)}$，其中$p$是多项式
紧凑性：密文长度应与消息长度成合理比例

Rule of thumb：实际的公钥加密方案往往需要在安全性、效率和密文长度之间进行权衡。

RSA密码系统

数学基础与构造原理

RSA算法是第一个实用的公钥密码系统，由Rivest、Shamir和Adleman于1978年提出。其安全性基于大整数分解问题的困难性，建立在数论中的几个重要定理之上。

核心数学原理：

1. 欧拉函数与欧拉定理

欧拉函数$\phi(n)$计算小于$n$且与$n$互质的正整数个数
对于素数$p$：$\phi(p) = p-1$
对于两个不同素数的乘积：$\phi(pq) = (p-1)(q-1)$
欧拉定理：若$\gcd(a,n) = 1$，则$a^{\phi(n)} \equiv 1 \pmod{n}$

2. 费马小定理的推广

费马小定理：若$p$是素数且$p \nmid a$，则$a^{p-1} \equiv 1 \pmod{p}$
中国剩余定理保证了欧拉定理在合数上的有效性

RSA密钥生成算法详解：

算法 RSA-KeyGen(1^k):
1. 重复以下步骤直到找到合适的素数：
   - p ← RandomPrime(k/2)
   - q ← RandomPrime(k/2)
   - 确保 |p-q| > 2^(k/2-100) (防止Fermat分解)
2. n ← p × q
3. φ(n) ← (p-1) × (q-1)
4. 选择 e ∈ {3, 5, 17, 257, 65537} 使得 gcd(e, φ(n)) = 1
5. d ← e^(-1) mod φ(n) (使用扩展欧几里得算法)
6. 返回 pk = (n, e), sk = (n, d, p, q)

加密与解密的数学描述：

加密：$\mathcal{E}(m) = m^e \bmod n$，其中$m \in \mathbb{Z}_n^*$
解密：$\mathcal{D}(c) = c^d \bmod n$

完整的正确性证明：

情况1：$\gcd(m, n) = 1$（最常见情况）由于$ed \equiv 1 \pmod{\phi(n)}$，存在整数$k$使得$ed = 1 + k\phi(n)$。 $c^d \equiv (m^e)^d \equiv m^{ed} \equiv m^{1+k\phi(n)} \equiv m \cdot (m^{\phi(n)})^k \stackrel{\text{欧拉定理}}{\equiv} m \cdot 1^k \equiv m \pmod{n}$

情况2：$\gcd(m, n) \neq 1$（非常罕见）如果$p | m$但$q \nmid m$，则：

$m^{ed} \equiv 0 \equiv m \pmod{p}$
$m^{ed} \equiv m^{1+k(p-1)(q-1)} \equiv m \pmod{q}$（由费马小定理）
由中国剩余定理：$m^{ed} \equiv m \pmod{n}$

现代实现的优化技术：

1. 中国剩余定理加速（CRT）

计算$m_p = c^{d_p} \bmod p$，其中$d_p = d \bmod (p-1)$
计算$m_q = c^{d_q} \bmod q$，其中$d_q = d \bmod (q-1)$
使用CRT重构：$m = m_p \cdot q \cdot (q^{-1} \bmod p) + m_q \cdot p \cdot (p^{-1} \bmod q) \bmod n$
速度提升：约4倍加速

2. 蒙哥马利阶梯算法

用于高效计算模指数$a^b \bmod n$
时间复杂度：$O(\log b)$次模乘运算
抗侧信道攻击的恒定时间实现

3. 蒙哥马利模乘算法

避免昂贵的模约减运算
特别适合硬件实现
抗时序攻击的恒定时间特性

4. 多精度算术库的选择

GMP（GNU Multiple Precision）：性能优秀但C接口
OpenSSL BIGNUM：广泛使用，集成度高
Microsoft CNG：Windows平台原生支持
Intel IPP：针对Intel处理器优化

密钥生成的安全考虑：

1. 强随机数生成

熵源质量直接影响密钥安全性
需要通过FIPS 140-2或Common Criteria认证的随机数生成器
对于虚拟化环境，需要特别注意熵不足问题

2. 素数生成与测试

Miller-Rabin素性测试：概率性测试，错误率为$4^{-k}$
Lucas序列测试：确定性测试的补充
强素数要求：$p = 2p’ + 1$形式，其中$p’$也是素数
Safe prime考虑：防御Pohlig-Hellman攻击

3. 密钥质量验证

验证清单：
✓ |p - q| > 2^(k/2-100)  (防Fermat分解)
✓ p, q > 2^(k/2-1)       (保证足够长度)
✓ gcd(p-1, q-1) < 2^(k/4) (防common factor攻击)
✓ gcd(e, (p-1)(q-1)) = 1  (保证d存在)
✓ d > 2^(k/4)             (防Wiener攻击)

现代应用中的RSA变种：

1. Multi-Prime RSA

使用3个或更多素数：$n = p_1 p_2 \cdots p_r$
优势：CRT加速更显著（r倍加速）
风险：分解难度可能降低
应用：高性能服务器环境

2. Batch RSA

同时处理多个RSA运算
利用Chinese Remainder Theorem的批处理特性
显著提升吞吐量

3. RSA-FDH（Full Domain Hash）

哈希函数输出覆盖整个$\mathbb{Z}_n^*$
更强的安全性保证
在随机预言模型下可证明安全

Rule of thumb：现代RSA实现必须使用CRT加速和侧信道防护，裸RSA运算几乎从不直接使用。密钥生成阶段的安全性往往决定整个系统的安全水平。

RSA的安全性分析与困难性假设

RSA的安全性建立在一系列相互关联但不等价的数学困难性假设之上。理解这些假设之间的关系对于正确评估RSA的安全性至关重要。

核心困难性假设层次：

1. 整数分解假设（Factoring Assumption）

问题：给定$n = pq$（$p, q$为大素数），计算$p$或$q$
最强假设：如果能分解$n$，就能完全破解RSA
当前最佳算法：通用数域筛法（GNFS），复杂度约$L_n[1/3, (64/9)^{1/3}]$

2. RSA假设（RSA Assumption）

问题：给定$(n, e, c)$，计算$m$使得$c \equiv m^e \pmod{n}$
与分解的关系：$\text{Factoring} \Rightarrow \text{RSA Problem}$，但反向未必成立
可能的非分解攻击：直接计算$e$次根，但目前未知有效算法

3. 强RSA假设（Strong RSA Assumption）

问题：给定$(n, c)$，找到$e > 1$和$m$使得$c \equiv m^e \pmod{n}$
应用：某些签名方案的安全性证明
关系：强于标准RSA假设

安全性参数与攻击复杂度：

密钥长度	安全级别	GNFS复杂度	量子攻击	推荐状态
1024位	80位	$2^{80}$	$2^{20}$	已弃用
2048位	112位	$2^{112}$	$2^{21}$	最低要求
3072位	128位	$2^{128}$	$2^{22}$	推荐
4096位	140位	$2^{140}$	$2^{23}$	高安全

具体攻击算法分析：

1. 试除法（Trial Division）

复杂度：$O(\sqrt{n})$
仅对小因子有效，实际不可行

2. Pollard’s rho算法

复杂度：$O(n^{1/4})$
期望时间：$O(\sqrt{\text{最小素因子}})$

3. 二次筛法（Quadratic Sieve）

复杂度：$L_n[1/2, 1]$
适用于中等大小的合数（< 100位）

4. 通用数域筛法（GNFS）

复杂度：$L_n[1/3, (64/9)^{1/3}] \approx L_n[1/3, 1.923]$
目前最有效的算法，用于分解RSA挑战
实际记录：已分解829位RSA模数（RSA-250）

量子攻击威胁：

Shor算法的详细分析：

量子复杂度：$O((\log n)^3)$使用$O(\log n)$个量子比特
实际要求：约4000个逻辑量子比特分解2048位RSA
当前状态：最大实验为21位（$n = 21 = 3 \times 7$）
时间线预估：可能在2030-2040年威胁实用RSA

侧信道攻击与实现安全性：

1. 时序攻击（Timing Attacks）

原理：通过测量解密时间推断私钥信息
防护：固定时间实现，添加随机延迟

2. 功耗分析（Power Analysis）

简单功耗分析（SPA）：直接观察功耗曲线
差分功耗分析（DPA）：统计分析多次运算的功耗差异
防护：功耗均匀化，掩码技术

3. 故障攻击（Fault Attacks）

Bellcore攻击：通过引入CRT计算错误恢复私钥
防护：结果验证，冗余计算

量子后安全性评估：

1. 量子计算机发展时间线

2019年：Google宣称量子霸权（53个物理量子比特）
2024年：IBM达到1000+物理量子比特
2030年估计：可能达到百万物理量子比特
关键门槛：约4000个逻辑量子比特破解2048位RSA

2. 错误校正开销

物理量子比特到逻辑量子比特比率约1000:1
需要约400万物理量子比特实现实用攻击
当前技术水平仍有巨大差距

3. Shor算法的实际限制

需要高保真度的量子门操作
相干时间要求极高
经典预处理和后处理的复杂性

密码学敏捷性（Crypto-Agility）：

1. 算法无关设计

抽象密码学接口，支持多种算法
支持算法参数的动态配置
平滑的算法升级路径

2. 混合安全方案

传统公钥算法 + 后量子算法
保持向后兼容性
双重安全保障

3. 密钥管理策略

密钥长度的动态调整机制
密钥轮换的自动化
算法弃用的平滑过渡

实际攻击案例分析：

1. RSA挑战赛历史

RSA-155 (512位, 1999年): 约7个月
RSA-640 (640位, 2005年): 约5个月
RSA-768 (768位, 2009年): 约2年
RSA-250 (829位, 2020年): 约2700核心年

2. 实际系统的RSA破解

Debian OpenSSL漏洞（2008）：随机数熵不足导致私钥可预测
ROCA攻击（2017）：英飞凌芯片的素数生成缺陷
TPM-FAIL攻击（2019）：基于时序的侧信道攻击

3. 学术界的理论突破

通用数域筛法的改进：复杂度降低约$L_n[1/3, 1.9]$
格约简算法：BKZ算法的不断优化
分布式分解：云计算平台的计算能力整合

前瞻性安全评估：

1. 密钥长度建议时间线

年份      | 最低要求 | 推荐长度 | 高安全级别
----------|----------|----------|------------
2025      | 2048位   | 3072位   | 4096位
2030      | 3072位   | 4096位   | 弃用RSA
2035      | 弃用     | 弃用     | 弃用

2. 迁移策略建议

短期（2025-2027）：增加密钥长度到3072位
中期（2027-2030）：部署混合经典/后量子方案
长期（2030+）：完全迁移到后量子算法

Rule of thumb：RSA的实用安全性不仅依赖于数学困难性，更需要考虑实现层面的侧信道防护和量子威胁的时间线。现在就应开始规划后量子密码学的迁移路径。

填充方案与实用安全性

裸RSA加密在实际应用中存在致命的安全漏洞，必须结合适当的填充方案才能实现语义安全性。理解这些漏洞和相应的防护措施对于安全实现至关重要。

裸RSA的根本缺陷：

1. 确定性导致的信息泄露

问题：相同明文总是产生相同密文，破坏语义安全性
攻击示例：字典攻击，特别是对于小明文空间
数学描述：$\Pr[m_0 = m_1 c_0 = c_1] = 1$

2. 乘法同态性

性质：$\text{RSA}(m_1) \cdot \text{RSA}(m_2) = \text{RSA}(m_1 \cdot m_2 \bmod n)$
攻击：可通过组合已知密文构造新的有效密文
恶意性：违反选择密文攻击安全性

3. 小指数攻击家族

Håstad攻击：当使用小公钥指数$e$且同一消息发送给$e$个接收者时，可通过中国剩余定理恢复明文
Coppersmith攻击：利用格约简攻击低汉明重量的RSA密钥
数学条件：$m^e < n$时可直接开$e$次方根

PKCS #1 v1.5填充：

早期的填充标准，结构为：

0x00 || 0x02 || PS || 0x00 || M

其中$PS$是长度为$k - |M| - 3$的随机非零字节序列。

已知攻击：

Bleichenbacher攻击（1998）：基于填充验证预言机的自适应选择密文攻击
攻击复杂度：约$2^{20}$次预言机查询
实际影响：影响TLS、PKCS #11等多个协议

OAEP填充方案详解：

结构设计：

       +----------+---------+-------+
       |    lHash |    PS   | 0x01  |
       +----------+---------+-------+
                      DB
                      |
           +----------+
           |   seed   |
           +----------+
           |          |
           |    +-----|
           |    |     |
           +----|--+  |
                |  |  |
               MGF   |
                |    |
            +---+    |
            |        |
            |   +----+
            |   |
            |  MGF
            |   |
    +-------+---+
    |   X   |Y  |
    +-------+---+

算法步骤：

编码：$\text{DB} = \text{lHash} | \text{PS} | \text{0x01} | M$
掩码生成：$\text{dbMask} = \text{MGF}(\text{seed}, \text{DB} )$
掩蔽DB：$\text{maskedDB} = \text{DB} \oplus \text{dbMask}$
种子掩码：$\text{seedMask} = \text{MGF}(\text{maskedDB}, \text{seed} )$
掩蔽种子：$\text{maskedSeed} = \text{seed} \oplus \text{seedMask}$
输出：$\text{EM} = \text{0x00} | \text{maskedSeed} | \text{maskedDB}$

安全性理论：

定理（OAEP安全性）：如果$f$是$(t’, \epsilon’)$-单向陷门置换，$G, H$是随机预言机，则OAEP-$f$是$(t, q_D, q_G, q_H, \epsilon)$-IND-CCA2安全的，其中：

$t’ = t - O(q_G + q_H)$
$\epsilon’ \geq \epsilon - \frac{q_D(q_G + q_H)}{2^{k_0}} - \frac{q_G \cdot q_H}{2^{k_1}}$

实践中的考虑：

1. 掩码生成函数（MGF）

标准实现：MGF1，基于SHA-1或SHA-256
安全要求：必须表现为随机函数
效率考虑：可并行化实现

2. 参数选择

$k_0 = 160$位（SHA-1哈希长度）
$k_1 = 160$位（种子长度）
最大消息长度：$k - 2k_0 - 2$字节

3. 随机预言模型的限制

OAEP在标准模型下的安全性未被证明
某些哈希函数攻击可能影响OAEP安全性
需要谨慎选择底层哈希函数

现代替代方案：

OAEP+（PKCS #1 v2.1）：

修复OAEP的某些理论缺陷
更强的安全性证明
向后兼容性考虑

PSS（Probabilistic Signature Scheme）填充：

虽然主要用于数字签名，PSS的设计理念对理解安全填充方案很有价值。PSS使用以下结构：

       +----------+----------+----------+
       |   salt   |    M     |    BC    |
       +----------+----------+----------+
       |<-- sLen -->|<-- mLen -->|<- 1 ->|
       |                                 |
       +---------+                       |
       |   H     |                       |
       +---------+                       |
       |         |                       |
       |    +----+                       |
       |    |                            |
       |   XOR <----- MGF <----------+   |
       |    |                        |   |
       |    |                        |   |
       +----+                        |   |
       |                             |   |
       |<------------ emLen ------------>|

PSS的关键特性：

概率性：每次签名都不同，即使消息相同
可证明安全性：在随机预言模型下紧致约简
可调参数：盐长度可根据安全需求调整

实际实现的安全考虑：

1. 常量时间实现

// 错误的实现（存在时序攻击）
if (padding_check(ciphertext) == VALID) {
    return decrypt(ciphertext);
} else {
    return ERROR;
}

// 正确的实现（常量时间）
int valid = padding_check(ciphertext);
uint8_t result[MAX_SIZE];
conditional_decrypt(ciphertext, result, valid);
constant_time_select(output, result, error_msg, valid);

2. 侧信道防护

功耗均匀化：使所有分支具有相似的功耗特征
指令级别的常量时间：避免条件分支和数据相关的内存访问
随机化：添加随机延迟和虚假操作

3. 故障注入防护

冗余计算：重要操作执行多次并比较结果
校验和验证：在关键点插入完整性检查
异常检测：监控运行时异常并安全处理

填充方案的安全性比较：

方案	安全模型	CCA安全性	开销	实现复杂度	标准化
Raw RSA	无	否	0%	低	N/A
PKCS#1 v1.5	启发式	否	~1%	低	广泛
OAEP	ROM	是	~2%	中	推荐
OAEP+	ROM	是	~2%	中	有限
PSS	ROM	N/A	~2%	中	推荐

现代替代技术：

1. 密钥封装机制（KEM）

将公钥加密分解为密钥生成和数据封装
更简洁的安全性证明
与对称加密的自然结合

2. 混合加密系统

公钥算法只加密对称密钥
数据用对称算法加密
结合两者优势：安全性和效率

3. 前向安全性

即使长期密钥泄露，历史通信仍安全
临时密钥和完美前向保密（PFS）
在TLS 1.3中成为标准

实施建议清单：

✓ 密码学库选择

使用经过同行评议的成熟库（OpenSSL, libsodium, Bouncy Castle）
避免自行实现底层密码学操作
定期更新库版本以获得安全补丁

✓ 参数配置

最小密钥长度2048位（建议3072位）
使用推荐的公钥指数（65537）
正确配置填充方案参数

✓ 安全实现

实现常量时间算法
添加适当的侧信道防护
进行全面的安全测试

✓ 运维安全

建立密钥轮换机制
监控密码学相关的安全告警
制定事件响应计划

Rule of thumb：现代系统应使用OAEP填充，避免PKCS #1 v1.5，并考虑迁移到后量子安全的加密方案。更重要的是，密码学的安全性很大程度上取决于正确的实现和部署。

椭圆曲线密码学

椭圆曲线的代数结构

椭圆曲线密码学（ECC）基于椭圆曲线群的代数结构。在有限域$\mathbb{F}_p$上，椭圆曲线定义为：

\[E: y^2 \equiv x^3 + ax + b \pmod{p}\]

其中$4a^3 + 27b^2 \not\equiv 0 \pmod{p}$（保证曲线非奇异）。

椭圆曲线上的点形成一个阿贝尔群，群运算定义如下：

点加法：设$P = (x_1, y_1)$，$Q = (x_2, y_2)$是曲线上两点

若$P = Q$（点倍乘），斜率$\lambda = \frac{3x_1^2 + a}{2y_1}$
若$P \neq Q$，斜率$\lambda = \frac{y_2 - y_1}{x_2 - x_1}$
$P + Q = (x_3, y_3)$，其中：
- $x_3 = \lambda^2 - x_1 - x_2$
- $y_3 = \lambda(x_1 - x_3) - y_1$

无穷远点$\mathcal{O}$作为群的单位元，满足$P + \mathcal{O} = P$。

椭圆曲线离散对数问题

椭圆曲线密码学的安全性基于椭圆曲线离散对数问题（ECDLP）：

ECDLP：给定椭圆曲线$E$上的点$P$和$Q = kP$（$k$为正整数），计算$k$在计算上不可行。

相比于普通的离散对数问题，ECDLP具有以下优势：

指数级安全性：最佳攻击算法（Pollard’s rho）需要$O(\sqrt{n})$时间，其中$n$是群的阶
密钥长度优势：256位ECC密钥提供与3072位RSA相当的安全性

Rule of thumb：选择椭圆曲线时，确保群的阶$n$是大素数，避免anomalous曲线和supersingular曲线。

ECC的优势与实现

椭圆曲线密码学的主要优势：

密钥长度短：相同安全级别下，ECC密钥比RSA短得多
计算效率高：点乘运算比大整数指数运算更快
带宽友好：小密钥适合移动设备和物联网应用

标准曲线：

NIST P-256：$y^2 = x^3 - 3x + b$，定义在素域$\mathbb{F}_p$上
Curve25519：Montgomery曲线$v^2 = u^3 + 486662u^2 + u$，定义在$\mathbb{F}_{2^{255}-19}$上

点乘算法：计算$kP$通常使用二进制方法或滑动窗口技术，时间复杂度为$O(\log k)$。

离散对数问题与其他困难性假设

Diffie-Hellman问题族

离散对数问题是公钥密码学的另一重要基础。在循环群$G$中：

离散对数问题（DLP）：给定生成元$g$和$y = g^x$，计算$x$。

计算与判定假设的区别

计算假设关注计算特定值的困难性，而判定假设关注区分两个分布的困难性。

例如，在某些群中（如某些椭圆曲线群），DDH可能是容易的（存在有效的双线性配对），但CDH仍然困难。这种性质被用于构造基于配对的密码学协议。

量子威胁分析

Shor算法对传统公钥密码学构成致命威胁：

Shor算法复杂度：

整数分解：$O((\log n)^3)$
离散对数：$O((\log n)^3)$

这意味着足够大的量子计算机可以在多项式时间内破解RSA和ECC。

Post-quantum安全性：当前研究集中在量子计算机难以解决的问题：

格问题：最短向量问题（SVP）
编码理论：错误纠正问题
多变量密码学：求解多变量多项式方程组
哈希函数：Merkle树签名
同构密码学：超奇异椭圆曲线同构

Rule of thumb：考虑到量子计算发展，建议从现在开始规划向后量子密码学的迁移。