[发明专利]基于超奇异同源秘钥封装协议的公钥生成方法和装置

说明书

本申请提供一种基于超奇异同源秘钥封装协议的公钥生成方法和装置，该方法包括：获取同源质数和椭圆曲线；在所述椭圆曲线上生成第一公共点对和第二公共点对；获取私钥，计算私核；将所述第二公共点对作为高阶同源曲线上的初始像点，以所述椭圆曲线作为初始椭圆曲线，计算获得高阶同源曲线，将高阶同源曲线上的像点作为公钥。本申请通过将输入参数转换为新的数据表示方式，并使用该方式进行相应的有限域算法，可以替代传统的蒙哥马利表示方法，采用本申请实施例提供的新的数据表示方式对SIKE方案进行实现，并且在新的数据表示方式的基础上，能够提高SIKE协议实现的效率。

技术领域

本申请涉及椭圆曲线加密系统技术领域，具体涉及一种基于超奇异同源秘钥封装协议的公钥生成方法和装置。

背景技术

公钥密码学是互联网安全的基础，允许双方在不需要提前交换密钥信息的情况下也能安全通信。目前所有广泛应用的公钥密码系统均是基于大整数因式分解困难(比如Rivest Shamir Adleman，即RSA算法)或者是在某些群中计算离散对数困难(比如椭圆曲线加密算法，即ECC)来实现的。由于ECC在同样安全级别的前提下比RSA占用资源更少，其在公钥密码系统中地位越来越重要。在目前的计算资源下，ECC或RSA均能提供很好的安全保障。但量子计算机的出现将会打破这样的状况，据消息称，成熟的量子计算机将会在未来的15年内被设计出来，面对这样的威胁，针对量子计算机的加密系统设计变得十分迫切。针对抗量子计算机攻击的加密系统设计，基于同源的ECC可以直接被采用，但目前还存在诸如算法复杂度高、运算速度过慢的缺点亟待解决。

椭圆曲线之间的同源指的是那些保留了无限远点的椭圆曲线间的一种同态，利用椭圆曲线间的同源构建加密系统的想法由Rostovtsev和Stolbunov于2006年提出，该系统采用的是普通的椭圆曲线间的同源，之后在2010年被Childs,Jao和Stolbunov用亚指数量子攻击方法所攻击。随后，于2011年，Jao和De Feo提出了一个基于超奇异(Supersingular)椭圆曲线的同源密码交换，该方法能有效的防御亚指数攻击，该方法也被称为超奇异同源Diffie-Hellman密钥交换(supersingular isogeny Diffie-Hellman key-exchange,SIDH)。SIDH是超奇异同源秘钥封装协议(supersingular isogeny key encapsulation,SIKE)的基础，SIKE是目前被NIST作为后量子密码标准的候选者之一。

以Alice向Bob发送消息为例，SIKE协议主要分为三个步骤。第一步，Bob使用相应的密钥生成其公钥和私钥，该私钥可以安全地反复使用。Alice的那些密钥是在传递的消息和鲍勃的公钥的基础上生成的。同时，Bob生成一个假消息以供后续使用。第二步，j不变式通过使用所有者的私钥和另一方的公钥获得，并通过哈希函数加密，生成他们的共享密钥。第三步，Alice以两种形式加密她的消息，一种是将他们的共享密钥加密为c_A，另一种是采用哈希函数将其他的参数加密为em，并将其发送给Bob。鲍勃收到这两个密文后，能够解密Alice发送的消息、以及Alice的公钥和密钥。同时，他将伪造的消息fm_B以与Alice相同的加密方式加密为em’。他判断解密而来的Alice的公钥与在第二步中接收的公钥是否相同，如果相同，即认证成功，则将Alice发送的消息输出为em，否则输出为em’。

在SIKE协议第一步的运算过程中，涉及许多有限域运算，有限域运算的效率直接关系到Alice向Bob发送消息时加解密等过程的效率。现有有限域运算通常基于蒙哥马利表示方法，该算法中，同源质数p采用以下公式进行表示：其中，a和b为小的素数，e_A和e_B为正整数，在基于上述表示方法的基础上，进行有限域运算。但是，利用现有蒙哥马利表示方法进行有限域运算过程中，仍然存在消耗较大，进而导致SIKE协议在实现过程中存在效率较低的问题。

发明内容