4.4 Menezes-Vanstone Cryptosystem auf Elliptischen Kurven

Eine effizientere Variante wurde von Menezes und Vanstone gefunden. In dieser Variation wird die elliptische Kurve zur "Maskierung" benutzt, und die Klartexte und Chiffretexte dürfen arbiträr geordnete Paare von Elementen (nicht null) sein (sie müssen also keine Punkte aus E sein). Das bedeutet eine Nachrichten-Expansion von Faktor zwei, wie im originalen ElGamal-Verschlüsselungsverfahren.

Sei E eine elliptische Kurve auf Z_p (p > 3 prim), so daß E eine zyklische Untergruppe H enthält, in der das diskrete Log-Problem nicht effizient lösbar ist. Sei P = Z_p^* × Z_p^*,  C = E × Z_p^* × Z_p^*, und definiere   Κ = {(E, α, a, β): β = aα},
wobei α ∈ E. Die Werte α und β sind öffentlich und a ist geheim. Für K = (E, α, a, β), für eine (geheime) Zufallszahl k ∈ Z_|H| , und für x = (x₁, x₂) ∈ Z_p^* × Z_p^*, definiere
    e_K(x, k) = (y₀, y₁, y₂),
wobei
      y₀ = k α,
     (c₁, c₂) = k β,
      y₁ = c₁ x₁ (mod p),   und
      y₂ = c₂ x₂ (mod p).

Für einen Chiffretext y = (y₀, y₁, y₂), definiere
    d_K(y) = (y₁ c₁^-1 (mod p), y₂ c₂^-1 (mod p)),
wobei
      ay₀ = (c₁, c₂).

4.4 Menezes-Vanstone Cryptosystem auf Elliptischen Kurven: Beispiel-Applet für kleine Zahlen


source

5 DES