公钥密码体制课件

1公钥密码技术习题1、设n=91，e=5,根据RSA算法加密明文m=3，计算出密文。给出计算详细步骤。2、设n=35，e=5,试设计一个具体的RSA公开密码体制,并求密文c=10的原文。习题3、在ElGamal密码体制中，设素数p=71，本原根g=7〔1〕如果接收方B的公开钥是yB=3，发送方A选择的随机整数为k=2,求明文m=30所对应的密文〔2〕如果用相同的k=2加密另外一个明文m，加密后的密文为C=〔49，13〕，求m4、椭圆曲线y2modp=(x3+ax+b)modp，其中a=1,b=1,p=23。取曲线上的P=(3,10),Q=(9,7)，分别计算P+Q和2P主要内容根本思想1数论简介2RSA算法3椭圆曲线密码体制44.1根本思想对称密钥编码所面临的难题密钥分配：通信密钥太多，管理和分发困难。数字签名和认证。密码体制上的突破Diffie&Hellman,“NewDirectioninCryptography〞,1976。首次公开提出了“公开密钥密码编码学〞的概念。这是一个与对称密码编码截然不同的方案。提出公开密钥的理论时，其实用性并没有又得到证明：当时还未发现满足公开密钥编码理论的算法；直到1978年，RSA算法的提出。1.背景2.根本特征Bob的公钥

Bob私钥因特网加密解密AliceBob加密和解密使用两个不同的密钥公钥PK：公开，用于加密，私钥SK：保密，用作解密密钥一个密钥加密的数据只能用另一个密钥解密3.优点密钥管理加密密钥是公开的；解密密钥需要妥善保存；在当今具有用户量大、消息发送方与接收方具有明显的信息不对称特点的应用环境中表现出了令人乐观的前景。新用户的增加只需要产生一对公共/私有密钥。

数字签名和认证只有解密密钥能解密，只有正确的接收者才拥有解密密钥。缺点：公共密钥系统的主要弱点是加密和解密速度慢。实际应用中的加密方式混合加密技术对称密码体制：密钥分发困难

公钥体制：加解密效率低将对称加密算法的数据处理速度和公钥算法对密钥的保密功能相结合利用对称加密算法加密传输数据利用非对称加密算法交换会话密钥举例：假设Alice与Bob进行保密通信，过程如下：实际应用中的加密方式密文传

输因特网AliceBobBob的公钥

Bob私钥

会话密钥生成对称密码和公钥密码对称密码公钥密码一般要求一般要求安全性要求安全性要求加密和解密使用相同的密钥收发双方必须共享密钥同一算法用于加密和解密，但加密和解密使用不同密钥发送方拥有加密或解密密钥，而接收方拥有另一密钥密钥必须是保密的假设没有其他信息，那么解密消息是不可能或至少是不可行的知道算法和假设干密文缺乏以确定密钥两个密钥之一必须是保密的假设没有其他信息，那么解密消息是不可能或至少是不可行的知道算法和其中一个密钥以及假设密文干缺乏以确定另一密钥有关公钥密码的几种常见误解从密码分析的角度看，公钥密码比传统密码更平安。公钥密码是一种通用的方法，传统密码已经过时。传统密码中与密钥分配中心的握手是一件异常麻烦的事情，与之相比，用公钥密码实现密钥分配那么非常简单。公钥密码学要解决的问题公钥密码学的概念是为了解决传统密码中最困难的两个问题而提出的：〔1〕密钥分配问题〔2〕数字签名问题4.公钥密码算法根底单向函数对于一个函数，如果对于其定义域上的任意x，都容易计算，同时，对于其值域中几乎所有的取值y，计算其逆函数都是不可行的，那么函数被称为单向函数。常用单项函数大整数分解〔简称IFP〕；离散对数问题〔简称DLP〕；多项式求根菲-赫尔曼问题二次剩余问题单向陷门函数对于一个单向函数，如果其逆函数在某些辅助信息的情况下容易求解得出，那么称该单向函数为单向陷门函数。构造公钥密码系统的关键是如何在求解某个单向函数的逆函数的NP完全问题中设置合理的“陷门〞。单向函数举例例1：y=anxn+an-1xn-1+…+a1x+a0例2：设n是两个大素数p和q的乘积，b是一个正整数，对x∈Zn

，令f(x)≡xb(modn)，即f(x)等于被n除所得的余数，人们认为f(x)是一个从Zn到Zn的单向函数5.公钥算法的特点

公开密钥算法设计需要有以下根本要求：加密与解密由不同的密钥完成；知道加密算法，从加密密钥得到解密密钥在计算上是不可行的；两个密钥中任何一个都可以作为加密而另一个用作解密。6.公钥密码算法除RSA算法以外，建立在不同计算问题上的其他公钥密码算法有：基于因子分解问题的Rabin算法；椭圆曲线公钥算法；基于有限域中离散对数难题的ElGamal公钥密码算法基于代数编码系统的McEliece公钥密码算法；基于“子集和〞难题的Merkle-HellmanKnapsack〔背包〕公钥密码算法；目前被认为平安的Knapsack型公钥密码算法Chor-Rivest。4.2

数论简介最大公因子：任意有限个整数的公因子中的最大一个。必然存在并且惟一，记为。最小公倍数：任意有限个整数的公倍数中的最小一个。必然存在并且惟一，记为。同余式：设n是一个正整数，如果，那么称a和b模n同余，记作：，称整数n为同余模。1.数论相关术语加法逆元：设，如果存在满足，那么称x是a的模n加法逆元。乘法逆元：设，如果存在满足，那么称x是a的模n乘法逆元，记为a-1(modn)。整除：设整数a和b，如果存在整数k，使b=ak，那么说b能被a整除，记作：a|b。例：3|15，-15|60整除性质：对所有整数a≠0，a|0、a|a成立对任意整数b，1|b成立2.欧几里德〔Euclidean〕算法一个用于计算两个整数的最大公因子的有效算法，算法依据：。描述如下：〔1〕输入a和b，其中，，，；〔2〕如果那么依次完成：，否那么返回a；〔3〕输出。时间复杂度为。用欧几里德算法求最大公约数。求：gcd(482,1180)1180=2*482+216482=2*216+50216=4*50+1650=3*16+216=8*2+0所以gcd(482,1180)=2扩展的欧几里德算法扩展欧几里德算法是用来在a,b。求解一组p，q，使得p*a+q*b=Gcd(a,b)。原理：Gcd(a,b)=Gcd(b,a%b)所以p*a+q*b=Gcd(a,b)=Gcd(b,a%b)=p*b+q*a%b=p*b+q*(a–a/b*b)=q*a+(p–a/b*q)*b这样它就将ab的线性组合就化简为b与a%b的线性组合。ab都在减小，当b减小到0时，我们就可以得出p=1,q=0然后递归回去就可以求出最终的p,q了扩展的欧几里德算法(s*n)+(b*t)=gcd(n,b)，如果b的乘法逆存在，那么gcd(n,b)=1r1←n;r2←b;t1←0;t2←1;如果r2>0{q←r1/r2;r←r1-q*r2;r1←r2;r2←r;t←t1-q*t2;t1←t2;t2←t;}如果(r1=1)，那么b-1←t1用扩展的欧几里德算法求乘法逆元gcd(11111,12345)12345=1*11111+123411111=9*1234+51234=246*5+45=1*4+14=4*1+01=5-1*4=5-1*(1234-246*5)=247*5-1*1234=247*(11111-9*1234)-1*1234=247*11111-2224*1234=247*11111-2224*(12345-1*11111)=2471*11111-2224*1234511111x(mod12345)=1等价于求解二元一次不定方程11111x+12345y=1的整数解扩展欧几里德算法求乘法逆元11-1mod26qr1r2rt1t2t226111144331104011-2-255-7-726-223511-73026所以，11的乘法逆元是〔-7〕mod26=19素数(primenumber)定义：如果整数p(p>1)只能被1或者它本身整除，而不能被其他整数整除，那么其为素数，否那么为合数。素数定理：在各种应用中，我们需要大的素数,如100位的素数素数是构成整数的因子，每一个整数都是由一个或几个素数的不同次幂相乘得来的。设m，n是两个整数，如果正整数d满足：(1)d整除m和n，即d|m，d|n;(2)假设d’|m且d’|n，那么d’|d。那么称d是m与n的最大公因数，记为d=(m，n)。假设(m，n)=1，那么称m与n互素。互素3.欧拉函数欧拉函数〔Euler’stotientfunction〕欧拉函数φ(n)：表示小于n且与n互素(包括公因子1)的正整数的个数；欧拉函数的性质：对任意素数p，有φ(p)=p–1；对任意两个素数p、q，那么对n=pq有： φ(n)=φ(pq)=φ(p)φ(q)=(p–1)(q–1)欧拉定理如a和n是互素的整数，那么有：等价形式：nanmod1)(ºfnanmoda

)+1(ºf欧拉定理推论：有两个素数p和q,令n=pq,对任意整数t和a(0<a<n),有以下等式成立：atφ(n)+1=amodn 其中：φ(n)=(p-1)(q-1)。4.同余式性质〔1〕a≡b(modn)iffamodn=bmodn。〔2〕反身性：a≡a(modn)。〔3〕对称性：如果a≡b(modn)，那么b≡a(modn)。〔4〕传递性：如果a≡b(modn)，b≡c(modn)，那么a≡c(modn)。〔5〕如果a≡a1(modn)，b=b1(modn)，那么a+b≡a1+b1(modn)，ab≡a1b1(modn)Fermat定理假设p素数，a是整数且不能被p整除，那么:ap-11modp推论:p素数，a是任意整数，那么:apamodp例：计算718mod19a=7,p=1972=49≡11mod1974≡121≡7mod1978≡49≡11mod19716≡121≡7mod19ap-1=718=716*72≡7*11≡1mod19

Diffie-Hellman密钥交换是第一个公钥方案Diffie&Hellmanin1976nowknowthatJamesEllis(UKCESG)secretlyproposedtheconceptin1970使用在一些商业产品中密钥交换方案不能用于交换任意信息允许两个用户可以平安地建立一个秘密信息，用于后续的通讯过程该秘密信息仅为两个参与者知道算法的平安性依赖于有限域上计算离散对数的难度在美国的专利1997年4月29日到期Diffie-Hellman密钥交换算法：双方选择素数p以及p的一个原根a用户A选择一个随机数Xa<p，计算Ya=aXamodp用户B选择一个随机数Xb<p，计算Yb=aXbmodp每一方保密X值，而将Y值交换给对方用户A计算出K=YbXamodp用户B计算出K=YaXbmodp双方获得一个共享密钥(aXaXbmodp)素数p以及p的原根a可由一方选择后发给对方2.4RSA算法是第一个较为完善的公钥算法。能够同时用于加密和数字签名，且易于理解和操作。RSA是被研究得最广泛的公钥算法，从提出到现在已近二十年，经历了各种攻击的考验，逐渐为人们接受，被普遍认为是目前最优秀的公钥算法之一。目前仍然无法从理论上证明它的保密性能究竟如何，因为目前人们并没有从理论上证明破译RSA的难度与大整数分解问题的难度等价。算法原理RSA算法使用了乘方运算。要求：明文M经过加密得到密文C：C=Memodn

密文C经过解密得到明文M：

Cdmodn=(Memodn)dmodn=Medmodn=M即：必须存在e，d，n，使Medmodn=M成立如何确定e

d

n确定n：独立地选取两大素数p和q(各100～200位十进制数字)计算n=p×q，其欧拉函数值(n)=(p－1)(q－1)确定e：随机选一整数e，1e<(n)，gcd((n),e)=1确定d：根据ed≡1

mod(n)在模(n)下，计算dRSA算法实现步骤生成两个大素数p和q(选取足够大两个素数)；计算，；选择随机数e〔即加密密钥〕,使之满足,；计算解密密钥；公布整数n和加密密钥e,但是p,q,d保密。加密运算：解密运算：RSA实现上的问题密钥生成时，如何找到足够大的素数p和q？对一个很大的整数，如何判定它是否是素数？在n、m、e、d

非常大的情况下，如何计算memodn?RSA算法的平安性是基于分解大整数n的困难性。RSA

实现上的相关算法模加；模乘；扩展的辗转相除法〔欧几里德〔Euclidean〕算法〕；求逆；中国剩余定理；求幂算法；素性测试算法。例：设e=11,n=35，(n)=24，根据公式计算d

解：

11d-1=24k，即d=(24k+1)/11=2k+(2k+1)/11(1)

令(2k+1)/11=c,那么:2k+1=11c

那么k=(11c-1)/2=5c+(c-1)/2(2)

此时取c=1(取最小整数使其能够被整除),那么k=5+0=5

把k=5代入(1)式得到:d=10+(10+1)/11=11RSA密码体制：d的求法扩展的欧几里德算法求解qr1r2rt1t2t22411112211020112-21111-24-2511120-24例：设用户A选择两个素数：p=5，q=7，那么：n=35，(n)=24。A取e=11，再由Euclidean算法求出d≡e-1(mod(n))。A公开n=35和e=11，保密p=5，q=7和d=11。现在用户B想把明文x=2发送给A。B加密明文x=2得密文：y=Ek(x)≡xe(mod35)≡211(mod35)=18；B在公开信道上将加密后的密文y=18发送给A，当A收到密文y=18时，A解密可得：yd=1811≡2(mod35)，从而A得到B发送的明文x=2。RSA密码体制：举例例：设用户A选择两个素数：p=17，q=11，那么：n=187，(n)=160。A取e=7，再由Euclidean算法求出d≡e-1(mod(n))。A公开n=187和e=7，保密p=17，q=11和d=23。现在用户B想把明文x=88发送给A。B加密明文x=88得密文：y=Ek(x)≡xe(mod187)≡887(mod187)=11；B在公开信道上将加密后的密文y=11发送给A，当A收到密文y=11时，A解密可得：yd=1123(mod35)=88，从而A得到B发送的明文x=88。RSA密码体制：举例求模实例887mod187=[(884mod187)*(882mod187)*(881mod187)]mod187881mod187=88882mod187=7744mod187=77884mod187=59969536mod187=132887mod187=(88*77*132)mod187=894432mod187=111123mod187=[(111mod187)*(112mod187)*(114mod187)*(118mod187)*(118mod187)]mod187111mod187=11112mod187=121114mod187=14641mod187=55118mod187=214358881mod187=331123mod187=(11*121*55*33*33)mod187=79720245mod187=88求模实例RSA：实例Bob选择p=885320693，q=238855417，那么可以计算n=p*q，设加密系数为e=9007，将n和e发送给Alice。假设Alice传递的信息是cat。令a=01c=03t=20，那么cat=030120=30120。Alice计算：c≡me≡301209007n)她将c传给Bob。Bobp和q的值，他用扩展欧几里德算法计算d：de≡1(mod(p-1)(q-1))，得到d然后Bob计算：cd≡30120(modn)由此他可以得到最初的信息。RSA：实例RSA：实例例：利用RSA加密消息“Pleasewaitforme〞。令N=5515596313=71593*77041.再令e=1757616971满足〔e,d〕=1。那么d≡1/1757316971≡2674607171(mod(71593-1)(77041-1).明文转化为数字。将此数字分成4块，每块10个数字，最后一块不够10个数字的右边添0补足。即M=〔M1,M2,M3,M4〕=〔1612050119，0500230109，2000061518，0013050000〕那么密文：C1=16120501191735316971=763222127(mod5515596313)C2=05002301091757316971=1991534528(mod5515596313)C3=20000615181757316971=74882553(mod5515596313)C4=00130500001757316971=3895624854(mod5515596313)RSA：实例即得密文C=(C1,C2,C3,C4)解密得：M1=7632221272674607171=1612050119(mod5515596313)M2=19915345282674607171=500230109(mod5515596313)M3=748825532674607171=2000061518(mod5515596313)M4=38956248542674607171(mod5515596313)RSA的缺点RSA的缺点主要有：产生密钥很麻烦，受到素数产生技术的限制，因而难以做到一次一密。分解长度太大，为保证平安性，n至少也要600比特以上，使运算代价很高，尤其是速度较慢，较对称密码算法慢几个数量级；且随着大数分解技术的开展，这个长度还在增加，不利于数据格式的标准化。目前，SET(SecureElectronicTransaction)协议中要求CA采用2048比特长的密钥，其他实体使用1024比特的密钥。RSA平安性分析影响RSA算法平安性的因素主要有：密码分析者假设能计算，由定义知的两个根为p和q，即能分解n。实际上知道就可以依据Euclidean算法从公钥e计算得出私钥d。在构造n时应选择p和q，使得p-1和q-1有大的素因子。一般选择p和(p-1)/2均是素数的p。通过截获来自不同用户的密文，密码分析者能够有时机计算出密文，因此，不同用户之间不要共享整数

n。RSA算法具有同态的特点，在具体应用中，经常在加密之前对明文进行杂凑处理或者单向变换，以此破坏RSA算法的同态性质。RSA算法的理论根底是一种特殊的可逆模指数运算，它的平安性是基于分解大整数n的困难性。四种可能攻击RSA算法的方法是：穷举攻击：这包含对所有的私有密钥都进行尝试;数学攻击：因子分解；直接确定(n)；直接确定d。计时攻击：这依赖于解密算法的运行时间。选择密文攻击要求：①不要随便提交；②不要随便共享n；③利用随机信息。RSA平安性分析1985年NealKoblitz和VictorMiller分别独立提出基于ECDLP〔椭圆曲线离散对数问题〕的ECC密码系统，自此ECC在密码学界数学界引起了广泛的越来越热烈的研究兴趣。1997年以来ECC密码体制形成了一个研究热点,在理论上和实践上都取得了很大的进展,许多标准化组织已经或正在制定关于椭圆曲线的标准,同时也有许多的厂商已经或正在开发基于椭圆曲线的产品。

椭圆曲线密码体制1998年ECC被确定为ISO/IEC数字签名标准ISO14888-3；1999年2月ECDSA被ANSI确定为数字签名标准ANSIX9.62-1998，ECDH被确定为ANSIX9.63；2000年2月ECC被确定为IEEE标准IEEEP1363；2000年10月，国际密码学界在德国ESSEN召开了学术大会〔ECC2000〕，在这次会议上，来自世界各国的密码学家、数学家证明了对ECC算法的最快破解效率是高于亚指数级的，而RSA算法的最快破解效率是亚指数级的。

椭圆曲线密码体制椭圆曲线密码体制优点：密钥尺度较小；参数选择较灵活；具有由数学难题保证的平安性；实现速度较快。椭圆曲线不是椭圆，之所以叫椭圆曲线，是因为其表达式和计算椭圆周长的积分表达式有相似之处，也是用三次方程表示。这就是椭圆曲线名称的由来。椭圆周长的积分表达式为:其中E(x)是x的三次或四次多项式。椭圆曲线密码体制使用的是变元和系数均为有限域中元素的椭圆曲线。椭圆曲线密码体制Weierstrass型椭圆曲线是在椭圆曲线密码体制中的一种最常用的曲线:j称为不变量，当俩条椭圆曲线相同时，那么它们同构椭圆曲线密码体制通过变量置换：判别式为：得到常用仿射坐标方程简化形式：椭圆曲线密码体制y2=x3-xy2=x3+x+1Zp和GF(2n)上的椭圆曲线密码应用中所使用的两类椭圆曲线是定义在Zp上的素曲线和在GF(2n)上构造的二元曲线。对软件应用最好使用素曲线：y2=x3+ax+b对硬件应用最好使用二元曲线，它可以用异常少的门电路来得到快速且功能强大的密码体制:y2+xy=x3+ax2+bEllipticCurvePictureConsiderellipticcurve

E:y2=x3-x+1IfP1andP2areonE,wecandefine

P3=P1+P2

asshowninpictureAdditionisallweneedP1P2P3xy椭圆曲线上的运算加法单位元O：表示无穷远点或零点。假设曲线三点在一条直线上,那么其和为O O=-O;P+O=P，P为椭圆曲线上任意一点。逆元：一条竖直线与曲线相交于两点P1、P2，可看作与曲线相交的另一点在无穷远点，那么 P1+P2=O，于是P1=-P2. P1与P2的x坐标相同，y坐标相反。坐标不同的两点P和Q之和：在P和Q间做一条直线与曲线相交于第三点R，那么P+Q+R=O，即P+Q=-R2倍：一个点Q的两倍是，找到它的切线与曲线 的另一个交点S，于是Q+Q=2Q=-S正整数k乘以椭圆曲线上的点P：k个P之和。 例如：3P=P+P+PArithmeticoverellipticcurvesP+O=P假设P=(x1,y1)，那么–P=(x1,-y1)点加。P+Q=R椭圆曲线密码体制椭圆曲线的倍加运算Arithmeticoverellipticcurves椭圆曲线密码体制wherey!=0wherey=0P(-2.35，-1.86)Q(-0.1，0.836)-R(3.89，5.62)R(3.89，-5.62)P+Q=R=(3.89,-5.62)P(2，2.65)椭圆曲线密码体制椭圆曲线密码体制假设O点看作运算的幺元，那么椭圆曲线上的点加上无穷远点对与运算构成一个Abel群。记为。为了计算方便，记共有m个P相加，称为倍点加法，倍点加法运算是椭圆曲线密码体制的一个重要运算。它的速度将在很大程度上影响椭圆曲线密码体制的加密速度，因此目前有许多密码学者在从事倍点加法快速运算的优化算法。定义设P是椭圆曲线E上的任意一点，假设存在最小的正整数n，使得，其中O是无穷远点，那么称n为P的阶。有限域上椭圆曲线的点乘运算椭圆曲线上的点乘(也称数乘或标量乘)操作是椭圆曲线密码系统的核心操作之一，它是椭圆曲线上同一个点的屡次相加运算。椭圆曲线上的点乘定义为:给定一条椭圆曲线E和曲线上的一点P，那么标量乘kP被定义为，点P与自身相加k次之和，如下式所示:椭圆曲线密码体制令Fq表示q个元素的有限域，用E(Fq)表示定义在Fq上的一个椭圆曲线E。定理(Hass定理)E(Fq)的点数用#E(Fq)表示，那么|#E(Fq)-q-1|≤2q1/2(1)Fp〔素域，p为素数〕上椭圆曲线

令p>3，a,b∈Fp，椭圆曲线方程:y2=x3+ax+b，它的所有解(x,y)，(xFp，yFp)，连同一个称为“无穷远点〞〔记为O〕的元素组成的集合记为E(Fp)，由Hass定理知p+1-2p1/2≤#E(Fp)≤p+1+2p1/2椭圆曲线密码体制例：F23上的一个椭圆曲线令y2=x3+x+1是F23上的一个方程(a=b=1)，那么该椭圆曲线方程在F23上的解为(y2=x3+x+1的点)：(0,1)，(0,22)，(1,7)，(1,16)，(3,10)，(3,13)，(4,0)，(5,4)，(5,19)，(6,4)，(6,19)，(7,11)，(7,12)，(9,7)，(9,16)，(11,3)，(11,20)，(12,4)，(12,19)，(13,7)，(13,16)，(17,3)，(17,20)，(18,3)，(18,20)，(19,5)，(19,18)；O。群E(F23)有28个点〔包括无穷远点O〕。椭圆曲线离散对数问题(ECDLP)给定定义在有限域Fp上的椭圆曲线E，及E上的一个n阶点G，和另一点Q，如果存在k，0<k<n-1，使Q=kG，那么称k是Q的以G为基的离散对数。由k和G，求Q容易由G和Q，求k困难ECC就是建立在求解相应加法群中ECDLP困难根底上的椭圆曲线密码体制A和B利用椭圆密码体制进行加密通信用户A选定一条椭圆曲线Ep(a,b)，并取椭圆曲线上一点G，作为基点用户A选择一个私有密钥k，并生成公开密钥Q=kG用户A将Ep(a,b)和点Q、G传给用户B用户B接到信息后，将待传输的明文编码到Ep(a,b)上点M，并产生一个随机整数x〔作为B的私钥〕椭圆曲线密码体制A和B利用椭圆密码体制进行加密通信然后用户B需要进行以下计算C1=M+xQ；C2=xGC1即为椭圆曲线上的点M经加密之后的密文，C2为用户B的公钥用户B将C1，C2传给用户A。用户A接到信息后，计算C1-kC2，结果就是M椭圆曲线密码体制考虑方程y2mod23=(x3+9x+17)mod23所定义的群E23(9,17)，以P=〔16，5〕为底的Q=〔4，5〕的离散对数k为多少？综上计算得到：P=(16,5)；2P=(20,20)；3P=(14,14)；4P=(19，20)；5P=(13，10)；6P=(7，3)；7P=(8,7)；8P=(12,17)；9P=(4，5)。因为9P=(4,5)=Q。所以k=9椭圆曲线密码体制例：使用曲线E：系统产生P=(4,11)。Bob随机选择d=3，并公布。假定Alice想发送M=(5,1743)。Alice下载Q并选择一个随机数k=8。她计算并发送给Bob和。Bob那么首先计算,之后，他从(6626,3576)减掉这一局部得椭圆曲线密码体制ECC性能分析加拿大Certicom公司对ECC的平安性和RSA算法的平安性进行了详细的比较.攻破时间MIPS(年)RSA/DSA密钥长度(bits)ECC密钥长度(bits)RSA/DSA与ECC密钥长度比1045121065：11087681326：1101110241607：11020204821010：110782100060035：1ECC性能分析功能163位ECC/ms1024位RSA/ms密钥对生成3.84708.3签名2.1(ECNRA)3.0(ECDSA)228.4认证9.9(ECNRA)10.7(ECDSA)12.7D