定制的静态Diffie-Helman群的制作方法

专利名称：定制的静态Diffie-Helman群的制作方法
技术领域：
本发明涉及密码系统领域的静态群(static group )。
背景技术：
在1975年由Diffie和Helman引入的公钥密码系统使不需要预先 共享密码(pre-shared secret)以及具有不可否i人性(non-repudiation property)的数字签名的加密通信成为可能。
公钥加密系统的Diffie-Helman (DH)协议最具独创性的方面是 使用了一种称为群的数学结构，在该结构中， 一个特定问题，离散对 数问题(discrete logarithm problem)是很难处理的。
一个群只是一组元素和作用于任意两个元素的单个运算。常见的 群的实例包括在加法运算下的整数(包含零和负整数)、在加法运 算下的有理数、以及在乘法运算下的非零有理数。这些常见的实例是 无限群，但是还存在有限(或离散)群。部分地由于群的元素可以用 固定位数传送，所以密码系统通常对有限群更感兴趣。有限群的实例 通常为本领域公知。
最常见的实例是基于模运算(modular arithmetic)的群。如果p 是素数，t是任意整数，则tmodp是t被p除的余数。从而如果对于 某一整凄史q， t=pq+r,并且r包含在0和p國l之间，贝'J r=tmodp。在才莫 加的运算下，从0至p-l的整数组形成一个群，其中s和t组合变为 s+tmodp。这个群用Zp表示。更一般地，p可以是任意整数。
从1至p-1的整数组在模乘运算下形成另一个群，其中s和t组 合变为stmodp。这个群用Z/表示，通常称为modp群。更一般地， p可以是具有略微不同运算的素数的任意次幂。当书写这些群的运算 时，如果在上下文中很清楚，符号modp经常省略。
群G的子群是G中的元素子集的群并且具有与G相同的运算。 例如，群Z/具有次数为2的子群，所述子群的元素是l和p-l。更通
常地，对于群中的任意元素g,存在包含〈g〉元素的最小的子群，表 示为〈g〉。可知〈g〉由关于整数X的元素组gX精确给定，其中gx表 示X个g的乘积。在具有加号的群中，例如Zp,幂gx被替换记作xg。 元素g是〈g〉的生成元。假如一个群具有生成元，则它是循环的，从
而〈g〉是天然循环的。群Zp和z/也是循环的，但通常，群不是必须循环。
群的次数是元素的数量，群Zp具有次数p并且群Z/具有次数p-1 。 元素g的次数是子群〈g〉的次数。假设g具有次数n。
在运算记作乘法的群中，离散对数问题可以陈述为给定g和w， 查找整数x，使w-gx，其中gx表示x个g的乘积。这个问题通常在这 种情况下提出存在这样一个整数x，也就是说w是〈g〉的元素。通 常的对数问题不要求x是整数，并且只在群具有可以定义非整数幂的 加法属性时定义。
在某些离散群中，离散对数问题(DLP)难以解决。Diffie和 Hellman利用了 DLP "难"这一事实，以提供针对公钥加密的第一可 行解法。在这种情况下，Alice选择随机整数x，发送给Bob—个群元 素gx, Bob选择一个随一几数y,并且发送给Alice —个群元素gy。随 后，Alice计算z—gx)y, Bob计算z， =(gy)x。显然z:z， =§、", 所以Alice和Bob可以计算同一个值。 -底如没有其他能够计算z，则 Alice和Bob已经对共享秘密(secret)达成一致。则该共享密钥可以 用于加密Alice和Bob之间传递的消息。这个协议是Diffie-Helman密 钥协议。在这个协议之前，Alice和Bob不得不预先会面以秘密地对z 达成一致。这个协议使Alice和Bob免于预先会面。
因为数值gx和gy是公开的，所以这是所谓的公钥加密。它们被 称为公钥，而x和y被称为私钥。数据对(x, g"称为密钥对。对手 Eve看到公钥。假如Eve能够解决DLP，则她能够从g和gX找到x。 利用x， Eve能够以与Alice相同的方式计算z,即利用Bob的公钥gy 和Alice的私钥x。因此，共享的秘密不再是秘密的，Eve能够利用它 解密Alice和Bob互相发送的被加密消息。因此，Diffie-Helman密钥
协议的安全性的先决条件是DLP是"难"题。Eve不能解决DLP。
幸运地，存在译码者认为DLP困难的群。DLP困难的群主要是 两类公知的群，即有限区域的乘法群的子群，以及椭圆曲线群的子群。 椭圆曲线群具有超过其他DLP群的优点利用更少的带宽传输和存 储公钥，并且能更快的运算。
静态Diffie-Helman密钥协议是Di伍e-Helman密钥协议的重要的 变体，其中一方或两方具有不随时间改变的密钥对。如果Alice具有 静态密钥对，则她的私钥x和公钥gx对于所有事务都保持相同。这样 的一个优点是Alice可以让授4又才几构(certificate authority)标记她的 公钥，则Bob可以从数据库中查找最终的授权而不用从Alice请求。 这样的一种应用是当Bob发送加密邮件给Alice时。Alice不必在Bob 能加密邮件之前向Bob发送g 相反，Bob从数据库中查找gx,所述 数据库可以是他的地址簿或其他某种公用字典。对于gx的授权将进一 步向Bob保证，Alice (且只有Alice)能够解密该电子邮件。
在某些群中，Diffie-Helman密钥协议目前普遍使用在IPSec协议 中，用于保护虚拟专用网络(VPN)。包含静态变体的Diffie-Helman 密钥协议也是普遍使用的Internet Engineering Task Force (IETF )安全 协议，例如Transport Layer Security ( TLS )(用于保护网站)、Secure Multipurpose Internet Message Extensions ( S/MIME)(用于4呆4户电子由卩 件)或Secure Shell (SSH)(用于保护远程登录计算机)的可选择特 征。因此，需要使Di迅e-Helman密钥协议尽可能安全。
静态Di伍e-Helman密钥协议的安全性不仅取决于离散对数是难 的。特别地，对手确定Alice的静态私钥的方法是通过向Alice发送特 别选择的公钥gy并从Alice获得最终共享秘密2=『。在多数群中，利 用这种主动攻击查找x比直接求解离散对数问题更容易。
对于本领域技术人员，上述攻击在两个方面不完全是实际的。然 而，确定的是，这种属性的攻击是纟艮值得考虑的。
第一，受害者Alice不会向对手暴露共享秘密z。然而，z的目的 是应用，而且量化应用z的准确方式是很难限定的。z的任何使用将
导致多少有些暴露。因此，译码者(cryptographer)已经发现考虑精 选的暗文攻击是明智的，在所述暗文攻击中，受害者暴露了她的私钥 运算结果。而且，对精选的暗文攻击表现出抵抗力意味着更弱的攻击 也被阻止了。为了谨慎，译码者寻求阻止可能的最强攻击，而不仅是 最弱的攻击。因此假设z会暴露既是谨慎的也并非完全不合实际的。
第二，在Di迅e-Helman密钥协议的多数标准化版本中，共享的 秘密z只用于一个目的，即得到密钥。为此，采用密钥推导函数(KDF )。 Alice将计算k=KDF ( z )。密钥推导函数通常选择为一种单向函数， 意思是没有仅从k重建z的已知途径。因此，在上述攻击中Alice更 有可能将k暴露给对手而不是z。然而，为了执行，攻击需要z。如 果Alice仅暴露k,攻击不能用来查找x。因为KDF是单向的，攻击 者不能从暴露的k值中恢复z。
在考虑上述攻击之前，已经知道采用KDF具有一些比较不重要 的安全利益。其中之一是共享的秘密z经常是可与随机数区分的。因 为z是与随机数可区分的，所以作为密钥是不理想的。然而，直到考 虑上述攻击，才知道z实际上会泄露关于x的某些信息。
许多协议和Diffie-Helman密钥协议的执行不严格利用KDF，在 一些智能卡实施中，智能卡将z暴露给智能卡阅读器，并且智能卡阅 读器应用KDF。在这样的系统中，恶意的智能卡阅读器可能使用攻击 和来自智能卡的z值以推断智能卡中的私钥x。在某些协议中，例如 基本ElGamal力。密十办i义,i殳计有Chaum和van Antwerpen的不可否i人 的签名，从而实体Alice暴露z作为协议的一部分。因此这些协议易 于受到攻击。然而，这两个协议是在知道KDF的任何好处之前i殳计 的。这些协议可以很容易地通过使用KDF修正。实际上，Di迅e-Helman 扩展加密方案(DHAES)是由Bellare和Rogaway设计的，设计为 ElGamal的改进，其中，在采用z作密钥之前将KDF施加到共享秘密 z。
其他的协议存在，然而，它们不容易通过增加KDF进行修正。 一种这样的协议是Ford-Kaliski密钥恢复协议。在该协议中，基点g
是客户端密码的函数，并且Alice是服务器端。客户端选择随机数y 并且发送gy到Alice。为了该协议执行，，Alice必须向任何与她一起 执行Diffie-Helman密钥协议的客户端暴露共享的秘密z。从z中，客 户端得到静态值gx，该值是客户端密钥和服务器端私钥x两者的函数。 因为比普通密码更难猜，静态值gx称为恢复密钥(retrieved key)或 硬化密码(passwordhardening)。密钥恢复或密码硬化是Ford-Kaliski 协议的主要目的。客户端通过计算z^g^来实现该目的，其中u使 yu在指数空间等于1 。如果Alice将KDF施加到z，该协议不执行， 因为这样客户端将不能恢复静态值。对手可能建立恶意的客户端以利 用z值得到Alice的私钥x。因为对手现在知道了 x,猜gx就象猜密码 x—样容易。特别地，对手可能能够启动字典:J叟索以非常迅速地确定 硬化密码。因此，这次攻击击败了 Ford-Kaliski协议的主要目的。
一个完全不同的方面是静态Di伍e-Helman问题是困难的。更准 确地，在不知道私钥x的时候难以计算wx。取w-gy表示破解静态 Diffie-Helman协议与查找x —样困难。按照上述攻击这似乎是自相矛 盾的，但事实上不是。在上述攻击中，对手是主动的。对手使用受害 者解决关于gy的Diffie-Helman问题。这给了对手解决Diffie-Helman 问题的能力，这相当于查找x的问题。更准确地，静态DH问题几乎 和将x确定为某个因子一样难。
寸叚如Alice设法防止攻击，比方说利用KDF,则这仍然是正确的 解决静态DH问题几乎和查找x —样难。这为Alice提供了没有人能 解决静态Diffie-Helman问题的保证，这意味着除了她和Bob没有其 他人知道私钥y,也没有其他人能计算公共秘密z。这个属性的结果 是公知的可证实安全。
先前DH问题的可证实安全结果没有涉及静态变体。因此，先前 的结果没有就利用Alice的私钥为她提供同样多的保证。而且，没有 与先前安全结果相应的已知攻击。关于DH的可证实安全结果的有效 性，取决于DH群的选择。因此采用这样的群是理想的，在该群中包 括静态DH问题的DH问题是难的。
因此，本发明的目的是避免或减轻上面提到的缺点。

发明内容
在一方面，本发明提供一种选^f奪用于静态Di伍e-Helma密钥协议 的modp群以防止对手主动攻击的方法，包括步骤选择偶数h值， 搜索r和n值以满足关系式i^hr+l，其中，r和n是素数，并且搜索 一个值t以计算p—n+l，其中p是素数。
在另 一方面，本发明提供了 一种选择用于静态Diffie-Helma密钥 协议的定义在二元区域上的椭圆曲线群以防止对手主动攻击的方法， 包括步骤选择随机曲线，计算曲线上的点数，并且检验曲线上的点 数是2n，其中n是素数且n-l满足优选的标准。
仍然在另一方面，本发明提供了一种选择用于静态Diffie-Helma 密钥协议的定义在次数为q的素数区域上的椭圆曲线群以防止对手主 动攻击的方法，包括步骤计算n-hr+l，其中，n是素数且n-l满足 优选的标准，并且执行关于n的复数乘法方法，由此产生q值和具有 次数n的定义在q值上的椭圆曲线E 。


在下列结合附图的详细说明中，本发明的特征将变得更清楚，其
中
图l是密码系统的示意图2表示在一个modp实施例中的步骤的流程图3表示在第 一 简化椭圆曲线实施例中的步骤的流程图4表示在第二简化椭圆曲线实施例中的步骤的流程图。
具体实施例方式
参考图1， 一对通信方A和B通过数据通信链路12连接。通信 方A和B中的每一方具有密码单元14，该加密单元根据已建立的协 议执行公钥密码运算以确保链路1上通信的安全。密码单元14在密
码域(cryptographic domain)内运算，密码域的参凄i由其4也方共享。
由通信方A、 B共享的域参数包括群G、群G的次数p和具有次 凄史n的群的生成元(generator) g。
本发明既应用于椭圆曲线群也应用于有限区域的乘法子群，通常 公知的mod p群。因为mod p群更容易理解，首先解释mod p实施例 20并在图2中通常地表示。因此，适用于两种情况的本发明的几个方 面更容易理解。然而，因为在执行性能上的多种优势，本发明的优选 实施例利用了椭圆曲线群。
Modp实施例
为了简化表达，我们假设在Z/中的Di伍e-Helman础(base)或 生成元g具有次数n, n为素数。对于本领域技术人员来说，延伸到 的g具有非素数次数的情况是显然的。
域名参数的安全性取决于n-l的整数因子u的大小。如果已知的 因子u接近n"3,则上述攻击10具有大约3111/3的成本。这与通常的 DLP攻击相比相当小，DLP攻击具有大约n1/2的成本。随机数n通常 具有接近n1/3的因子u是公知的，因此随机地选择n将不会避免攻击 10。在现有技术中，n通常选择为哈希函数(hash function)的输出， 哈希函数使n随机更加有效，但不会避免攻击。通过适当地选择n， 有可能避免具有接近111/3的因子。应该理解，参数的选择和测试利用 编程的计算装置执行以进行必要的计算。该计算的结果是一组域参 数，所属域参数可以用于在单元14上执行密码函数。
在第一实施例中，通过选择『hr+l避免该因子，其中r是素数， h是与r相比相对小并且足够小以至小于111/3的整数。然后n-l的因子 是具有f或fr的型(form),其中f是h的因子。如果h明显小于n"3, 则因子f也明显小于n"3，因为f至多为h。如果h明显小于n"3，则r 明显大于n"3,从而因子fr明显大于n"3。因此n-l的所有因子将明显 小于或大于n1/3。因而避免了在静态Diffie-Helman上的攻击。
已经选择了式hr+l的n,还必需选择p。群理论的标准定理是元 素的次数除它的群的次数。因为g是Z/的元素，它的次数n必须除 Z/的次数，Z/的次数是p-l。因此，对于某个整数t, p=tn+l。
因为群Z/具有用于求解DLP的指数微积分(index calculus )算 法，通常的应用是选择比n大很多的p。该思想是使次数n的群〈g〉 的一般DLP求解算法具有与Z/中的指数微积分(index calculus)算 法近似的成本。例如，如果n是大约2^并且p是大约21024，则这两 种DLP求解算法具有约等于28()次群运算的成本。另一种n的通常选 择是大约2256， p的选择是大约23Q72，其中两种DLP求解算法花费大 约2128次运算。选择这样一个小n的主要优点是因为指数较小，在 群<8>中求幂更快。
为了获得上述相关大小的p和n,只要选择适当大小的t。关于第 一个实例，选择t大约是21G24-16Q=2864，而在第二个实例中t是大约22816。 因为p和n是奇数，需要选择t为偶数。关于tmod3、 t mod 5的类 似决策(observations)也可以这样做出。
一般的过程是首先选择需要型的n,然后尝试多个t值，直到找 到一个使p为素数的值。用于在小概率范围内确定p是素数的快速检 验是存在的。这些检验迅速地排除不是素数的t的候选值。从而查找 合适的t很快。实际上，这是公知的从n开始查找p的最佳方式。
为了构造型hr+l的n,最初选^^一个h的近似大小或h的精确值， 然后，通过期望的n的近似大小，确定r的近似大小。事实上，刚刚 确定的范围内的各种h和r可以被选择和——检查其适合性。 一个所 选择的r值被检验是否是素数，计算数值『hr+l，然后检验n是否为 素数。可以使用筛选(sieving)技术以选择不具有小素数因子例如2、 3、 5的r和n。这减少了进行素数检验的数值r和n的数量。利用h， 对n和r可以一起进行筛选，以4更更高效。应该注意，因为r和n都 是素数并且因此是奇数，所以h必须是偶数。
在选择数值h的近似大小或数值时，需要一定的注意。最小的选 择是11=2。然而，尽管h^2防止了上述攻击并且防止了应用现有技术 时的可证明安全结果，但这样的选择也可能太小了。
存在可证明安全结果有效的同时防止上述攻击的h的范围。这个 范围取决于执行标量乘法所需的群运算的数量。h的最优值似乎是
(9/16 ) (log2n) 2，但是在这个值的0.5到2倍范围内的h值都可以采 用。对于近似于该大小的h,静态Diffie-Helman问题将会差不多与将 静态Diffie-Helman私钥确定为可接受的因子一样困难。这个因子可 以在h的全部选择范围内优化。而且，通过h的这一选择，上述攻击 具有约等于n^群运算的成本。这意味着该攻击不比查找x的一般DLP 求解算法更好。因此在这种情况下，该攻击是不相关的。
总的来说，首先选择近似(9/16) (log2n) 2次数的偶数h，然后 假如所选择的n是素数，则利用对r和n筛选和素数检验搜索r和n。 最后搜索t以得到p=tn+l为素数。
这个方法的更进一步的效率提高也是有可能的。在这个方法中， 搜索n和t，从而p具有使规约模(reduction modulo ) p更有效的型。 例如，假如p具有低的汉明权重(Hamming weight),则规约模p更 有效。这使得模乘(modular multiplication )， Zp^的群运算更有效。
这个方法的更进一步的安全性提高也是有可能的。r值能够选择 为可检验的随机数，r值能够选择为散列函数的输出。
这两种进一步的提高可以合并，通过选择r为可检验的随机数， 然后搜索t值使p具有更有效的模简约。
如果不关注上述攻击，因为这样的对手对于特定协议的特定实施 是不实际的，则可以不同地选择Diffie-Helman群。可能没有必要避 免大小接近n1/3的因子u，然而仍然希望静态Diffie-Helman问题和一 般Di伍e-Helman问题是困难的。为了使静态Di伍e-Helman问题困难， 只需要大小近似(9/16) (log2n) 2的n-1的因子。在现有数论知识中 是否随机数n会具有这种大小的因子是不清楚的。因此，可以选择随 机数n并查找这样的因子，或者构造具有这样大小的因子h的n。后 者可以通过选择h、选择任意r (不必是素数)，并检测n=hr+l是否是 素数来完成。
为了确保临时的、或两面的(two-sided), Diffie-Helman问题是
困难的，可以利用现有的可证明安全结果。Maurer和Wolf的结果需 要查找辅助群，通常是定义在大小为n的有限区域上的椭圆曲线。辅 助群要具有光滑的次数(没有大素数因子)。搜索这样的辅助群需要 花费相当大的努力，并且可能无法达到n的较大值。实际上，查找这 样的群几乎和查找与n同样大小的整数因子一样困难。
一个den Boer的以前的结果提到n-l是光滑的，(临时) Diffie-Helman问题几乎和DLP —样困难。
因此，现有技术的进一步加强包括一种选择11=1+8的方法，其中
s是光滑整数(smooth integer )。这个s可以作为小素数的乘积找到， 从而获得正确的大小。然后检验n是否为素数。可以试验多个s值。 在这种方式下选择n的好处在于，通常意味着n-l具有大小足够接近 (9/16) (log2n) 2的因子，该因子确保静态Diffie-Helman问题是困难 的，而不仅是临时的Di伍e-Helman问题。
由于这样的n，素数p^n+l可以如上那样发现。而且，也可能利 用这种方法寻找特定结构例如低汉明权重的n和p。
椭圆曲线实施例
原则上，上面描述的技术也用于椭圓曲线群的情况。更准确地， n的理想标准是同一的。然而，在这种情况下，次数为n的生成元g 不是Z/的元素，是椭圆曲线群E的一个元素。在modp的情况下， 一旦确定了 n,就相对直接地找到群Zp'。对于椭圓曲线不能这么说。 对于一个确定的n,查找一个椭圆曲线群E仍然非常困难。
因为椭圓曲线使用户运算比群Z/更有效，椭圆曲线的情况是本 发明的优选实施例。这个实施例的方法比Z/情况略^f鼓复杂，但是值 得的。
为了使表达更清楚，介绍并在图3和图4中示出了椭圆曲线实施 例中该方法的某些简化型。
在第一简化型30中，椭圆曲线定义在二元区域(binaryfield)上。 对于这些曲线，确定椭圆曲线群的次数非常容易。简化方法是选择随
机曲线，计算点数，核对点数是2n,其中n是素数，并且n-l满足理 想的标准。优选的标准是n-hhr,其中r是素数并且h近似为(9/16) (log2n)2。替代的标准是n-l是光滑的，假设不关心上述攻击。
在第二简化型中，椭圓曲线定义在次数为q的素数区域上。q值 在确定n值之后确定。n值的选择与上所述mod p群的情况一样。n 值可以满足优选的标准或替代的标准。然后，如ANSI x 9.62或正EE 13.63中阐述的复数乘法方法用于查找q值和定义在q上具有次数n 的椭圆曲线E。
通常，复数乘法方法涉及首先选择q，因为确定的q值为用户 提供更好的效率。然而，如果首先选4奪n，复数乘法方法也能实施。 一旦在复数乘法方法的第一阶段发现q和n具有正确的数论关系，第 二阶4殳确定定义椭圆曲线E的系数。
第二简化方法的缺点是作为结果的q在n的哈斯区间(Hasse interval)中具有或多或少的随机数的型，所述区间是距离n大约n1/2 范围之内的所有整数。出于给用户提供更好的效率的原因，q的特定 型是更理想的，例如在二元展开中的低汉明权重。
换句话说，对于q和n都具有这样的型是理想的。q的型是为了 效率，而n的型是为了安全性。为此，对复数乘法方法的第一阶段略 微修改。尝试特定期望型的q和n,然后检验这对值以便看它们是否 满足复数乘法(CM)方法要求的条件。这个条件相对容易直接检验。 当q给定，求解满足该条件的n不容易，反之亦然。
复数乘法的第一阶段的修改是尝试多个不同的具有理想式的q和 n对，检验q和n的CM方法条件，重复直至CM条件满足，然后利 用CM方法的通常过程查找椭圆曲线E的定义系数a和b。
CM方法是公知的方法，但是它的修改形式不是公知的。利用如 本发明优选实施例描述的CM方法的修改形式，能够找到非常有效并 非常安全的Diffie-Helman椭圆曲线群。
以一个实例解释这个方法的生命力。利用替代的标准，即n-l是
光滑的，发明人已经发现数值对n=l+55 ( 2286 )和q=9+55 ( 2288 )都
是素数。CM方法的本领域技术人员应该理解这个数值对的判别式是 55。这个判另ll式在kronecker类凄史(kronecker class number)比一大的 意义上是非平凡的，所以椭圆曲线的自同态环(endomorphismring) 不是唯一的因数分解域。特别地，这意味着不能从预定表中找到椭圆 曲线E的系数a和b并且必须通过求解次数为q的有限区域上的适度 大次数的多项式方程计算。
如上所述，该技术可以用于产生具有理想特征的域参数。这种产 生这些特征的方式还有助于检验由第三方提供的域参数的效力以确 保它们不易受到攻击。可以枱r验参数以确保p和n值满足要求的形式。 假如它们不满足标准，则可以拒绝域参数。
尽管本发明结合特定实施例描述，不背离由所附权利要求书界定 的本发明精神和范围的各种修改对于本领域技术人员是显而易见的。 上面所有引用的参考文件的整个内容作为引用结合于此。
权利要求
1、一种确定有限群G的参数的方法，所述有限群G具有素数次数p和次数为n的生成元g，所述方法包括步骤i)选择型n＝hr+1的n值，其中h是整数，r是素数，并且h与r相比相对较小；ii)选择偶整数t并且计算tn+1，其中t是偶整数；iii)检验计算值p＝tn+1的素数性；以及iv)如果所述p值为素数，采用次数p的计算值。
2、 根据权利要求1所述的方法，其特征在于，选择n的近似值并且 选择远小于n^的h。
3、 根据权利要求1所述的方法，其特征在于，n必须为素数，并且 n值要进行素数性检验。
4、 根据权利要求1所述的方法，其特征在于，r和n的值通过筛选 以排除那些具有小素数的值。
5、 根据权利要求1所述的方法，其特征在于，所述群是椭圆曲线群， 并且所述方法包括计数曲线上的点并且确定点数为2n的步骤。
6、 一个具有次数p和次数为n的生成元g的有限群G,其特征在于， n=hr+l，其中，h是整数且r是素数，并且其中p^n+l，其中t为整数。
7、 一种验证用于群G的密码系统的域参数方法，所述群G具有次 数p和次数为n的生成元g，所述方法包括步骤确定n=hr+l,其中h 是整数且r是素数，并且确定p^n+l，其中t为整数。
全文摘要
本发明公开了选择用于静态Diffie-Helma密钥协议的群以防止对手主动攻击的方法，在mod p群中，选择近似(9/16)(log₂n)²的偶数h值，用筛选和素数检验确定r和n值，并且搜索t值以计算p＝tn+1，其中p是素数。在定义在二元区域上的椭圆曲线群中，选择随机曲线，计算曲线上的点数，并且检验曲线上的点数是2n，其中n是素数且n-1满足优选的标准。在定义在q次的素数区域上的椭圆曲线群中，计算n＝hr+1，其中，n是素数且n-1满足优选的标准，并且执行关于n的复数乘法方法，由此产生值q和具有次数n的定义在q上的椭圆曲线E。
文档编号H04L9/30GK101099328SQ200580046419
公开日2008年1月2日 申请日期2005年11月11日 优先权日2004年11月11日
发明者丹尼尔·R.·L.·布朗, 斯科特·A.·万斯通, 罗伯特·P.·加朗特 申请人:塞尔蒂卡姆公司