4.4 Menezes-Vanstone Cryptosystem auf Elliptischen Kurven

Eine effizientere Variante wurde von Menezes und Vanstone gefunden. In dieser Variation wird die elliptische Kurve zur "Maskierung" benutzt, und die Klartexte und Chiffretexte dürfen arbiträr geordnete Paare von Elementen (nicht null) sein (sie müssen also keine Punkte aus E sein). Das bedeutet eine Nachrichten-Expansion von Faktor zwei, wie im originalen ElGamal-Verschlüsselungsverfahren.

Sei E eine elliptische Kurve auf Z_p (p > 3 prim), so daß E eine zyklische Untergruppe H enthält, in der das diskrete Log-Problem nicht effizient lösbar ist. Sei P = Z_p^* × Z_p^*, C = E × Z_p^* × Z_p^*, und definiere K = {(E, alpha, a, beta): beta = aalpha},
wobei alpha aus E. Die Werte alpha und beta sind öffentlich und a ist geheim. Für K = (E, alpha, a, beta), für eine (geheime) Zufallszahl k aus Z_|H|, und für x = (x₁, x₂) aus Z_p^* × Z_p^*, definiere
e_K(x, k) = (y₀, y₁, y₂),
wobei
y₀ = k alpha,
(c₁, c₂) = k beta,
y₁ = c₁ x₁ (mod p), und
y₂ = c₂ x₂ (mod p).

Für einen Chiffretext y = (y₀, y₁, y₂), definiere
d_K(y) = (y₁ c₁^-1 (mod p), y₂ c₂^-1 (mod p)),
wobei
ay₀ = (c₁, c₂).

4.4 Menezes-Vanstone Cryptosystem auf Elliptischen Kurven: Beispiel-Applet für kleine Zahlen


source

5 DES