ECC的消息擴展/加密膨脹因子/密文擴展
為了用漸近時間和消息擴展完成下表,
$ \quad \quad \quad \quad \quad \quad \quad \quad \quad $ RSA $ \quad $ 麥克埃利斯 $ \quad $ ETC
加密速度 $ \quad \quad ; ; N^2 \quad \quad N^2 \quad \quad \quad N^3 $
解密速度 $ \quad \quad ; ; N^3 \quad \quad N^2 \quad \quad \quad N^3 $
公鑰大小 $ \quad \quad \quad ;; N \quad \quad ; \ N^2 \quad \quad \quad N $
私鑰大小 $ \quad \quad \quad ;; N \quad \quad ; \ N^2 \quad \quad \quad N $
消息擴展 $ \quad ; 1-1 \quad ; 2-1 \quad \quad \quad ? $
我需要找到ECC密碼系統的消息擴展,但我在任何地方都找不到明確的答案。
有人可以給我並解釋表中的缺失值嗎?
提前致謝。
好的,對您的表格進行一個簡短的修改,“消息擴展”僅適用於相當長且不是微不足道的一位消息的消息,因為它們具有更高的消息擴展。
其次,由於OAEP等結構,RSA 沒有“1”的擴展。另請注意,普通 RSA 沒有任何形式的語義安全性,只有改進的變體提供IND-CPA 和 IND-CCA2 安全性。
第三,McEliece 可以做得比“2”更好,通常情況下,根據細節,它最壞的情況應該是 1.5 左右,另請參閱Bernstein 的 Post Quantum Cryptography 書和這篇論文 (PDF)。根據您是否需要 IND-CPA 或 IND-CCA2 安全性,可能會獲得更好的結果。
現在終於使用ElGamal進行 ECC 了。首先請注意,您無法將任意消息確定性地編碼為橢圓曲線點,因此您無法使用此方法輕鬆加密任意消息。
其餘的可以從描述中看出,輸出實際上是兩個組元素,並且由於兩個組元素通常是單個組元素(消息)的兩倍,因此您會得到消息擴展“2”。另請注意,普通 ElGamal 僅是 IND-CPA 而不是 IND-CCA2 安全的。