ECC-ElGamal

EC(Elliptic Curve)椭圆曲线

三种椭圆曲线
一般资料会以维尔斯特拉斯曲线（Weierstrass Curve）为例介绍椭圆曲线的基本概念和运算原理，这是因为任意椭圆曲线都可以写为维尔斯特拉斯曲线形式。实际上，椭圆曲线还包括多种其他的类型，如蒙哥马利曲线（Montgomery Curve）、扭曲爱德华曲线（Twisted Edwards Curve）等。Curve25519就是在蒙哥马利曲线上定义的椭圆曲线，而Ed25519是在扭曲爱德华曲线上定义的椭圆曲线。

1.维尔斯特拉斯曲线
椭圆曲线的一般形式可表示为：

E : y^{2} = x^{3} + A x + B

其中 $A, B \in F_{p}$ ， $4 A^{3} + 27 B^{2} \neq 0$ 。一般称上式为维尔斯特拉斯形式的椭圆曲线方程。

2.蒙哥马利曲线
蒙哥马利形式的椭圆曲线方程定义为：

K t^{2} = s^{3} + J s^{2} + s

其中

K, J \in F_{p}

，

K (J^{2} - 4) \neq 0

。

3.扭曲爱德华曲线
扭曲爱德华形式的椭圆曲线方程定义为：

a v^{2} + w^{2} = 1 + d v^{2} w^{2}

其中

a, d \neq 0

且

a \neq d

。

椭圆曲线间的转换
维尔斯特拉斯曲线、蒙哥马利曲线、扭曲爱德华曲线这三类椭圆曲线之间可以相互转换。
蒙哥马利曲线 ⇔ 维尔斯特拉斯曲线
任何椭圆曲线都可以写为维尔斯特拉斯形式。反之，当满足特定条件时，维尔斯特拉斯椭圆曲线可以转换为蒙哥马利椭圆曲线。具体转换条件参见《Montgomery Curve》的Equivalence with Weierstrass curves部分。
蒙哥马利曲线 $K t^{2} = s^{3} + J s^{2} + s$ 转换为等价维尔斯特拉斯曲线 $y^{2} = x^{3} + A x + B$ 的方法为：

{\begin{cases} A = \frac{3 - J^{2}}{3 K^{2}} \\ B = \frac{2 J^{3} - 9 J}{27 K^{3}} \end{cases}

蒙哥马利曲线点 $(s, t)$ 转换为等价维尔斯特拉斯曲线点 $(x, y)$ 的方法为：

{\begin{cases} x = \frac{3 s + J}{3 K} \\ y = \frac{t}{K} \end{cases}

反之，维尔斯特拉斯曲线点 $(x, y)$ 转换为等价蒙哥马利曲线点 $(s, t)$ 的方法为：

{\begin{cases} s = \frac{3 K x - J}{3} \\ t = \frac{y}{K} \end{cases}

蒙哥马利曲线 ⇔ 维尔斯特拉斯曲线
所有扭曲爱德华曲线都与蒙哥马利曲线双向有理等价（Birationally Equivalent），反之亦然。所谓双向有理等价，可以理解为除了个别点外，扭曲爱德华曲线的点和蒙哥马利曲线的点存在相互映射关系。
扭曲爱德华曲线 $a v^{2} + w^{2} = 1 + d v^{2} w^{2}$ 转换为等价蒙哥马利曲线 $K t^{2} = s^{3} + J s^{2} + s$ 的方法为：

{\begin{cases} J = \frac{2 (a + d)}{a - d} \\ K = \frac{4}{a - d} \end{cases}

扭曲爱德华曲线点 $(v, w)$ 转换为等价蒙哥马利曲线点 $(s, t)$ 的方法为：

{\begin{cases} s = \frac{1 + w}{1 - w} \\ t = \frac{s}{v} \end{cases}

蒙哥马利曲线点 $(s, t)$ 转换为扭曲爱德华曲线点 $(v, w)$ 的方法为：

{\begin{cases} v = \frac{s}{t} \\ w = \frac{s - 1}{s + 1} \end{cases}

当 $t = 0$ 或 $s = - 1$ 时，映射方法为 $(v, w) = (0, - 1)$ 。

椭圆曲线上的运算
1.有限域的负元
$P (x, y)$ 的负元是 $(x, - y (\mod p)) = (x, p - y)$
2.有限域的加法
$P (x_{1}, y_{1})$ ， $Q (x_{2}, y_{2})$ 和 $R (x_{3}, y_{3})$ 三点（其中 $R$ 是直线 $P Q$ 与曲线交点关于 $x$ 轴的对称点，即有 $R = P + Q$ ）,有如下关系：

{\begin{cases} x_{3} \equiv k^{2} - x_{1} - x_{2} (mod p) \\ y_{3} \equiv k (x_{1} - x_{3}) - y_{1} (mod p) \end{cases}

3.斜率计算

k = {\begin{matrix} \frac{3 x_{1}^{2} + a}{2 y_{1}} & P = Q \\ \frac{y_{2} - y_{1}}{x_{2} - x_{1}} & P \neq Q \end{matrix}

ECC-ElGamal公钥加密算法

设 $p > 3$ 是一个大素数， $E$ 是有限域 $F_{p}$ 上的椭圆曲线， $G \in E$ 是椭圆曲线上的一个点，并且 $G$ 的阶足够大。 $p$ 和 $E$ 以及 $G$ 都公开。
随机选取整数 $x$ ， $1 \leq x \leq ord (G) - 1$ ，其中 $ord (G)$ 表示以基点 $G$ 在曲线 $E$ 上生成群的阶。计算 $Y = x G$ 。 $Y$ 是公开的加密密钥（公钥）， $x$ 是保密的解密密钥（私钥）。
加密变换：明文消息映射到椭圆曲线上的点 $M = (m_{1}, m_{2})$ ，随机选取一个整数 $k$ ，满足 $1 \leq k \leq ord (G) - 1$ ，密文为 $C = (c_{1}, c_{2})$ ，其中 $c_{1} = k G$ ， $c_{2} = M + k Y$ 。
解密变换：对任意密文 $C = (c_{1}, c_{2})$ ，明文为 $M = c_{2} - x c_{1}$ 。

证明：
根据加密变换有 $c_{1} = k G$ ， $c_{2} = M + k Y = M + k x G$ ，故 $c_{2} - x c_{1} = M + k x G - x k G = M$ 。
证毕。

例：
设 $p = 11$ ， $E$ 是由 $y^{2} \equiv x^{3} + x + 6 (\mod 11)$ 所确定的有限域 $F_{11}$ 上的椭圆曲线，基点 $G = (2, 7)$ 。选定的私钥为 $x = 7$ ，明文映射到曲线的点 $M = (10, 9)$ 。
因选择的私钥为 $x = 7$ ，那么对应公钥为

Y = 7 G = (7, 2)

计算过程示例：
首先计算 $2 G$ ， $2 G = G + G$ ，

k \equiv \frac{3 \cdot 2^{2} + 1}{2 \cdot 7} (mod 11) \equiv 13 \cdot 14^{- 1} (mod 11) \equiv 2 \cdot 4 (mod 11) \equiv 8

x \equiv 8^{2} - 2 - 2 (mod 11) \equiv 60 (mod 11) \equiv 5

y \equiv 8 (2 - 5) - 7 (mod 11) \equiv - 31 (mod 11) \equiv 2

所以 $2 G = (5, 2)$ 。
然后计算 $3 G$ ， $3 G = 2 G + G$ ，

k \equiv \frac{2 - 7}{5 - 2} (mod 11) \equiv - 5 \cdot 3^{- 1} (mod 11) \equiv 6 \cdot 4 (mod 11) \equiv 2

x \equiv 2^{2} - 5 - 2 (mod 11) \equiv - 3 (mod 11) \equiv 8

y \equiv 2 (5 - 8) - 2 (mod 11) \equiv - 8 (mod 11) \equiv 3

所以 $3 G = (8, 3)$ 。
类似计算可得 $4 G = (10, 2)$ ， $6 G = (7, 9)$ ， $7 G = (7, 2)$ ， $8 G = (3, 5)$ ， $14 G = (2, 7)$ 。可以注意到有 $14 G = G \Rightarrow 13 G = 0$ ，所以对于基点 $G = (2, 7)$ 有 $ord (G) = 13$ 。由此计算公钥 $Y$ 为