用户投保意愿的预测，本质上是一个二分类建模的问题。具体地，首先对用户进行用户画像，并根据用户的静态属性、动态行为等对数据进行预处理和特征工程，接着，综合运用统计学和保险业务领域知识对数据进行特征提炼，并在业务上积累获取一定数量的正、负样本后，利用逻辑回归、决策树以及梯度提升树等集成学习算法，甚至是深度学习算法来建立模型，得到预测模型和相应的模型参数。最后根据使用场景的不同对模型进行离线或者在线部署，来预测带相关入模特征的新用户，得到预测结果。基于模型预测得到的结果会被推送给保险业务人员，为保险业务的精准营销提供基础。

在相关技术中，处理特征工程时需要对用户的行为进行分类，然后根据业务知识对不同类型的行为进行分时段的统计，从次数、频率、变化率等方面对用户进行多方面的描述以获取用户特征数据。因此，现有模型的预测效果严重依赖于特征工程所产生的特征质量，而特征工程又取决于数据质量和业务领域知识，尤其是业务领域知识，内容复杂且专业，对一些非本领域的工程师来说很难做到精确全面；此外，针对数据质量方面，需要对数据进行一系列的去噪等预处理，耗时比较大。

因此，基于传统的特征工程按步就班地进行投保意愿预测存在着预测精度受制于领域知识，同时也存在着效率低下的问题。笔者借助Embedding技术直接对用户行为序列进行编码，然后利用CNN以及Transformer等深度学习网络直接从用户行为到投保意愿的端到端预测模型，试图解决上诉问题，模型上线后在实际的投放使用当中也取得了不错的效果。

数据类型

本模型所使用的源数据是一种用户行为的序列数据，从记录用户行为的事件日志数据抽取而来，详细记录了用户在公司各个客户当中的所发生的不同类型的事件以及事件发生的时间。目前，我们对不同的客户进行命名，然后对于支持的行为事件进行分类，比如常见的登录、注册等，最后我们将不同客户和可能的行为事件类型进行排列组合，并将这个组合作为后续embedding操作时候的最小单元，相应的这个组合的全集就是embedding所需要依赖的词典。这样讲可能比较拗口，咱们举一个例子。

比如一共有两个客户，分别命名为customer_a和customer_b，有两个支持的行为，分别为login和register，那么在本模型在对序列进行处理的时候中将customer_a=>login这一组合当作一个词（Word），然后所有客户和所有行为进行分别枚举组合的全集就是后面在对每个词进行One-hot编码的时候的词典（Dictionary），在本例中，词典为['customer_a=>login','customer_a=>register','customer_b=>login','customer_b=>register']。

除了行为事件本身，事件发生的时间也是非常重要的信息，在传统序列模型用于NLP领域时往往只关注词的先后顺序和上下文关系，并没有时间的概念，本模型也将事件发生时间距离当前的间隔天数也作为一个单独的序列。因为这个序列已经是数值型，在embedding之前无需One-hot编码。

网络结构

前面以及提到，用户的行为序列具备天然顺序的特点，如果将一个用户的每一次行为当作一个词，那么可以将他的一段时间内的完整行为序列当作一句话，天然适合采用NLP领域的算法进行建模。

正是基于这样的考虑，本模型在构建网络结构的时候除了考虑CNN，还考虑了自Google发布Attention Is All You Need论文以来在NLP领域大放异彩的Transformer，分别利用的CNN来捕捉局部行为与用户投保意愿之间的关系，利用Transformer网络编码层中的Attention机制来捕捉全局或长程行为与用户投保意愿之间的关系，最后再用相应的Sigmoid函数来预测用户的投保意愿。整个模型的网络结构图如下：

下面对着这张图对整个网络结构做一个简单的介绍。

从上往下，大致的走向是两路输入分别经过Embedding后保留其中一路──行为事件序列──去过CNN模块，以抽取局部行为特征，与Transformer原论文不同的是本模型并没有采用Position Embedding，而是直接使用事件发生时间的距今时长（单位天）的Embedding来代替，将两个向量进行Add处理以后进入类似于Transformer网络encoder层的带Attention机制的处理模块，来捕捉全局或者长程行为的特征。值得一提的时候，这里对原论文中Position Embedding的替换，不但可以表征事件发生的先后关系，也能表征事件发生时间的间隔关系。后续的训练结果也表明这样替换能够小幅提高模型结果。

经过CNN和Transformer两个子模块处理后的向量在各自池化以后拼接到一起后再喂给DNN和Dropout相间的网络，其中DNN的输出维度不但减小，最后变为1维（Sigmoid函数），对应所需要预测的用户投保意愿。

小结

本模型综合运用现有、成熟的网络结构，并针对数据情况和业务场景进行了适当的改进，如果理解了业务和数据，那么理解模型就更为容易。

目前，本模型已经部署并在相关营销业务场景上面试用大半年，取得了一定的效果，相应的专利也在审查当中。

读书篇

年初指定的阅读目标是20本，截止目前，这个目标是大大完成了，现在一共是完成了32本，完整的书单如下，后面再分类罗列基本典型以及印象比较深刻的谈谈读后感。

分析一下如此大超预期的原因主要如下：

• 首先还是这突如其来的新冠疫情，让刚开年的时候能够有大把的居家隔离时间可以慢慢阅读
• 年中换工作的时候正好买了一个kindle，并且新的上班通勤有大段的地铁时间可以让我来看书
• 第三个原因可能不太明显，我略微觉得看了一定量的书以后，某种程度上我的阅读效率有一定提升，特别在阅读同类型的书的时候

从上面这个书单，可以将今年的阅读书目大致分为这么几类：

• 人物传记类

  • 《列奥纳多·达·芬奇传》
  • 《逝年如水：周有光百年口述》
  • 《The Man Who Solved The Market》
  • 《What It Takes》
  • 《汉密尔顿传》

• 历史类

  • 《1913，一战前的世界》
  • 《时运变迁》
  • 《中国货币史（上、下）》
  • 《抗战外援》
  • 《通胀螺旋》
  • 《二战简史》
  • 《中国哲学简史》
  • 《人类群星闪耀时》

• 认知类

  • 《What’s The Future And Why It’s up to us》
  • 《乌合之众》
  • 《枪炮、病菌与钢铁：人类社会的命运》
  • 《Upheaval》
  • 《价值》
  • 《蒙田随笔》

• 工作相关类

  • 《Linear Algebra and Its Applications》
  • 《俞军产品方法论》
  • 《Machine Learning with Pyspark》

人物传记类

人务传记类是近年来每年会花比较多的时间去阅读的类别。阅读人物传记是快速增长人生阅历的一种方式，特别是不同历史时期、不同国家、不同职业的名人传记，人要活得丰富多彩，但受制于有限的精力以及其它各种主观、客观的束缚，很多事情其实并没有办法去依依切身体会，也不知道当真让你体会到的时候你会如何应对，又能够产生怎么样的感悟，如此这般，不一而足。

达芬奇的好奇心会远远超出你的想象，长寿学者周有光先生对自己百岁人生的各种经历的娓娓道来会让你在面对人生的各种突变时亦更加坦然，如果说爱德华·索普开启了如何从打败庄家到战胜市场的量化之门，那么文艺复兴的詹姆斯·西蒙斯则相当于收集了全量信息建立起预测市场的复杂模型且接近于找到了解析解。

另类投资大佬、黑石创始人苏世民是如何做到眼光如此独到，是如何经营他的人脉？

可能大部分人都跟我一样，美国的几位开国元勋中的华盛顿、富兰克林、杰斐逊都有所耳闻，或略知一二，但是对于首任财政部长、美国金融财政体系和贸易体系的主要奠基人，来自西印度群岛的苏格兰移民────汉密尔顿却知之甚少。他的睿智、激情、对国家的热爱以及雷厉风行的作风，都让我想起了在布雷顿森林体系崩溃以后掌管美联储的保罗·沃尔克。

历史类

培根有云：读史使人明智，对于一个想增加智慧的人，读再多的历史也不为过。

一战打得有点莫名其妙，战争的持续时间、烈度以及所波及的范围，还有最终对世界格局的改变，都大大超出大部分人的预期，而随着美国时任总统伍德罗·威尔逊的十四点提议被搁置，从欧洲铩羽而归，由英、法所主导签订的《凡尔赛条约》所带来的短暂和平，注定也是终止一切和平的和平，为后续更大规模的二战种下祸根。

今年还比较有选择性地选读了一些中国货币史方面的书，彭信威老师的上下两册《中国货币史》自不必说，极力推荐。彭老师旁征博引，全书注释丰富，图文并茂，行文结构统一，便于阅读，稍稍可惜的是只写到了清朝。为了对中国货币史的延续性进行了解，可以继续阅读张嘉璈先生的《通胀螺旋》和阿瑟·N·杨格的《抗战外援》，对民国时期，特别是抗战过程中的货币金融方面的全景记录，民国政府如何从当时侥幸逃过大衰退的银本位在1935年进行了比较成功的法币改革，但最终又因为战争的全面爆发以及战后的一些失败政策进入了无法挽回的通胀螺旋。

认知类

其实放在这一类的书严格说起来比较杂，有讲投资的，有讲人类之前的发展脉络的，也有预测人来未来发展趋势的，也有群体心理学的。印象比较深刻的是《枪炮、病菌与钢铁：人类社会的命运》作者贾雷德·戴蒙德的最新著作《Upheaval》。作者提出了一整套适用于个人以及组织的危机应对的方法论，在疫情期间的当下特别受用，主要有以下十二个步骤：

• 直面危机

• 愿意承担责任

• 明确问题的边界

• 寻求帮助

• 借鉴榜样

• 自我力量/国家认同

• 诚实自我评估

• 应对危机的过往经验

• 耐心

• 自身灵活性

• 核心价值观

• 个人约束条件/国家地缘约束

工作相关类

工作相关的书今年看得比较少，主要是因为大部分都是大部头，有些基本都是手册式的，通常临时用到会直接查一下，全本通读下来的比较少。值得一提的是上半年通读了David C.Lay的《Linear Algebra and its Applications》，复习了以前的线性代数，对一些之前似懂非懂的感念有了更加直观的认识。

另外，因为公司工具链需要，找了一个讲Pyspark的书速度过了一下，放在这里就当凑个数吧。

跑步篇

截止今日，目前大概跑了950km左右，离年初的目前稍微差一点，主要有以下几点原因：

• 疫情的影响使得2月份基本废了；
• 今年8月份的气温过高，使得该月份的跑步距离过低
• 最好11月份的鼻窦炎发作使得整个11月也基本废了

不过虽然总体计划没有完成，但是也创造了几个记录：

• 3月份的单月记录196km作为疫情最艰难时期过后的报复性反弹是创造了单月距离的新高
• 12月份初一个早起去娃学校站岗的契机使得生物钟又适应了早起，使得12月份的单月跑量也创了同期月份的新高

总体来说，跑步方面的还是比较简单，明年继续坚持！

最好提前祝大家2021新年快乐，牛年大吉！

这篇文章是椭圆曲线密码学简介这个系列的第四篇也是最后一篇。

在上一篇文章当中，我们了解了两种算法ECDH和ECDSA，并且也知道椭圆曲线离散对数问题是如何在安全性方面发挥重要作用的。不过，你如果留心的话，对于离散对数问题的复杂度我们还没有严格意义上的数学证明，只是主观上面认为它是“hard”，但具体是到什么程度还不知道，本文的前半部分会给你一个基于当前技术求解离散对数问题有多“hard”的一个大致认识。

第二部分，我们试着回答这个问题：在RSA等其它基于幂模运算的加密系统工作得好好的时候为什么我们还需要椭圆曲线密码系统。

离散对数问题破解（Breaking the discrete logarithm problem）

接下来我们会看到两个当前最有效的椭圆曲线离散对数求解算法：baby-step,giant-step算法和Pollard's rho算法。

在开始之前，先让我们来回顾一下什么是离散对数问题：给定两个点$P$和 $Q$，寻找整数$x$满足$Q=xP$，其中这些点都属于基点为$G$阶为$n$的椭圆曲线子群。

Baby-step giant-step

在进入具体的算法之前，我们快速过一下：对于任意一个正整数$x$，我们总可以将它写成这样的形式：$x=am+b$，其中$a,m,b$是任意整数。举个例子，对于10我们可以这样写10 = 2·3 + 4。

脑子里面有了这根弦以后，我们可以离散对数问题进行重写：

baby-step giant-step算法是一个在中间会合的算法。比起逐个计算每一个$x$来找到满足方程要求的$x$，对于$bP$我们可以计算得更少，对于$Q-amP$也可以计算得更少，直到我们找到一个满足条件的。算法的具体工作步骤如下：

• 计算$m=\lceil \sqrt{n}\rceil$
• 对于$0,...,m$中的每一个$b$，计算$bP$并将结果保存在一张哈希表当中
• 对于$0,...,m$中的每一个$a$：
  • 计算$amP$
  • 计算$Q-amP$
  • 检查哈希表并寻找是否存在一个点$bP$满足$Q-amP=bP$
  • 如果存在这样的表，那么我们就找到了这样的一个整数$x=am+b$

正如你所看到的，我们计算$bP$时的系数$b$用很小的步长，但在第二部分当中，我们计算$amP$使用很大的步长，这两部分分别就是算法“baby”部分和“giant”部分。具体它可以如下图所示：

为了理解这个算法为何有效，先暂时不考虑点$bP$被缓存起来了，我们直接来看方程$Q=amP+bP$，看以下步骤：

• 当$a=0$时，我们检查$Q$是否等于$bP$，其中$b$是 $0,...,m$之间的一个整数。这样子，我们就可以将$Q$与所有从$0P$到 $mP$之间的点进行比较
• 当$a=1$时，我们检查$Q$是否等于$mP+bP$，我们就可以将$Q$与所有从$mP$到 $2mP$之间的点进行比较
• 当$a=2$时，我们可以将$Q$与所有从$2mP$到 $3mP$之间的点进行比较
• …
• 当$a=m-1$时，我们可以将$Q$与所有从$(m-1)mP$到 $m^2P=nP$之间的点进行比较

总结一下，我们最多在$2m$步的加法和乘法当中检查完所有从$0P$到 $nP$的点，精确的说baby steps是$m$步，giant steps最多$m$步。

如果将哈希查表的时间复杂度考虑为$O(1)$，不难发现整个算法的时间和空间复杂度均为$O(\sqrt{n})$，如果你考虑了字节的长度，则是$O(2^{k/2})$。这依然是指数级别的时间复杂度，不过比起暴力破解还是要好不少。

Baby-step giant-step in practice

在实践当中我们可以看看$O(\sqrt{n})$到底意味着什么。我们先找一个标准曲线：prime192v1。这条曲线的阶为0xffffffff ffffffff ffffffff 99def836 146bc9b1 b4d22831。这个数的平方根大约为7.922816251426434·$10^{28}$

现在想象一下在一个哈希表当中存储$\sqrt{n}$个点，假设每个点需要32字节的空间，那么我们的哈希表需要大约2.5·$10^{30}$字节的内存空间。目前整个世界的存储能力比起这个需求都相差甚远，即便每一个点只需要1个字节的存储空间，我依然离将它们全部存下来相去甚远。

更加令人绝望的是prime192v1是阶数最低的曲线。另外一个来自NIST的标准曲线的阶数高达6.9·$10^{156}$，其时间和空间的复杂度更加不可想象。

Playing with baby-step giant-step

原作者也写了一段python代码实现了baby-step giant-step算法。显然，它只能在一些阶数比较小的曲线上面工作，不要试着去采用secp521r1，否则会出现内存错误。

这段代码可以产出下面这样的一个输出：

Curve: y^2 = (x^3 + 1x - 1) mod 10177
Curve order: 10331
p = (0x1, 0x1)
q = (0x1a28, 0x8fb)
325 * p = q
log(p, q) = 325
Took 105 steps

Pollard’s $\rho$

Pollard's rho是计算离散对数问题的另外一个算法。和baby-step giant-step算法一样，它的时间复杂度也是$O(\sqrt{n})$，但是它的空间复杂度仅仅为$O(1)。如果baby-step giant-step无法解决离散对数问题是因为巨大的存储空间需求，那么Pollard's rho是否可以呢？让我们拭目以待。

首先，再次强调一下离散对数问题的形式：给定$P$和 $Q$，寻找$x$满足 $Q=xP$。在Pollard's rho算法当中，我们求解一个略微不同的问题：给定$P$和 $Q$，寻找整数$a,b,A,B$满足 $aP+bQ=AP+BQ$。

当上面这四个整数找到以后，我们可以结合方程$Q=xP$解除$x$：

将$P$消除就可以得到$x$。不过在这样做之前，我们必须记住我们的子群是以阶为$n$的循环子群，因此在点乘法当中使用的系数是要进行模$n$处理的，具体的$x$求解过程如下：

Pollard's rho算法的操作原则非常简单：我们产生一系列的伪随机点$X_1,X_2,...$，其中$X=a_iP+b_iQ$。这个序列可以通过一个伪随机函数$f$产生：

$$(a_{i+1},b_{i+1})=f(X_i)$$

伪随机函数$f$以最新的点$X_i$作为序列的输入，然后以系数$a_{i+1}$和 $b_{i+1}$作为输出。由此，我们可以计算$X_{i+1}=a_{i+1}P+b_{i+1}Q$，随后，我们可以再次以$X_{i+1}$作为输入得到新的系数，这样不断重复。

至于伪随机函数$f$内部是如何工作的并不重要，当然，确定的函数比起其它不确定的可以更快地获得结果。我们真正在乎的是$f$基于前一个点来确定下一个点，这样所有的系数$a_i$ 和$b_i$对我们而言变成已知。

用这样的函数$f$，我们迟早会在我们的序列当中看到一个循环，从表达式上面看就是得到一个点$X_j=X_i$，如下图所示：

我们必须看到循环的原因非常简单：点的数目是有限的，因此我们迟早会重复。一旦我们看到循环在哪里开始，我们可以用这个上面的方程来求解离散对数问题。

接下来问题变成我们如何高效的检测到这个循环呢？

Tortoise and Hare（快慢指针法）

为了检测循环，我们有一个高效的方法：tortoise and hare算法，也被叫作Floyd's cycle-finding算法。下面的图片展示了torise and hare算法的操作原则，也是Pollard's rho算法的核心。

我们基于曲线$y^2\equiv x^3+2x+3(\mod 97)$和点$P=(3,6)$ 以及点$Q=(80,87)$.这些点属于一个阶为5的循环子群。我们以不同的速度在一个序列对中进行工作直到找到两个不同的整数对$(a,b)$和 $(A,B)$产生同一个点。在这个例子当中，我们找到整数对$(3,3)$和 $(2,0)$满足这个要求，然后我们可以计算该对数问题得到$x=(3-2)(0-3)^{-1}\mod 5=3$，而事实上我们确实有$Q=3P$。

我们让tortoise和hare从序列的左边走到序列的右边，绿色的是走得慢的tortoise，一步一步地走，红色的hare每次跳过一个点得走，本质上是快慢指针法来寻找循环开始的地方。

一段时间以后，tortoise和hare会找到相同的点，但是系数对却不相同。或者用方程来表达，tortoise找到的对是$(a,b)$，hare找到的对是$(A,B)$，且满足$aP+bQ=AP+BQ$。

非常容易看出这个算法只需要固定大小的内存空间$O(1)$。但是计算时间依然开销很大，可以从概率的角度来证明时间复杂度为$O(\sqrt{n})$。严格的证明是基于birthday paradox，指的是两个人生日相同的概率，这和我们所考虑的两个不同的整数对$(a,b)$得到相同的点的概率类似。

译者注，根据文章最后的留言讨论，实际上, 原作者关于 Pollard’s ρ 算法的部分讲解是不够准确的。根据作者的前面的说法系数(a,b)总由它前面点决定, 这也就是说, 相同点一定生成相同的系数, 而 GIF 动图中的点(3,6)第一次生成了 a=3,b=3 但第二次生成了 a=2, b=0. 这与前面的说法是矛盾的，对照作者提供的python代码，下一个点的系数并非由前一个点生成, 而是由前一个点和前一个点的系数共同决定。而下一个点又能由前一个点决定, 系数和点的不同循环周期创造了找到问题的解的可能。

Playing with Pollard’s $\rho$

原作者有一段使用Pollard's rho算法的python代码，这不是原始Pollard's rho算法的实现，只是一个小小的变种，作者使用了更高效的产生伪随机序列的方法。代码里面包含了一些有用的注释，如果你对算法的详细细节有兴趣，最好读一读。

和baby-step giant-step算法一样，也仅仅在一些小的椭圆曲线上面有效工作，并产生类似的输出。

Pollard’s $\rho$ in practice

由于空间需求无法满足，baby-step giant-step在实践中是无法使用的。而Pollard's rho只需要很少的空间，那么他的实用性如何呢？

Certicon在1998年发起了一个在位数从109到359的椭圆曲线上面计算离散对数问题的挑战，最终只有109位的曲线被成功破解，且最好的成功尝试是在2004年提交的，Wikipedia上面的记录如下：

The prize was awarded on 8 April 2004 to a group of about 2600 people represented by Chris Monico. They also used a version of a parallelized Pollard rho method, taking 17 months of calendar time.

正如我们之前所说，prime192v1是一个最小的椭圆曲线。我们也知道Pollard's rho的时间复杂度是$O(\sqrt{n})$。如果我们使用与Chris Monico相同的技术（同样的算法，同样的硬件，数量相同的机器），那么在prime192v1上面计算离散对数问题需要化多长时间呢？

$$17 \,\mathrm{months} \times \frac{\sqrt{2^{192} } }{\sqrt{2^{109} } } \approx 5\cdot 10^{13} \,\mathrm{months}$$

这个数字可以清楚的说明使用这样的技术来破解离散对数问题是多么的困难。

Pollard’s $\rho$ vs Baby-step giant-step

将baby-step giant-step代码和Pollard’s rho代码和brute-force代码放到一起组成第四段代码来比较他们之间的性能。

运行第四段代码可以对比所有的算法在一个阶数较小的曲线上面求解一个离散对数问题所需要的时间对比：

Curve order: 10331
Using bruteforce
Computing all logarithms: 100.00% done
Took 1m 12s (5182 steps on average)
Using babygiantstep
Computing all logarithms: 100.00% done
Took 0m 3s (152 steps on average)
Using pollardsrho
Computing all logarithms: 100.00% done
Took 0m 8s (139 steps on average)

正如我们所期望的，暴力法（brute-force）比起另外两种算法要慢很多。Baby-step giant-step是最快的，Pollard's rho要比它慢一倍，虽然它所消耗的内存更少步数也更少。

再来看运算步数，暴力法平均需要5182步，这个数字非常接近曲线阶数的一半。Baby-step giant-step和Pollard's rho平均分别需要152和139步，两者都非常接近阶数的平方根：$\sqrt{10331}=101.64$。

Final consideration

在介绍这些算法的时候，我已经给出了很多的数字。阅读的时候需要给他们足够的重视：算法可以有很多种方式来进行优化。硬件可以提升，可以构建专用硬件设备。

目前看起来不可行的方法，并不意味着后续不能提升。更不是说已经没有其它更好的方法存在。

Shor’s algorithm

如果当前的技术不合适，那以后的呢？确实，事情的发展让人有些担忧：存在一种量子算法可以在多项式的时间复杂度内解决离散对数问题：Shor’s algoritm的时间复杂度是$O((\log n)^3)$，空间复杂度是$O(\log n)$。

量子计算机目前还没有成熟到足以运行Shor’s这样的算法，但是抗量子的加密算法现在看来将会更加有研究价值，今天我们用于加密的东西在明天可能变得不再安全。

ECC and RSA

现在让我们忘记量子计算，把它当作一个严重问题的日子和远着呢！接下来要回答的问题是：既然RSA已经可以很好的工作，为什么还要大费周章地去捣鼓椭圆曲线呢？

NIST给出了一个简洁的答案，提供了一个取得相同等级的安全性能时两者密钥所需字节大小的对比表格：

需要注意的是，在RSA的密钥长度和ECC的密钥长度之间并没有线性关系，换言之，如果我们翻倍RSA的密钥长度，并不意味着必须对ECC的密钥长度进行翻倍。这个表格不仅告诉我们ECC使用更少的内存，而且密钥的产生和签名验证都更快。

那么这是什么原因呢？在计算离散对数问题时我们比较快的算法是前面介绍过的Baby-step giant-step算法和Pollard's rho算法，而在RSA的计算当中，我们有着更快、更高效的算法。特别是general number field sieve：一个整数因子分解算法可以用于计算离散对数，该算法是目前最快的因子分解算法。

所有这些都可以应用与其它基于幂模运算的加密系统，包括DSA，D-H和EIGamal等等。

Hidden threats of NSA

接下来是较难的一部分。到目前我们一直在讨论算法和数学。下面让我们把人考虑进去，这将会让问题变得更加复杂。

首先让我们放出问题，问题是：NIST曲线的随机数种子是哪里来的？答案是令人失望的：我们并不知道。这些种子并没有经过大家一致讨论而被认为是正当的。

是不是有这种可能，NIST发现了大量的弱椭圆曲线，然后尝试了大量可能的种子找到了一个有漏洞的曲线？这个问题我无法回答，但是却非常重要且关乎法律。我们知道，NIST确实成功标准化了至少一个有漏洞的随机数生成器。或许他们也能够标准化出一系列的含有漏洞的弱椭圆曲线。对于问题的答案，我们依然无法知晓。

尤其重要的是，需要特别理解的是“可验证的随机”和“安全”并不是等价的。不论你的离散对数问题有多难，你的密钥有多长，如果算法本身被破解了，皮之不存，毛将焉附，那么我们也是束手无策的。

基于这一点的考虑，RSA胜出。它并不需要特别的可能可以作弊的领域参数。在我们不信任任一权威机构以及自己无法构建我们自己的领域参数的时候，RSA以及其它基于幂模运算的加密系统是一个好的替代选择。如果你问：是的，传输安全层（TLS）可以使用NIST的曲线。如果你检查一下google，你可以看到连接就是使用了ECDHE和ECDSA，基于prime256v1的认证证书。

That’s all!

最后，希望大家能够喜欢这一系列的文章。我的目的是能够给大家介绍基本的知识、术语和惯例来理解当前的ECC。如果能够达成我的目标，你现在可以理解现存基于ECC的加密系统并将你的知识延伸到阅读一些其它不那么友好的文档。当撰写这一系列的文章的时候，我本可以跳过一些详细细节，使用一个更简单的术语，但我觉得这样做你将无法理解。我相信我在简单和面面俱到之间做了很好的权衡。

务必注意，仅仅通过阅读本系列文章，你并不能实现安全的ECC加密系统，为了确保安全性，我们需要了解很多细微但重要的细节。记住Smart’s attack和Sony’s mistake──这两个例子应该可以让你知道产生不安全的算法是多么的容易，不安全的算法被人恶意利用也是多么的容易。

那么，后面如果有志于更加深入的探索ECC的世界，应该从哪里开始呢？

首先，我们以及了解了质素域上的Weierstrass椭圆曲线，但是你必须知道还有其它类型的曲线和域，特别是以下几种：

• 二元域上面的Koblitz曲线：它们是形如$y^2+xy=x^3+ax^2+1$（其中$a$是0或1）定义在包含$2^m$（其中$m$是质数）个元素的有限域上的椭圆曲线。它们可以实现特别高效的点加和标量乘法。标准化的 Koblitz 曲线有 nistk163,nistk283,nistk571（这三条曲线分别定义在 163, 283 和 571 位的域上）
• 二元曲线：这类曲线与Koblitz曲线类似，它们是形如$x^2+xy=x^3+x^2+b$（其中$b$是整数，通常来源于一个随机数种子）。顾名思义，二元曲线被限制在二元域上。标准化的二元曲线有 nistb163, nistb283 和 nistb571。 必须要说明的是, 有越来越多的担忧认为 Koblitz 曲线和二元曲线可能并没有质数曲线那么安全
• Edwards曲线：它们形如$x^2+y^2=1+dx^2y^2$（其中$d$是0或1）。它们特别有趣，不仅在于点加法和标量乘法特别快，而且计算点加的公式在任何情况下（$P \ne Q, P = Q, P = -Q$）都是一样的。该特性充分考虑了旁路攻击的可能性，即当你在测量标量乘法所耗费的时间以后用这个计算所耗费的时间来猜测标量参数的一种攻击方式。Edwards相对较新（2007年出现），目前尚未有Certicom或NIST之类的权威机构对其进行标准化
• Curve25519和 Ed25519 是两种分别为 ECDH 和 ECDSA 的某种变体特别设计的椭圆曲线。 和 Edwards 曲线一样, 这两种曲线也很快速并且能够抵御旁路攻击。也和 Edwards 曲线一样, 这两种曲线也尚未被标准化所以我们不能在流行软件中看到它们的身影（除了 OpenSSH, 它从 2014 年起支持了 Ed25519 密钥对）

如果你对 ECC 的实现细节感兴趣, 那么我建议你阅读 OpenSSL 和 GnuTLS 的源码。

最后，如果你对数学细节感兴趣，而不是算法的安全性和有效性，你必须知道：

• 椭圆曲线是亏格（genus）为 1 的代数变体
• 无限远处的点的概念来源于影射几何（projective geometry） 并可以通过齐次坐标（homogeneous coordinates）来表现 （尽管椭圆曲线并不需要影射几何中的绝大部分特性）

更别忘记研究有限域（finite fields）和场理论（field theory）。

如果对这些主体感兴趣，可以通过上面的这些关键字去了解。

现在这个系列文章就正式结束了，感谢大家的阅读，下次再见！

译者后记

原作者Andrea Corbellini 是一个善于总结和表达且喜欢与人互动的工程师, 通过阅读和翻译他的文章，让我受益非浅。从最基本的曲线方程，结合代数和几何两个维度，从连续域到离散域，循序渐渐，步步深入，慢慢揭开ECC的神秘面纱。看了网上不少这方面的博客，不得不少，从质量和可理解性上，他的系列文章是最高的，而且到目前，我也看到不仅仅是我一个人还在翻译学习他的文章。另外，在文章的最后，他的给出了很多后续扩展阅读的方向，从数学上的，从算法上的，从工程实现上的……等等，继续学习，为了求知而求知，与各位有兴趣的读者共勉！

译者注

本文承接上文所引出的离散对数问题，在加密和数字签名两个场景就离散对数问题的具体应用方式展开具体的讨论。首先介绍了用于定义一个特定椭圆曲线离散域的子群的领域参数，然后基于这组领域参数分别在加密领域介绍ECDH算法，在数字签名领域介绍ECDSA算法。

领域参数（Domain parameters）

我们的椭圆曲线算法是在一个定义在一个椭圆曲线离散有限域的循环子群上面的，因此，我们的算法需要以下参数：

• 标识有限域规模的素数$p$
• 椭圆曲线方程的系数$a$和 $b$
• 产生子群的基准点$G$
• 子群的阶$n$
• 子群的协因子$h$

一言以蔽之，我们算法的领域参数就是一个包含六个元素的元组$(p,a,b,G,n,h)$

随机曲线（Random curves）

当我们在说离散对数问题是“hard”的时候，其实也并不完全对。有些特定的椭圆曲线所对应的离散对数问题可以用特殊目的的算法进行高效地破解。举个例子，所有满足$p=hn$的曲线（有限域的阶与椭圆曲线的阶相同）在Smart’s attack面前是脆弱的，该算法可以用经典计算机在多项式时间复杂度内解决离散对数问题。

现在，假设我给你一条椭圆曲线的领域参数。那么存在这样一个可能性，我已经发现了一些你并不知道的难度较低的椭圆曲线，并且还可能构思了一些破解我所给定的曲线的算法。我要如何向你证明我并不知道这条曲线的任何弱点呢？换句话说，我如何向你确保我所给你的这条曲线是安全的呢？

为了解决这类问题，有时候我们需要一个额外的领域参数：种子参数。这是一个用于产生方程系数和/或基准点的随机数。这些参数通过计算种子的哈希获得。众所周知，哈希的计算是“easy”的，但是求逆是“hard”的。

通过种子产生的曲线可以被认为是随机的。这种通过哈希来产生参数的原则被称为nothing up my sleeve，通过哈希计算产生的数可以在根本上排除其具有掩藏特性的嫌疑，在密码学当中被大量的使用。

从某种程度上说，这个技巧可以确保给定的曲线没有被特殊的认为加工以向其作者暴露其脆弱性。事实上，如果我同时给你一条曲线和一个种子，这意味着我并不能随意选择参数，你也能够相对比较明确其实我并不能对该曲线进行特殊目的的攻击。

用于产生和验证随机曲线的标准算法在ANSI X9.62当中有进行描述，主要基于SHA-1，如果你对此比较好奇，你可以阅读这篇文档：a specification by SECG，了解产生可验证的随机曲线的算法。

原作者写了一段简单的Python 脚本来验证当前所有基于OpenSSL的随机曲线，强烈推荐看一下。

椭圆曲线密码学（Elliptic Curve Cryptography）

前面经过了很多的铺垫，不过最终我们来到了这里，可以讲下椭圆曲线密码学到底是什么了，简洁的版本如下：

• 私钥（private key）是从$\{1,...,n-1\}$随机选取的一个正整数$d$，其中$n$是子群的阶
• 公钥（public key）则是点$H=dG$，其中$G$是子群的基准点

你看，如果我们知道$d$和 $G$，结合其它的领域参数，求解$H$是“easy”的。但是，如果我们知道$H$和 $G$，求解私钥$d$是“hard”的，因为这需要我们解决离散对数问题。

接下来我们介绍两个基于椭圆曲线密码学的公钥算法：

• ECDH（Elliptic Curve Diffie-Hellman）：主要用于加密
• ECDSA（Elliptic Curve Digital Signature Algorithm）：主要用于数字签名

ECDH加密算法（Encryption with ECDH）

ECDH是Diffie-Hellman algorithm基于椭圆曲线的变种，更像是一个key-agreement protocol，而不是一个加密算法。因为，ECDH仅仅定义了各种密钥如何产生以及在各方之间如何交换，具体如何用这些密钥来对数据进行加密由用户自己决定。

这个问题是如下解决的：双方（还是喜闻乐见的Alice and Bob）想安全的交换信息，第三方可能截取信息，但可能无法进行解码。这是传输层安全（TLS）设计的原则之一，下面来一起看一个例子。

具体工作原理如下：

• 第一步，Alice和Bob产生各自的私钥和公钥，Alice的私钥和公钥分别为$d_A$和 $H_A=d_A G$，Bob的私钥和公钥分别为$d_B$和 $H_B=d_B G$。需要注意的是，Alice和Bob使用相同的领域参数：在相同的有限域内定义的相同的椭圆曲线上的相同的基准点$G$

• Alice和Bob通过不安全的渠道交换他们的公钥$H_A$和 $H_B$，第三方可能截取$H_A$和 $H_B$， 但是无法仅仅通过公钥避开离散对数难题而推导出私钥$d_A$和 $d_B$

• Alice用自己的私钥和Bob的公钥计算$S=d_A H_B$，然后Bob也用自己的私钥和Alice的公钥计算$S=d_B H_A$，事实上，对于Alice和Bob，这个$S$是相同的：

$$\begin{aligned}S &= d_A H_B \\ &= d_A(d_B G) \\ &= d_B(d_A G) \\ &= d_B H_A\end{aligned}$$

截取信息的中间人，只知道$H_A$和 $H_B$以及其它的领域参数，但是依然无法获得在Alice和Bob之间共享的秘密信息$S$。这个问题就是众所周知的Diffie-Hellman problem，可以具体表述如下：

给出三个点$P$，$aP$ 和$bP$，求$abP$

或者等价于：

给出三个整数$k$，$k^x$ 和$k^y$，求$k^{xy}$

后面这个等价基于幂模运算，在原始的Diffie-Hellman算法当中使用。

Diffie-Hellman problem背后的基本原理在Youtube video by Khan Academy当中也有解释，一会儿也会对采用幂模运算的原始Diffie-Hellman算法进行介绍。

采用椭圆曲线的Diffie-Hellman problem被认为是“hard”的，可以等同于离散对数问题的难度级别，不过并没有数学上面的严格证明。我们能够确认的是并没有比离散对数更难，因为解决离散对数问题是解决Diffie-Hellman problem的一种方式。

现在，Alice和Bob已经获得了共享的机密信息，这样他们就可以用对称加密的方式进行数据交换。

举个例子，Alice和Bob可以使用$S$的 $x$坐标作为安全加密算法AES或者3DES对信息进行加密的密钥。

这个和TLS的做法类似，区别在于，TLS将坐标于其它相关的数字连接起来，然后计算连接结果字符串的哈希。

ECDH应用举例（Playing with ECDH）

这段代码可以用来计算基于特定椭圆曲线的公钥和私钥以及共享加密信息。

不同于我们之前所使用的例子，这段代码使用了一个标准的曲线，而不是一个在一个很小域上面的简单曲线。这个曲线是secp256k1，也是比特币里面用于数字签名的曲线。具体的领域参数如下：

• $p$ = 0xffffffff ffffffff ffffffff ffffffff ffffffff ffffffff fffffffe fffffc2f
• $a$ = 0
• $b$ = 7
• $x_G$ = 0x79be667e f9dcbbac 55a06295 ce870b07 029bfcdb 2dce28d9 59f2815b 16f81798
• $y_G$ = 0x483ada77 26a3c465 5da4fbfc 0e1108a8 fd17b448 a6855419 9c47d08f fb10d4b8
• $n$ = 0xffffffff ffffffff ffffffff fffffffe baaedce6 af48a03b bfd25e8c d0364141
• $h$ = 1

这些参数来自OpenSSL 源码

这段代码非常简单，包含了一些我之前描述过的算法：点加法、翻倍与累加、ECDH等等。建议阅读并跑一下，代码的输出如下：

1
2
3
4
5
6

Curve: secp256k1
Alice's private key: 0xc72e432030e533d59619f1ccb345015d874c5397e3fce829847b010e7f75e1a9
Alice's public key: (0x757abaa45b6938d6db9b91ca66f9ff7bac0e05ed78aa89a22a2a6a9d3bce0da4, 0x8815d45af0415f6d8d9506b15e989506968f159bf76b99a10f5200955ecba331)
Bob's private key: 0xce6f22b6d8dd621d23d0f1a6219e36619df2531d4985e47eb0c154375229e896
Bob's public key: (0x524a4c7666ec851b60a0540e24b66da2029d3baf8cb792d4e1a8f413a8a365a2, 0x39ded69ea9a5aac69fb53b736c310c267e16c3c0863576bd5aa4ebefb9b8b5db)
Shared secret: (0x68054720a6a2c983e95365c1addac5f5f5f5bd8239dce8757630247bb3368812, 0x7185800dc5f2010bb3f71f0c180d6b14f85a55302679f558d103277eaf55cd93)

Ephemeral ECDH

可能有些人除了ECDH，还听说过ECDHE。在ECDHE当中的“E”代表“Ephemeral”，指的是密钥的交换是暂时的。

举个ECDHE的应用例子，在TLS当中，服务器和用户端在每次建立起连接的时候都产生密钥对，然后用TLS证书对密钥进行签名后在双方进行交换。

ECDSA数字签名算法（Signing with ECDSA）

关于数字签名算法──ECDSA，在这篇文章已经有了较为详细的描述，不过为了行文的完整性，这里还是再复述一遍。

我们考虑这样的一个场景：Alice想用他的私钥$d_A$对一个信息进行签名，然后Bob想用Alice的公钥$H_A$来验证这个签名。没有其它人，只有Alice才能够产生这样有效的签名。因为Alice的公钥可以公开，因此，每个人可以检查这个签名。

再一次，Alice和Bob使用相同的领域参数。接下来要看的算法是ECDSA，应用与椭圆曲线的数字签名算法的变种。

ECDSA工作在加密信息的哈希上面，而不是信息本身。哈希函数的选择由用户自己确定，显然，为了确保安全性，还是需要采用密码级安全的哈希函数。加密信息的哈希需要进行截取以确保哈希的字节长度与子群的阶$n$相等，被截取的哈希是一个正整数，通常用$z$来表示。

Alice采用的信息签名算法工作流程如下：

• 从$\{1,...,n-1\}$中随机选择一个整数$k$
• 计算点$P=kG$，其中$G$是领域参数当中的基点
• 计算数字$r=x_P \mod n$，其中$x_P$是点$P$的 $x$坐标
• 如果$r=0$，选择另外一个$k$
• 计算$s=k^{-1}(z+r d_A) \mod n$，其中$d_A$是Alice的私钥，$k^{-1}$是 $k$模 $n$的乘法逆元
• 如果$s=0$，则选择另外一个$k$继续

最后$(r,s)$是数字签名对。

用朴实的语言来描述，该算法首先产生机密信息$k$，然后将这个机密信息用椭圆曲线上面的点乘法（根据之前的知识，这个算法也是单向容易，反向难）隐藏在$r$当中。然后将$r$通过方程$s=s=k^{-1}(z+r d_A) \mod n$捆绑在加密消息哈希当中。

需要注意的是为了计算$s$，我们需要计算$k$ 模$n$的逆元，我们已经在前面讲到只有在$n$是素数的时候这个算法才能够有效。如果子群有非素数的阶，那么ECDSA是不能使用的。几乎所有标准曲线都用一个素数阶，而那些具有非素数阶的曲线并不适合于ECDSA。

数字签名验证（Verifying signatures）

为了对数字签名进行验证，我需要Alice的公钥$H_A$，截取后的哈希$z$，当然，也需要签名对$(r,s)$，主要分以下三步：

• 计算$u_1=s^{-1}z \mod n$
• 计算$u_2=s^{-1}r \mod n$
• 计算点$P=u_1G+u_2 H_A$

如果$r=x_P \mod n$则签名是有效的

算法的正确性（Correctness of the algorithm）

初看起来，隐藏在算法背后的逻辑并不是那么清晰，不过，当我们将目前所有列出的方程都放到一起就清楚明了了。

让我们从$P=u_1G + u_2 H_A$开始，我们知道，从公钥的定义可知，$H_A=d_A G$，其中$d_A$是私钥，我们可以将式子改写如下：

$$\begin{aligned}P &= u_1G + u_2 H_A \\ &= u_1 G + u_2 d_A G \\ &= (u_1+u_2 d_A)G\end{aligned}$$

再次利用$u_1$和 $u_2$的定义，我们可以将式子改写如下：

$$\begin{aligned}P &= (u_1+u_2 d_A)G \\ &= (s^{-1}z+s^{-1}rd_A)G \\ &= s^{-1}(z+rd_A)G\end{aligned}$$

这里为了简化，我们将后续的$\mod n$省略，另外，因为由$G$产生的循环子群的阶为$n$，因此，$\mod n$是多余的。

在前面，我们定义$s=s=k^{-1}(z+r d_A) \mod n$，方程两边都乘以$k$在除以$s$，我们得到$k=s^{-1}(z+r d_A)\mod n$，将这个方程代入前面计算$P$的方程，我们有：

$$\begin{aligned}P &= s^{-1}(z+rd_A)G \\ &= kG\end{aligned}$$

这个方程与前面算法第二步当中产生签名算法计算$P$的方程是相同的，那意味着产生签名和验证签名的时候，我们计算同一个点$P$，只是采用了不同的方程，这也是算法有效的原因。

ECDSA应用举例（Playing with ECDSA）

当然，原作者同样写了一段python代码用来签名的产生和验证。这段代码与ECDH的代码有部分相同，特别是领域参数和公/私钥对产生算法。

下面是这段代码可能的一个输出内容：

1
2
3
4
5
6
7
8
9
10
11
12
13
14

urve: secp256k1
Private key: 0xdef65e81fb94235e4e52d89c2cd29718bb42c8b944700c26c4cac2f16e5f0d73
Public key: (0x42186bb04e3070de0370eff1aa4b88d6e20db8013a2daf16146119bafb211290, 0x62d3d86ee0469feab6b3fff7a295084392ef506d6836a920583520aa7e40d20b)

Message: b'Hello!'
Signature: (0x77c9fcd26adec8871bd9983c7e3aaed841e15095c2c25b4a0c46f3c4448ae7a5, 0xeb058fb78abdad4e316b44c09f1af610c389c8ae29b6f4ad19489e1c903a6807)
Verification: signature matches

Message: b'Hi there!'
Verification: invalid signature

Message: b'Hello!'
Public key: (0x7526ae6817faace403ac5dfddd6adbb3ca42a04ad58fc418d43eca4ea1c08cbd, 0x11c8b82217d09e046529ad0692859be73c3cbeca36254fa9084dccf2c8b35cc3)
Verification: invalid signature

你可以看到，这段代码首先对一段信息进行签名（字节信息“Hello!”），然后对签名进行验证。然后，试图用同样的签名对另外一段信息（“Hi there”）进行验证且失败了。最后，试图采用另外一个随机的公钥对同样的信息进行验证也失败了。

$k$的重要性（The importance of $k$）

当我们产生ECDSA签名的时候，保持随机数$k$的机密性和随机性非常重要。如果我们在多个签名使用了同一个$k$，或者我们的随机数生成器某种程度上是可预测的，则很容易受到攻击而泄漏我们的私钥！

下面举一个多年前sony公司犯过的一个错误。通常，PS3平台只能运行Sony用ECDSA签名过的游戏。这样，如果我想为我的PS3平台创建一个新游戏，在没有Sony的签名的情况下，我无法进行私自发布。但是，问题在于所有Sony产生的签名使用了同一个随机数$k$。

在这种情况下，我们只要购买两个签名过的游戏，抽取出它们的哈希$z_1$和 $z_2$以及签名对（$(r_1,s_1),(r_2,s_2)$），和领域参数一起就可以破解出Sony的私钥$d_S$。下面是具体步骤：

• 首先，$r_1=r_2$，因为$r=x_P \mod n$且 $P=kG$对于两个签名是一样的
• 从$s$的定义可以推导出$(s_1-s_2)\mod n = k^{-1}(z_1-z_2)\mod n$
• 上式两旁都乘以$k$，有：$k(s_1-s_2)\mod n=(z_1-z_2)\mod n$
• 再两边除以$(s_1-s_2)$得到：$k=(z_1-z_2)(s_1-s_2)^{-1}\mod n$

最后的式子可以让我们只用两个哈希和对应的签名来计算$k$，得到$k$以后我们可以使用$s$的定义方程计算私钥：

$$s=k^{-1}(z+rd_S)\mod n \rightarrow d_S=r^{-1}(sk-z)\mod n$$

即便$k$不是静态的，如果是可预测的，同样的技术也可以用于对私钥的破解。

预告

下一篇，也是这个系列的最后一篇，主要关注离散对数问题的求解、若干椭圆曲线密码学的重要问题以及RSA与ECC的比较等等，希望大家不用错过。

参考资料

• Elliptic Curve Cryptography: ECDH and ECDSA
• Diffie-Hellman algorithm
• 数字签名算法
• 密码级安全的哈希函数
• sony公司犯过的一个错误

译者注

本文承接上文所讨论的椭圆曲线，并将曲线的定义域从实数域缩小到了有限域，引出离散对数问题

首先介绍了有限域的定义，并给出了一种基于模运算的有限域$\mathbb{F}_p$

然后对离散域上的椭圆曲线重新进行群的构建

接着介绍了群的阶数的概念，介绍了计算椭圆曲线上的群的阶数的算法，并讨论群和子群的阶数的联系

随后展示了如何用椭圆曲线上的任意一点，通过计算点的倍数的方法，构造一个循环子群

最后介绍了一种算法，可以在椭圆曲线上找到一个基点，并通过该基点生成一个阶数为大质数的循环子群

在上一篇文章当中，我们已经了解了在实数域的椭圆曲线可以用来定一个群。特别的，根据群的定义，我们在实数域上面的椭圆曲线定义了一个点加法的二元操作：对于曲线上面对齐的三个点，三点累加之和为0。并对加法运算的几何方法和代数方法进行了推导。

然后在加法的基础上面介绍了标量乘法，并找到了一种计算标量乘法的简单算法：翻倍和累加，可以使得算法时间复杂度到$O(\log n)$。

接下来，我们将椭圆曲线限定在有限域内，然后看看会有什么变化。

模$P$的整数域（The field of integers modulo p）

有限域，顾名思义，就是一个包含有限个元素的集合。一个有限域的具体例子就是模$p$的整数域，其中$p$是一个素数。通常它可表示为$\mathbb{Z}/p,GF(p),\mathbb{F}_p$等，为了简洁，本文采用最后一种符号$\mathbb{F}_p$。

在有限域中，我们有两种二元操作：加法$(+)$和乘法$(\times)$。两者都满足封闭性、结合律和交换律。对这两个操作，存在独一无二的单位元，且对每一个元素都有一个唯一的逆元。

最后，乘法相对加法满足分配率：$x\times (y+z)=x\times y+x\times z$

模$p$的整数域是包含所有从0到$p-1$的整数，即集合$\mathbb{F}_p$是定义在整数集$\{0,1,2,...,p-1\}$上。在$\mathbb{F}_p$上面的加法和乘法以模运算（modular arithmetic）的方式进行工作。下面是一些在$\mathbb{F}_{23}$上面的操作实例：

• 加法：$(18+9) \mod 23=4$
• 减法：$(7-14) \mod 23 =16$
• 乘法：$4\times 7 \mod 23=5$
• 加法逆元：$-5 \mod 23=18$
  实际上：作为加法群时，其单位元为0，根据$(5+(-5)) \mod 23 = (5+18)\mod 23=0$，有$-5 \mod 23=18$
• 乘法逆元：$9^{-1}\mod 23=18$
  实际上：作为乘法群时，其单位元为1，根据$9\times 9^{-1} \mod 23 = 9\times 18\mod = 1$，有$9^{-1}\mod 23=18$

如果对这些等式看起来有点模式，可以进一步阅读关于模运算的资料，比如wiki百科，或者Khan Academy。

正如我们之前所说，整数对$p$取模后所组成的有限域将具备以上所有性质。不过需要注意的是，$p$必须是一个质数！否则将无法成为一个域。比如模4整数集就不是一个域：因为2没有乘法逆元，即方程$2\times x \mod 4 = 1$无解。

模$p$除法（Division modulo p）

在完成对$\mathbb{F}_p$域上面对椭圆曲线进行定义之前，我们先来搞搞清楚$\mathbb{F}_p$域上面$x/y$意味着什么。本质上，我们可以认为：$x/y=x\times y^{-1}$，用语言来表示就是$x$ 除以$y$等价于$x$乘以$y$的乘法逆元。这个结果并不意外，且给出了求解除法的基本方法：找到元素的乘法逆元然后再做一个乘法。

利用扩展欧几里德算法（Extended Euclidean algorithm）可以“方便”地计算乘法逆元，即便在最坏的情况下，算法的时间复杂度也仅为$O(\log p)$，如果考虑$p$的二进制比特长度为$k$的话，则为$O(k)$。

扩展欧几里德算法的具体细节不在本文的议题范围之内，不过下面是一个python脚本的具体实现：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40

def extended_euclidean_algorithm(a, b):
    """
    Returns a three-tuple (gcd, x, y) such that
    a * x + b * y == gcd, where gcd is the greatest
    common divisor of a and b.

    This function implements the extended Euclidean
    algorithm and runs in O(log b) in the worst case.
    """
    s, old_s = 0, 1
    t, old_t = 1, 0
    r, old_r = b, a

    while r != 0:
        quotient = old_r // r
        old_r, r = r, old_r - quotient * r
        old_s, s = s, old_s - quotient * s
        old_t, t = t, old_t - quotient * t

    return old_r, old_s, old_t


def inverse_of(n, p):
    """
    Returns the multiplicative inverse of
    n modulo p.

    This function returns an integer m such that
    (n * m) % p == 1.
    """
    gcd, x, y = extended_euclidean_algorithm(n, p)
    assert (n * x + p * y) % p == gcd

    if gcd != 1:
        # Either n is 0, or p is not a prime number.
        raise ValueError(
            '{} has no multiplicative inverse '
            'modulo {}'.format(n, p))
    else:
        return x % p

$\mathbb{F}_p$域上的椭圆曲线（Elliptic curves in $\mathbb{F}_p$）

现在，我们有足够的必要条件对$\mathbb{F}_p$域上的椭圆曲线进行定义，前面实数域上的定义如下：

$$E=\{(x,y) \in \mathbb{R}^2 | y^2=x^3+ax+b,4a^3+27b^2\neq0\}\cup\{0\}$$

$\mathbb{F}_p$有限域上的定义如下：

$$E=\{(x,y) \in (\mathbb{F}_p)^2 | y^2=x^3+ax+b \pmod{p},4a^3+27b^2\not\equiv0\pmod{p}\}\cup\{0\}$$

其中0依然是位于无限远的点，$a$和 $b$是 $\mathbb{F}_p$域上的两个整数。

从几何的角度，图形则从连续的曲线变成$xy$平面上面的不相连的离散点的集合。好在，我们可以依然证明，即便我们对于定义域进行诸多限制，$\mathbb{F}_p$域上的椭圆曲线依然可以组成一个阿贝尔群。

点加法（Point addition）

显然，为了使得点加法在$\mathbb{F}_p$域上依然有效，我们需要对定义作一些小小的修改。对于实数，我们定义三个共线的点之和为0。这个定义可以保留，但是我们需要搞明白在$\mathbb{F}_p$域中三点共线意味着什么。

在实数域，显然，三点共线意味着能够找到一条直线将三个点连在一起就好。当然，在$\mathbb{F}_p$域中，直线与实数域$\mathbb{R}$中的是有所不同的。不太严谨地说，$\mathbb{F}_p$中的直线是满足方程$ax+by+c\equiv 0\pmod{p}$的点$(x,y)$的集合。

假设我们在一个群当中，点加法将保留所有我们已知的特性：

• $Q+0=0+Q=Q$
• 对于一个非0的点$Q$，逆元$-Q$是横坐标相同但是纵坐标相反的点。或者如果你愿意，可以这样计算，$-Q=(x_Q,-y_Q \mod p)$，举个例子，在$\mathbb{F}_29$域上的曲线有一个点$Q=(2,5)$，则其逆元$-Q=(2,-5 \mod 29)=(2,24)$
• 根据逆元的定义有$P+(-P)=0$

代数加法（Algebraic sum）

除了在每一个表达式后面加上一个$\mod p$的操作以外其它与前一篇文章当中所描述的步骤都相同。因此，令$P=(x_P,y_p),Q=(x_Q,y_Q),R=(x_R,y_R)$，我们可以按如下方程计算$P+Q=-R$：

如果$P\neq Q$，斜率$m$的形式如下：

$$m=(y_P-y_Q){(x_P-x_Q)}^{-1}\mod\,p$$

如果$P=Q$，则有：

$$m=(3x^2_P+a)(2y_P)^{-1}\mod\,p$$

方程形式的一致并不是巧合：实际上在任何一个域，方程的形式都是相同的，有限的或者无限的，仅在$\mathbb{F}_2$和 $\mathbb{F}_3$两个特定域上不成立。关于数学上的证明有兴趣的话可以参阅proof from Stefan Friedl。

另外，考虑到离散化后的曲线切线已无从谈起，以及其它方面的一些问题，在离散化域中，我们不再定义几何加法。

椭圆曲线群的阶（The order of an elliptic curve group）

显而易见，有限域上定义的椭圆曲线只有有限个点。但是有一个重要的问题不应该忽略：对于一个特定有限域上的椭圆曲线，到底有多少个点呢？

首先，我们将群中所包含点的数目定义为群的阶。

通常从$x$到 $p-1$进行暴力枚举不是一个可行的方式，这个需要$O(p)$的步骤，如果$p$是一个很大的质数，这将是一个难题。

所幸，有一个更快的算法可以计算群的阶：Schoof’s algorithm，这个算法可以在多项式级别的算法时间复杂度内，这正是我们所需要的。

标量乘法与循环子群（Scalar multiplication and cyclic subgroups）

$$nP=\underbrace{P+P+...+P}_{n\,times}$$

这次我们依然可以使用翻倍累加算法将乘法计算的时间复杂度控制在$O(\log n)$。

在$\mathbb{F}_p$域上的椭圆曲线进行乘法有一个有趣的性质。以曲线$y^2\equiv x^3+2x+3(\mod\,97)$和点$P=(3,6)$为例，计算$P$的所有乘积：

• $0P=0$
• $1P=(3,6)$
• $2P=(80,10)$
• $3P=(80,87)$
• $4P=(3,91)$
• $5P=0$
• $6P=(3,6)$
• $7P=(80,10)$
• $8P=(80,87)$
• $9P=(3,91)$
• …

在此，我们可以确认两件事情：第一，$P$的乘积只有五种可能答案：椭圆曲线上面的其它的点决不会出现；第二，这五个点循环出现。我们可以这样写：

• $5kP=0$
• $(5k+1)P=P$
• $(5k+2)P=2P$
• $(5k+3)P=3P$
• $(5k+4)P=4P$

对于每一个整数$k$，上述5个方程可以借助模运算符压缩成一个方程：$kP=(k\mod\,5)P$

不仅如此，我们可以立刻确认这五个点在加法操作上面也是封闭的。这意味着：不管我是加$0,P,2P,3P,4P$中的哪一个，结果都是上述五个点之一，其它的点依然不会出现在结果当中。

不仅仅对于$P=(3,6)$，对于任何点都有这样的结果。如果我们假设一个通用的点$P$：

$$nP+mP=\underbrace{P+P+...+P}_{n\,times}+\underbrace{P+P+...+P}_{n\,times}=(n+m)P$$

这意味着：如果我们将两个$P$的乘积相加，我们将得到一个$P$的乘积，$P$的乘积在加法操作下是封闭的。

这足以证明$P$的乘积的集合是一个由椭圆曲线所组成的群的循环子群（cyclic subgroup）。

一个“子群”是指另外一个群的子集的群。而“循环子群”则是指子群中的元素循环地出现，就好像在前面的例子当中所示。点$P$被称为发生器（generator）或者基点（base point）。

循环子群是椭圆曲线密码学以及其它加密系统的基础。

子群的阶（Subgroup order）

我们可以自问一下：由一个点$P$产生的子群的阶（order）是多少，或者也可以称之为$P$的阶。回答这个问题无法使用Schoof's algorithm，因为该算法只有在整个椭圆曲线上面是有效的，在子群当中就无效了。在解决这个问题之前，我们需要了解以下几点：

• 我们已经对群的阶进行过定义：阶是一个群的点数。目前这个定义依然有效，但是在一个循环子群当中，我们可以给一个新的等价的定义：循环子群的阶是使得$nP=0$的最小正整数$n$。我们可以看之前那个例子，我们的子群有5个点，然后我们有$5P=0$
• Lagrange’s theorem，$P$的阶与椭圆曲线本身的阶有联系，一个子群的阶是父群阶的一个因子。换句话说，如果一个椭圆曲线有$N$个点，然后它的一个子群有$n$个点，那么$n$是 $N$的一个因子

以上两个有用的信息合在一起可以帮助我们找到基于特定几点$P$的子群的阶：

• 使用Schoof's algorithm找到椭圆曲线而阶$N$
• 找到$N$的所有因子
• 对$N$的每一个因子$n$，都计算$nP$
• 满足$nP=0$的最小正整数$n$，就是子群的阶

举个例子，曲线$y^2=x^3-x+3$在域$\mathbb{F}_37$上的阶为$N=42$，则其子群可能的阶为$n=1,2,3,6,7,14,21,42$。如果我们选取基点$P=(2,3)$，我们可以发现$P\neq 0,2P\neq 0,...,7P=0$，因此基点$P$的阶为$n=7$。

需要特别注意的是，选取最小的因子非常重要，而不是随机选取。如果随机选取，我们还可能选择$n=14$，虽然$n=14$是满足$nP=0$的，但是它并不是子群的阶，而且其中的一个乘数。

再举一个例子，曲线$y^2=x^3-x+3$在域$\mathbb{F}_29$上的阶为$N=37$，是一个素数，其子群可能的阶仅为$n=1,37$。不难猜到，当$n=1$时，子群只包含一个在无限远的点；当$n=N=37$时，子群包含椭圆曲线上面所有的点。

寻找一个基点（Finding a base point）

对于我们的椭圆曲线加密算法，我们需要一个尽量高阶的子群。通常来说，我们选择一条椭圆曲线，计算它的阶（$N$），确定一个比较大的因子作为子群的阶（$n$），然后据此寻找一个合适的基点。下面来看看我们是如何先确定子群的阶再匹配合适的基点，而不是先找基点再计算子群的阶的。

首先，需要再介绍一个概念。Lagrange’s theorem表明$h=N/n$一定是一个整数。$h$被称为子群的协因子（cofactor）。

对于椭圆曲线上面的每一个点，我们有$NP=0$，根据协因子的定义，我们有$n(hP)=0$。

现在假设$n$是一个素数，那么这个方程告诉我们点$G=hP$可以产出一个阶为$n$的子群。

综上所述，通过确定子群的阶，再据此寻找合适的基点的算法如下：

• 计算椭圆曲线的阶$N$
• 选择恰当的子群的阶$n$，为了使得这个算法能够正常工作，这个整数必须是素数，并且是$N$的一个因子
• 计算协因子$h=N/n$
• 再曲线上面选择一个随机点$P$
• 计算$G=hP$
• 如果$G$是0，则返回第四步，否则，我们就找到了一个阶为$n$且协因子为$h$的子群

需要指出的是该算法当且仅当$n$是素数的时候才能够正常工作，如果$n$不是一个素数，则$G$的阶会是$n$的一个因子。

离散对数（Discrete logarithm）

正如我们再之前那篇文章当中对连续的椭圆曲线所做的，对于定义在离散域当中的椭圆曲线，我们接下来讨论一下下面这个问题：如果已知$P$和 $Q$，如果求得满足$Q=kP$的 $k$呢？

这个问题，就是经典的椭圆曲线离散对数问题，通常来说是“hard”的问题，在经典的计算机上面是无法通过多项式级别的时间复杂度来解决这个问题的，尽管目前还没有严格的数学证明。

这个问题和其它加密系统当中使用的离散对数问题类似，比如DSA，D-H和ElGamal。这并不是一个巧合。不同的是，在这些算法当中，我们使用幂模运算来代替标量乘法。这些离散对数问题可以表示如下：
已知$a$和 $b$，求满足$b=a^k \mod p$

两个问题都是离散的，因为它只与有限的集合相关，更加精确地说，是循环子群。而当前椭圆曲线加密更为有趣是在于它比起其它类似的加密系统难题更难，可以使用更小的字节来表示整数$k$来获得的安全级别。

参考资料

• 扩展欧几里德算法（Extended Euclidean algorithm）
• 模运算（modular arithmetic）
• Khan Academy
• Elliptic Curve Cryptography: finite fields and discrete logarithms
• 有限域和离散对数问题(ECC椭圆曲线算法2)

目前我们可以在当前web和IT世界当中的三大主要技术TSL，PGP，SSH当中都可以找到椭圆曲线密码系统，更不用说Bitcoin以及其它加密货币了。

在ECC开始流行之前，几乎所有的公钥加密算法都是基于RSA，DSA以及DH，底层的加密系统对应的数学难题是模运算。RSA系列算法依然很重要，常常和ECC一同使用。考虑到RSA系列算法背后的原理比较简单，也很容易解释清楚，而ECC却依然蒙着神秘的面纱，本文将提供一个关于ECC的综述，并解释其安全背后的机理，也一并给出一些具体的例子。文章主要包含以下几个方面的内容：

• 基于群论在实数域定义的椭圆曲线
• 基于有限域的椭圆曲线和离散对数问题
• 密钥对的生成和两个ECC算法：ECDH和ECDSA
• ECC破解算法，与RSA算法安全性比较

在开始之前，你需要对集合论、几何学以及模运算有所了解，并且对对称加密和非对称加密比较熟悉，关于秘密学当中对“easy”问题和“hard”问题的定位也要有清晰的认识。

椭圆曲线（Elliptic Curves）

首先，什么是椭圆曲线，Wolfram MathWorld给出了完整的定义。而ECC算法所采用的椭圆曲线是一类可用Weierstrass公式加以描述的椭圆曲线$E$，即：

$$E=\{(x,y)|y^2+A_1 y=x^3+A_2 x^2 +A_3x + A_4\}$$

其中参数$A_1$至 $A_2$的不同取值决定椭圆曲线在坐标系中的形状。实际常用的形式是一类称为Weierstrass Normal Form（WNF）的的简化形式，即：

$$E=\{(x,y)|y^2=x^3+ax + b\}$$

由于ECC算法运算过程中需要使用WMF曲线的切线，因此为了使WNF曲线没有奇异点，即处处光滑可导，需要满足其判别式不为零，即：

$$\Delta=4a^3+27b^2\neq 0$$

同时，定义射影平面上的无穷远点，记为0.无穷远点是所有曲线在无穷远处的交点，也被称为理想点。因此，下面的论述当中所采用的完整的WNF椭圆曲线公式为：

$$E=\{(x,y) \in \mathbb{R}^2 | y^2=x^3+ax+b,\Delta=4a^3+27b^2\neq0\}\cup\{0\}$$

当令$b=1$， $a$从2递减1到-3的椭圆曲线如下所示：

下面我们再来看两条存在奇异点的曲线，如下图所示：

左边这条曲线的方程为$y^2=x^3$，右边的这条曲线方程为$y^2=x^3-3x+2$，两者都不是合格可用的椭圆曲线。另外，不难发现，所有的椭圆曲线都是关于$x$轴对称的。

群论（Groups）

从数学的角度，一个群是由一种集合以及定义在该群上的一个二元运算所组成，且符合“群公理”。具体完整的定义如下：假设$\mathbb{G}$是一个非空集合，$+$是它的一个二元运算，如果满足以下条件，则$\mathbb{G}$和 $+$构成一个群。

• 封闭性（closure）：若$a$和 $b$是集合$\mathbb{G}$的成员，则存在唯一确定的$c \in \mathbb{G}$，使得$c=a+b$
• 结合律（associativity）：即对$\mathbb{G}$中任意元素$a,b,c$，都有$(a+b)+c=a+(b+c)$
• 单位元（identify element）：存在$\mathbb{G}$中的一个元素$e$ ，对任意所有的$\mathbb{G}$中的元素$a$，总有等式$e+a=a+e=a$。则将$e$称为单位元，也称幺元
• 逆元（inverse）：对于$\mathbb{G}$任意一个$a$，存在$\mathbb{G}$中的一个元素$b$，使得总有$a+b=b+a=e$（$e$为单位元），则称$a$与 $b$ 互为逆元素，简称逆元。$b$ 记作$a^{-1}$

群运算的次序很重要，把元素$a$ 与元素$b$结合，所得到的结果不一定与把元素$b$与元素$a$结合相同；亦即，$a+b=b+a$（交换律）不一定恒成立。满足交换律的群称为交换群（阿贝尔群，以尼尔斯·阿贝尔命名），不满足交换律的群称为非交换群（非阿贝尔群）。

如果我们将加法作为集合的二元运算，那么加上整数集合$\mathbb{Z}$将得到一个群，且是一个阿贝尔群。而自然数集合$\mathbb{N}$因为不满足逆元，则无法与加法构成一个群。

群的奇妙之处在于如果你能够上述四个性质，那么你可以获得一些其它有趣的性质。

比如，单位元是独一无二的，逆元也是独一无二的。对于任何一个$a$，有且仅有一个$b$满足$a+b=0$。

椭圆曲线的群法则（The group law for elliptic cirves）

我们可以基于特定的椭圆曲线定义一个群，作如下规定：

• 群的元素是椭圆曲线上面的点的集合
• 单位元是在无穷远处的点，记为0
• 一个元素点$P$的逆元是其关于$x$轴对称的点
• 二元远算操作规则定义如下：在曲线上面找到对齐的在一条直线上面的三个非零的点：$P, Q, R$，三者之和为0，即$P+Q+R=0$

对于最后一点，我们的要求仅仅是一条直线上面对齐的三个点，而对齐本身与顺序是无关的，因此，如果$P, Q, R$是对齐的，则有$P+(Q+R)=Q+(P+R)=R+(P+Q)=...=0$，如此这般，我们也顺带证明了我们所定义的二元操作符是能够同时满足结合律和交换律的，我们在椭圆曲线上面定义的群还是一个阿贝尔群。

几何加法（Geometric addition）

庆幸我们是在一个阿贝尔群当中，我们可以将$P+Q+R=0$写成$P+Q=-R$。这个形式的方程，可以让我们得到一种计算两个点$P$和 $Q$相加之和的几何方法：如果我们画一条直线通过$P$和 $Q$，那么直线会与曲线相交与第三个点$R$。那么该点的逆元$-R$即为$P+Q$的结果。

几何方法一目了然，但是还需要回答一些边界条件：

• $P=0 \, or\, Q=0$：考虑到无穷远点本身并不在这个平面上面，线是画不出来的，但是我们已经定义了0为单位元，对于任意$P$和 $Q$，都有$P+0=P和0+Q=Q$
• $P=-Q$：经过这两个点的直线是一条垂直线，与椭圆曲线不会有第三个交点。但是$P$是 $Q$的逆元，根据逆元的定义有$P+Q=P+(-P)=0$
• $P=Q$：会有无数条线经过这个点，情况会有一些复杂。令$Q'\neq P$，如果我们让$Q'$无限得接近$P$，则经过它们的直线会变成椭圆曲线的切线，此时有$P+P=-R$，其中$R$是切线与椭圆曲线的交点。如下图所示：

• $P \neq Q$，且找不到第三点$R$：这个情况与上面的情况非常类似，此时过$P,Q$的线就是椭圆曲线的切线。假设$P$就是切点，在前面的一个情况当中，$P+P=-Q$，这个方程现在变成$P+Q=-P$。反过来，如果$Q$是这个切点，则有$P+Q=-Q$。如下图所示：