本申請提供一種基于超奇異同源秘鑰封裝協議的公鑰生成方法和裝置，該方法包括：獲取同源質數和橢圓曲線；在所述橢圓曲線上生成第一公共點對和第二公共點對；獲取私鑰，計算私核；將所述第二公共點對作為高階同源曲線上的初始像點，以所述橢圓曲線作為初始橢圓曲線，計算獲得高階同源曲線，將高階同源曲線上的像點作為公鑰。本申請通過將輸入參數轉換為新的數據表示方式，并使用該方式進行相應的有限域算法，可以替代傳統的蒙哥馬利表示方法，采用本申請實施例提供的新的數據表示方式對SIKE方案進行實現，并且在新的數據表示方式的基礎上，能夠提高SIKE協議實現的效率。

技術領域

本申請涉及橢圓曲線加密系統技術領域，具體涉及一種基于超奇異同源秘鑰封裝協議的公鑰生成方法和裝置。

背景技術

公鑰密碼學是互聯網安全的基礎，允許雙方在不需要提前交換密鑰信息的情況下也能安全通信。目前所有廣泛應用的公鑰密碼系統均是基于大整數因式分解困難(比如Rivest Shamir Adleman，即RSA算法)或者是在某些群中計算離散對數困難(比如橢圓曲線加密算法，即ECC)來實現的。由于ECC在同樣安全級別的前提下比RSA占用資源更少，其在公鑰密碼系統中地位越來越重要。在目前的計算資源下，ECC或RSA均能提供很好的安全保障。但量子計算機的出現將會打破這樣的狀況，據消息稱，成熟的量子計算機將會在未來的15年內被設計出來，面對這樣的威脅，針對量子計算機的加密系統設計變得十分迫切。針對抗量子計算機攻擊的加密系統設計，基于同源的ECC可以直接被采用，但目前還存在諸如算法復雜度高、運算速度過慢的缺點亟待解決。

橢圓曲線之間的同源指的是那些保留了無限遠點的橢圓曲線間的一種同態，利用橢圓曲線間的同源構建加密系統的想法由Rostovtsev和Stolbunov于2006年提出，該系統采用的是普通的橢圓曲線間的同源，之后在2010年被Childs,Jao和Stolbunov用亞指數量子攻擊方法所攻擊。隨后，于2011年，Jao和De Feo提出了一個基于超奇異(Supersingular)橢圓曲線的同源密碼交換，該方法能有效的防御亞指數攻擊，該方法也被稱為超奇異同源Diffie-Hellman密鑰交換(supersingular isogeny Diffie-Hellman key-exchange,SIDH)。SIDH是超奇異同源秘鑰封裝協議(supersingular isogeny key encapsulation,SIKE)的基礎，SIKE是目前被NIST作為后量子密碼標準的候選者之一。

以Alice向Bob發送消息為例，SIKE協議主要分為三個步驟。第一步，Bob使用相應的密鑰生成其公鑰和私鑰，該私鑰可以安全地反復使用。Alice的那些密鑰是在傳遞的消息和鮑勃的公鑰的基礎上生成的。同時，Bob生成一個假消息以供后續使用。第二步，j不變式通過使用所有者的私鑰和另一方的公鑰獲得，并通過哈希函數加密，生成他們的共享密鑰。第三步，Alice以兩種形式加密她的消息，一種是將他們的共享密鑰加密為c_A，另一種是采用哈希函數將其他的參數加密為em，并將其發送給Bob。鮑勃收到這兩個密文后，能夠解密Alice發送的消息、以及Alice的公鑰和密鑰。同時，他將偽造的消息fm_B以與Alice相同的加密方式加密為em’。他判斷解密而來的Alice的公鑰與在第二步中接收的公鑰是否相同，如果相同，即認證成功，則將Alice發送的消息輸出為em，否則輸出為em’。

在SIKE協議第一步的運算過程中，涉及許多有限域運算，有限域運算的效率直接關系到Alice向Bob發送消息時加解密等過程的效率。現有有限域運算通?；诿筛珩R利表示方法，該算法中，同源質數p采用以下公式進行表示：其中，a和b為小的素數，e_A和e_B為正整數，在基于上述表示方法的基礎上，進行有限域運算。但是，利用現有蒙哥馬利表示方法進行有限域運算過程中，仍然存在消耗較大，進而導致SIKE協議在實現過程中存在效率較低的問題。

發明內容