集成加密方案ECIES的设计与验证

２０１２年第１期　

文章编号：１００９—２５５２（２０１２）０１—０１１５—０３　中图分类号：ＴＰ３０９．７　文献标识码：Ａ　

集成加密方案ＥＣＩＥＳ的设计与验证　

范云海　

（上海交通大学芯片与系统研究中心，上海２ｏｏ２４ｏ）　

摘要：椭圆曲线密码（ＥＣＣ，ｅｌｌｉｐｔｉｃ　ｃｕｒｖｅ　ｃｒｙｐｔｏｇｒａｐｈ）是密码学的重要分支之一，它可以用　

来加密数据，进行数字签名或者在安全通信的开始阶段进行密钥交换。在加密方面，基于ＥＣＣ　

最有名的就是综合加密方案（ＥＣＩＥＳ，ｅｌｌｉｐｔｉｃ　ｃｕｒｖｅ　ｉｎｔｅｇｒａｔｅ　ｅｎｃｒｙｐｔ　ｓｃｈｅｍｅ）　。ＥＣＩＥＳ是Ｃｅｒｔｉ—　

ｃｏｒｎ公司提出的公钥加密方案，可以抵挡选择明文攻击和选择密文攻击【２　Ｊ。ＥＣＩＥＳ各个步骤的实　

现可以用不同的算法，在软件中是可以配置的。而它实现的多样性也验证了它的灵活性以及可　

靠性。　

关键词：集成加密；椭圆曲线；公钥加密；数字签名；密钥认证；哈希　

Ｄｅｓｉｇｎ　ａｎｄ　ｖｅｒｉｉｃａｔｉｆｏｎ　ｏｆ　ＥＣＩＥＳ　

ＦＡＮ　Ｙｕｎ—ｈａｌ　

（Ｃｈｉｐ＆Ｓｙｓｔｅｍ　Ｃｅｎｔｅｒ，Ｓｈａｎｇｈａｉ　Ｊｉａｏｔｏｎｇ　Ｕｎｉｖｅｒｓｉｔｙ，Ｓｈａｎｇｈａｉ　２００２４０，Ｃｈｉｎａ）　

Ａｂｓｔｒａｃｔ：Ｅｌｌｉｐｔｉｃ　Ｃｕｒｖｅ　Ｃｒｙｐｔｏｇｒａｐｈｙ　ｉｓ　ａ　ｂｒａｎｃｈ　ｏｆ　Ｃｒｙｐｔｏｇｒａｐｈｙ　ｔｈａｔ　ｃａｎ　ｂｅ　ｕｓｅｄ　ｆｏｒ　ｅｎｅｒｙｐｔｉｎｇ　ｄａｔａ，　

ｇｅｎｅｒａｔｉｎｇ　ｄｉｇｉｔａｌ　ｓｉｇｎａｔｕｒｅｓ　ｏｒ　ｅｘｃｈａｎｇｉｎｇ　ｋｅｙｉｎｇ　ｍａｔｅｒｉａｌ　ｄｕｒｉｎｇ　ｔｈｅ　ｉｎｉｔｉａｌ　ｐｈａｓｅｓ　ｏｆ　ａ　ｓｅｃｕｒｅ　

ｃｏｍｍｕｎｉｃａｔｉｏｎ．Ｒｅｇａｒｄｉｎｇ　ｅｎｃｒｙｐｔｉｏｎ，ｔｈｅ　ｂｅｓｔ—ｋｎｏｗ　ｓｃｈｅｍｅ　ｂａｓｅｄ　ｏｎ　ＥＣＣ　ｉｓ　Ｅｌｌｉｐｔｉｃ　Ｃｕｒｖｅ　Ｉｎｔｅｇｒａｔｅｄ　

Ｅｎｃｒｙｐｔｉｏｎ　Ｓｃｈｅｍｅ（ＥＣＩＥＳ）．ＥＣＩＥＳ　ｉｓ　ａ　ｐｕｂｉｃ　ｋｅｙ　ｅｎｃｒｙｐｔｉｏｎ　ｓｃｈｅｍｅ　ｐｒｏｖｉｄｅｄ　ｂｙ　Ｃｅｒｔｉｃｏｍ　Ｃｏｍｐａｎｙ．　

ＥＣＩＥＳ　ｉｓ　ｄｅｓｉｇｎｅｄ　ｔｏ　ｂｅ　ｓｅｍａｎｔｉｃａｌｌｙ　ｓｅｃｕｒｅ　ｉｎ　ｔｈｅ　ｐｒｅｓｅｎｃｅ　ｏｆ　ａｎ　ａｃｔｉｖｅ　ａｄｖｅｒｓａｒｙ　ｃａｐａｂｌｅ　ｏｆ　ｌａｕｎｃｈｉｎｇ　

ｃｈｏｓｅｎ　ｐｌａｉｎｔｅｘｔ　ａｎｄ　ｃｈｏｓｅｎ　ｃｉｐｈｅｒｔｅｘｔ　ａｔｔａｃｋｓ．　

Ｋｅｙ　ｗｏｒｄｓ：ＥＣＩＥＳ；ｅｌｌｉｐｔｉｃ　ｃｕｒｖｅ；ｐｕｂｌｉｃ　ｋｅｙ　ｃｒｙｐｔｏｇｒａｐｈｙ；ｄｉｇｉｔａｌ　ｓｉｇｎａｔｕｒｅ；ｋｅｙ　ａｕｔｈｅｎｔｉｃａｔｉｏｎ；　

Ｈａｓｈ　

自从１９７６年Ｄｉｆｉｅ和Ｈｅｌｌｍａｎ提出了公钥加密　

方案以来，已经发布了好几种密码机制　】。其中尤　

为重要的是１９８５年由Ｍｉｌｌｅｒ和Ｋｏｂｌｉｔｚ发表的加密　

系统，它的安全性依赖于椭圆曲线离散对数问题　

（ＥＣＤＬＰ，ｅｌｌｉｐｔｉｃ　ｃｕｒｖｅ　ｄｉｓｃｒｅｔｅ　ｌｏｇａｒｉｈｍ　ｐｒｔｏｂｌｅｍ）的　

维尔斯特拉斯（Ｗｅｉｅｒｓｔｒａｓｓ）方程式…：　

Ｅ１　＋ａ１ｘｙ＋　３ｙ＝　＋ａ２ｘ　＋ａａｘ＋ａ６　（１）　

其中，ａ１，ａ２，ａ３，ａ４，ａ６∈Ｆ，并且△≠Ｏ，△是Ｅ的判别　

式。条件△≠Ｏ可以保证曲线是光滑的，例如，没有　

椭圆曲线点有两个或更多个不同的切线。在实际应　

用中几乎不会用到Ｗｅｉｅｒｓｔｒａｓｓ方程式，而是根据不　

同的有限域Ｆ来使用不同的简化版本。当域Ｆ的　

难解性。迄今为止，还没有一种有效的算法可以较　

好地解决椭圆曲线离散对数问题。一些学者认为椭　

圆曲线离散对数问题比其他也用在加密系统中的数　

学问题（整数因式分解问题和离散对数问题）更难　

字符是一个除２和３之外的素数Ｐ时（这代　

表ＧＦ（ｐ）或者印），那么这是一个素数域。如果是　

这种情况，对应的简单的方程式如下－３　Ｊ：　

ｙ２＝　＋嬲＋ｂ　

收稿日期：２０１１一Ｏ８—２４　

以解决。这就是为什么ＥＣＣ密钥的长度要显著的　

小于其他密码系统的密钥长度，比如ＲＳＡ（Ｒｉｖｅｓｔ，　

Ｓｈａｍｉｒ　ａｎｄ　Ａｄｌｅｍａｎ）。　

一

（２）　

个有限域Ｆ或者伽罗瓦（Ｇａｌｏｉｓ）域上的椭圆　

曲线Ｅ是由下面的方程式定义的，这个方程式也叫　

作者简介：范云海（１９８８一），男，在读硕士研究生，研究方向为安全　

芯片与嵌入式系统。　

一

１１５—　

如果有限域Ｆ的符号是２（代表ＧＦ（２　）或者　

），那么有限域是二进制域。此时对应的简单的　

方程式　：　

Ｙ　＋　＝　＋Ｏ，Ｘ　＋ｂ　（３）　

ＥＣＩＥＳ是一个基于椭圆曲线的集成加密方案，　

包含公钥操作，加密算法，认证码和哈希计算。更准　

确的说，ＥＣＩＥＳ是一个通用的术语，它用来描述一组　

稍有不同的加密方案，这些加密方案都是基于Ｍｉｈｉｒ　

Ｂｅｌｌａｒｅ，Ｐｈｉｌｉｐ　Ｒｏｇａｗａｙ，和Ｍｉｃｈｅｌ　Ａｂｄａｌｌａ的论文　，　

在论文中，他们开发了一个加密方案ＤＨＩＥＳ（Ｄｉｆｉｅ　

Ｈｅｌｌｍａｎ集成加密方案），它是ＥＣＩＥＳ的内核，为了　

简单起见，ＥＣＩＥＳ的实现将参考ＤＨＩＥＳ。　

多年来，ＥＣＩＥＳ已被列入几个标准，并且可以在　

高效加密标准组（ＳＥＣＧ）的发布版本中发现它　

们　Ｊ。但迄今为止还没有ＥＣＩＥＳ软件能实现所有　

的不同组合的参数配置。该软件实现了非常多样的　

参数和函数的组合。由于该软件的目的在于测试该　

加密方案的可行性，所以尝试了不同的参数组合以　

用于不同的应用场合中。　

１　加密　

本软件实现中的所有函数和参数配置都放在文　

件ｃｏｎｆｉｇ．ｃ％中，该文件内容被当做共享消息传送到　

解密端进行相应的解密操作。整个软件的加密流程　

如图１所示。　

发送者的公钥　标签　加密后的消息　

图１　ＥＣＩＥＳ加翟流程　

１．１　函数配置　

该软件能实现的函数配置如下：　

哈希（Ｈａｓｈ）函数：ＳＨＡ一１，ＳＨＡ一２５６。　

密钥导出函数（ＫＤＦ，ｋｅｙ　ｄｅｒｉｖａｔｉｏｎ　ｆｕｎｃｔｉｏｎ）函　

数：ＫＤＦ１和ＡＮＳＩ。　

消息认证码（ＭＡＣ，ｍｅｓｓａｇｅ　ａｕｔｈｅｎｔｉｃａｔｉｏｎ　ｃｏｄｅ）　

函数：ＨＭＡＣ—ＳＨＡ—ｌ一１６０，ＨＭＡＣ—ＳＨＡ一２５６—　

２５６。　

加密函数：ＤＥＳ（ｄａｔａ　ｅｎｃｒｙｐｔｉｏｎ　ｓｔａｎｄａｒｄ）带　

一

１　１　６一　

ＰＫＣＳ＃５填充与不填充，３ＤＥＳ　ＣＢＣ模式带ＰＫＣＳ　

（ｐｕｂｌｉｃ　ｋｅｙ　ｃｒｙｐｔｏｇｒａｐｈｙ　ｓｔａｎｄａｒｄｓ）＃５填充与不填　

充，ＡＥＳ　ＣＢＣ与ＥＣＢ模式都带ＰＫＣＳ＃５填充。　

解析ＫＤＦ函数的解密输出，可以是ＭＫＩ　Ｉ　ＥＫ或　

者ＥＫＩ　Ｉ　ＭＫ。　

１．２参数配置　

要想顺利地进行加密解密操作，必须配置参数。　

当然，若没有配置参数，那就会用缺省的参数进行运　

算。根据所选的有限域的不同，要配置的参数也有　

所不同，若选择ＧＦ（ｐ），则要配置的参数如下。　

Ｐ：素数，指定有限域Ｖｐ＝｛１，２，…，ｐｌ｝。　

。，ｂ：域印的元素，在方程式（２）中定义。　

，

Ｇ　：点Ｇ的坐标，Ｇ是曲线上的点，用来产生　

代表公钥的点Ｑ。　

ｎ：素数，它的值代表点Ｇ的阶。　

ｈ：曲线的余因子，ｈ＝＃Ｅ（Ｆｐ）／ｎ。　

如果选择的有限域是ＧＦ（２　），那么要配置的　

参数如下。　

ｍ：有限域ＧＦ（２　）的指数。　

ｋ１，ｋ２，ｋ３：多项式ｆ（　）＝　＋　七３＋　２＋　１＋１　

的指数。　

ｔｌ，，ｂ：域　的元素，在方程式（３）中定义。　

Ｇ　，Ｇ　：点Ｇ的坐标，Ｇ是曲线上的点，用来产生　

代表公钥的点Ｑ。　

ｎ：点Ｇ的阶。　

ｈ：曲线的余因子。　

１．３加密操作　

根据明文Ｍ和公钥Ｑ，加密流程如下：　

①选择一个在１和ｎ一１之间的Ｉ临时随机整数　

ｋ，计算Ｒ＝ｋＧ＝（　，Ｇ　）。　

②将点Ｒ转换成八进制字符串尺’。　

③由临时密钥ｋ和公钥Ｑ得到共享秘密域元　

素：，（例如Ｐ＝（　，Ｇ　）＝ｋＱ，令ｚ＝　）。　

④将ｚ转换成八进制字符串ｚ。　

⑤根据配置文件用ＫＤＦ函数从ｚ和［共享消　

息＃１］产生密钥数据Ｋ。　

⑥按照配置文件从Ｋ中提取加密密钥ＥＫ和　

ＭＡＣ密钥ＭＫ。　

⑦根据配置文件中的对称加密函数和ＥＫ，加密　

消息Ｍ得到密文ＥＭ。　

⑧根据配置文件中的ＭＡＣ函数和ＭＫ，由ＥＭ　Ｉ　ｌ

［共享消息　］得到Ｄ。　

⑨输出Ｃ＝Ｒ’Ｉ　ｌＥＭ　ＩＩ　Ｄ。　

２　解密　

者解密ｃ恢复明文Ｍ的流程如下：　

．　

该软件的配置（函数和参数）可以有效地抵抗　

现有已知的对ＥＣＩＥＳ的攻击。　

根据密文Ｃ＝Ｒ’Ｉ　ｌＥＭ　ｌｌ　Ｄ，以及私钥ｄ，接受　

①将八进制字符串Ｒ’转换成椭圆曲线点Ｒ＝　

（戈Ｒ，ＹＲ）。　

４　结束语　

ＥＣＩＥＳ是一个实现细节强烈依赖于所选的标准　

的一个加密方案。它的特点使得开发者要想开发一　

个能实现所有安全标准的软件变得非常困难，因此　

开发者必须根据可靠性和效率来决定在目标平台上　

选择哪些参数。　

②得到共享秘密域元素ｚ，（例如ｄＲ＝ｄｋＧ＝　

ｋＱ：Ｐ＝Ｐ＝（Ｇ　，Ｇ　），令　＝　）。　

③将　转换成八进制字符串ｚ。　

④用ＫＤＦ函数从ｚ和［共享消息＃１］产生密钥　

数据Ｋ。　

⑤从Ｋ中提取加密密钥ＥＫ和ＭＡＣ密钥ＭＫ。　

⑥用ＭＫ计算ＭＡＣ，通过与Ｄ进行比较来确定　

发送者的身份。　

⑦用ＥＫ解密ＥＭ得到明文Ｍ。　

该ｃ语言加密软件是用来测试不同的参数组　

合以决定在一个特殊的应用场合中哪个是最佳的组　

合。该软件证明ＥＣＩＥＳ加密方案是可行的。　

参考文献：　

［１］ＶＩＣＴＯＲＧＭ，ＬＵＩＳ　Ｈ　Ｅ，ＣＡＲＭＥＮ　ＳＡ．Ａ　Ｊａｖａｉｍｐｌｅｍｅｎｔａｔｉｏｎ　ｏｆ　

ｔｈｅ　Ｅｌｌｉｐｔｉｃ　Ｃｕｒｖｅ　Ｉｎｔｅｇｒａｔｅｄ　Ｅｎｃｒｙｐｔｉｏｎ　Ｓｃｈｅｍｅ．（２０１　１）．［ＥＢ／　

ＯＬ］．ｈｔｔｐ：／／ｄｉｇｉｔａ１．ｃｓｉｃ．ｅｓ／ｈａｎｄｌｅ／１０２６１／３３１２９．　

３　安全性和抗攻击的能力　

根据参考文献［６］，现在已知的对ＥＣＩＥＳ的攻　

击可归纳如下：　

［２］ＳＨＩＰＳＥＹ　Ｒ．ＥＣＩＥＳ［ｚ］．Ｌｏｎｄｏｎ，Ｕｎｉｖｅｒｓｉｔｙ　ｏｆＬｏｎｄｏｎ，２００１．　

［３］周玉洁，冯登国．公开密钥密码算法及其快速实现［Ｍ］．北京：国　

防工业出版社，２００２：１０３—１１３．　

①延展性攻击。　

②小子群攻击。　

③不规则曲线的子指数攻击。　

另外，在实现ＥＣＩＥＳ的过程中应该考虑安全的　

问题，这可以通过如下方式实现：配置密钥的解析方　

式；配置给ＫＤＦ和ＭＡＣ的参数的类型和数量；为同　

一

［４］ＡＢＤＡｕＡ　Ｍ，ＢＥＬＬＡＲＥ　Ｍ，ＲＯＧＡＷＡＹ　Ｐ．ＤＨＩＥＳ：Ａｎ　Ｅｎｅｒｙｐ・　

ｔｉｏｎ　Ｓｃｈｅｍｅ　Ｂａｓｅｄ　ｏｎ　ｔｈｅ　Ｄｄｆｆｉｅ—ＨｅＵｍａｎ　Ｐｒｏｂｌｅｍ．（１９９８）．　

［ＥＢ／ＯＬ］．ｈｔｔｐ：／／ｃｓｅｗｅｂ．ｕｅｓｄ．ｅｄｕ／ｕｓｅｒｓ／ｍｉｌｉｒ／ｐａｐｅｓｒ／ｄｈａｅｓ．　

ｐｄｆ．　

［５］ＫＯＢＬＩＴＺ　Ｎ．Ｅｌｌｉｐｔｉｃ　ｃｕｒｖｅ　ｅｒｙｐｔｏｓｙｓ—ｔｅｎｒｓ［ｚ］．Ｍａｔｈ．Ｃｏｍｐ，１９８７，　

４８：２０３—２０９．　

［６］ＤＩＦＦＩＥ　Ｗ，ＨＥＬＬＭＡＮ　Ｍ　Ｅ．Ｎｅｗ　ｄｉｒｅｃｔｉｏｎｓ　ｉｎ　ｃｒｙｐｔｏｇｒａｐｈｙ．ＩＥＥＥ　

Ｔｒａｎｓ．Ｉｎｆｏｒｍ．Ｔｈｅｏｒｙ，１９７６，２２：６４４—６５４．　

个公钥动态的选择参数。　

责任编辑：肖滨　

（上接第１１４页）　．　

其中，Ｃ表示共谋的用户数，ｄ表示码的自由距离，　

表示卷积码中重量为ｄ的码序列数，ｓ表示错误译　

码的概率。　

卷积扩频指纹的编码长度为　与ＢＳ模型的编　

码长度　（ｎ一１）相比较，编码长度约减少ｎ倍，在　

ＢＳ模型中，承受的错误概率是ｅ／２Ｌ，使得ｄ随￡增　

长而增大；而根据卷积码性质，本组码字仅与相邻ｍ　

组相关，所以在本方案编码中，　与Ｚ无关，因而具　

有更短的编码长度。　

３．２译码分析　

４　结束语　

文中将卷积码与扩频相结合构造的卷积扩频指　

纹，不仅实现了指纹的抗共谋攻击、强鲁棒性、透明　

性、更短的指纹码构造和多项式时间的搜索复杂度，　

而且能够快速、准确的追踪到盗版者。同时通过实　

例验证，能够快速高效地完成盗版者追踪。为数字　

指纹的构造提供了一条新思路，对其他领域的知识　

产权保护，在理论和实践上都具有一定的指导意义。　

参考文献：　

［１］刘振华，尹萍．信息隐藏技术及其应用［Ｍ］．北京：科学出版社，　

２００２：１５４—１５５．　

卷积扩频指纹的译码复杂度与ｎＬｌ成正比，整　

［２］Ｂｏｎｅｈ　Ｄ，Ｓｈａｗ　Ｊ．Ｃｏｌｌｕｓｉｏｎ—Ｓｅｃｕｒｅ　ｆｉｎｇｅｒｐｒｉｎｔｉｎｇ　ｆｏｒ　ｄｉｉｔｇａｌ　ｄａｔａ　

个译码效率为０（ｒｉＬ１）。在存储方面，卷积码译码　

器需要保留２　个状态，且对每个状态必须有一个路　

径寄存器以及一个部分路径度量值存储器，译码器　

的存储复杂性为０（ｎＬ），其中ｎ＝２　且ｎ≥Ｃ，一般　

要求ｍ≤１０，用户信息长度满足址，由于媒体长度　

限制，尽量缩短　，因而可以适当调整ｋ和ｍ取值，　

即使对较大共谋人数ｃ，也不难选择较好的卷积　

编码。　

［Ｊ］．ＩＥＥＥ　Ｔｒａｎｓ．ｏｎ　Ｉｎｆｏｒｍａｔｉｏｎ　Ｔｈｅｏｒｙ，１９９８，４４（５）：１８９７—　

１９０５．　

［３］彭代渊．信息论与编码理论［Ｍ］．武汉：武汉大学出版社，２００８：　

２１２—２４１．　

［４］Ｖｉｔｅｒｂｉ　Ａ　Ｊ．Ｅｒｒｏｒ　ｂｏｕｎｄｓ　ｏｆｒ　ｅｏｎｖｏｌｕｔｉｏｎａｌ　ｃｏｄｅｓ　ａｎｄ　ａｌｌ　ａｓｙｍｐｔｏｉｆ—　

ｅａｌｌｙ　ｏｐｔｉｍｕｍ　ｄｅｃｏｄｉｎｇ　ａｌｇｏｒｉｔｈｍ［Ｊ］．ＩＥＥＥ　Ｔｒａｍ．Ｉｎｆｏｒｍ　Ｔｈｅｏｒｙ，　

１９６７，ＩＴ—ｉｓ（２）：２６０—２６９．　

［５］孙晓霞．基于Ｗａｔｓｏｎ感知模型水印的讨论［Ｊ］．计算机工程与应　

用。２００９（７）：７６—７９　责任编辑：刘新影　

一

１ｌ７一