字节华硕内网密码泄露

无线局域网产品采用的ECDSA和ECDH密码算法椭圆曲线和参数1.
符号约定对本文中使用到的符号约定如下:p192比特的素数Fpp个元素的有限域a,bFp中的元素,确定了椭圆曲线方程baxxy++=32E以椭圆曲线方程定义的Fbaxxy++=32p上的椭圆曲线O椭圆曲线上的一个特殊点,称为无穷远点E(Fp)E在Fp上的点及无穷远点构成的集合n曲线点集E(Fp)的阶#E(Fp),要求为奇素数xmodn用n除x所得的余数r,10≤≤nrGE(Fp)的生成元,称为基点,G=(xG,yG)[x,y]大于等于x且小于等于y的整数集合x取大于等于x的最小整数tFp中的元素的比特长度,t=log2p,本文中t=192lFp中的元素的字节长度,l=t/8,本文中l=24log2x以2为底的x的对数||字节串的并置dU用户U的私钥,dU∈[1,n1]PU用户U的公钥,PU=dU·G2.
数学基础2.
1有限域Fpp为素数,Fp的元素表示为整数0,1,2,.
.
.
,p1.
1(1)Fp中加法运算为整数的模p加法运算:即a,b∈Fp,a+b=(a+b)modp.
(2)Fp中乘法运算为整数的模p乘法运算:即a,b∈Fp,a·b=(a·b)modp.
(3)Fp中加法群的单位元为整数0.
(4)Fp中乘法群的单位元为整数1.
(5)Fp中加法群的元素a的逆元素为pa.
(6)Fp中乘法群的元素a的逆元素为b,b满足a·b=1modp,记为.
1a2.
2椭圆曲线定义Fp上椭圆曲线方程为,椭圆曲线点集E(Fbaxxy++=32)mod0274(23pba≠+p)={(x,y)|x,y∈Fp,且满足}∪{O},其中O是椭圆曲线的无穷远点,曲线E(Fbaxxy++=32p)的阶为n=#E(Fp).
按2.
3定义的点加运算,E(Fp)构成一个Abel群.
2.
3点加运算点P,Q∈E(Fp),P=(x1,y1),Q=(x2,y2),加法规则如下:(1)P+O=O+P=P;(2)P=(x1,y1),P+(P)=O;(3)若Q≠P,记P+Q=(x3,y3),==13132123)(yxxyxxxλλ其中=≠21121211212,2)+(3,)()(=xxyaxxxxxyy当当λ2.
4多倍点运算多倍点运算:点P∈E(Fp),整数k>0,k·P=4434421L个kPPP+++.
23.
数据类型转换约定3.
1整数至字节串的转换输入:非负整数x和期望得到的字节串长度k,满足:28k>x.
输出:长度为k的字节串M.
(1)设M1,M2,…,Mk表示M中从左至右的每个字节,字节Mi=(Mi1,Mi2,…,Mi8)代表整数,.
∑=8182jijjMki≤≤1(2)输出字节串M满足:.
∑==kiiikMx1)(823.
2字节串至整数的转换输入:长度为k的字节串M.
输出:整数x.
(1)设M1,M2,…,Mk表示M中从左至右的每个字节,字节Mi=(Mi1,Mi2,…,Mi8)代表整数,.
∑=8182jijjMki≤≤1(2)输出整数x满足:.
∑==kiiikMx1)(823.
3域元素至字节串的转换输入:有限域Fp中元素c.
输出:长度为l的字节串S.
按照3.
1节描述的方法把c转换成为一个长度为l的字节串S.
3.
4字节串至域元素的转换输入:长度为l的字节串S.
输出:有限域Fp中元素c.
按照3.
2节描述的方法把S转换成为一个整数c;如果c不在区间[0,p1]中,则报错.
33.
5点至字节串的转换无穷远点O用字符串方式表示为单字节PC=00.
椭圆曲线上的非无穷远点P=(xP,yP)指定使用非压缩方式表示.
输入:椭圆曲线上的非无穷远点P=(xP,yP).
输出:长度为2l+1的字节串PO.
(1)按照3.
3节描述的方法分别将xP,yP转换成长度为l的字节串X1,Y1.
(2)单字节PC赋值为04,输出字符串PO=PC||X1||Y1.
3.
6字节串至点的转换输入:长度为2l+1的字节串PO.
输出:椭圆曲线上的非无穷远点P=(xP,yP).
(1)设PO=PC||X1||Y1,其中PC为单字节,X1,Y1分别是长度为l的字节串,若PC不等于04则报错.
(2)按照3.
4节描述的方法将字节串X1,Y1分别转换成域元素xP,yP.
(3)输出点P=(xP,yP).
4.
椭圆曲线参数ECDSA算法和ECDH算法的密钥长度选定为192比特,采用域Fp上的椭圆曲线,其参数为{p,a,b,G,n},以十六进制形式表示如下:p:BDB6F4FE3E8B1D9E0DA8C0D46F4C318CEFE4AFE3B6B8551Fa:BB8E5E8FBC115E139FE6A814FE48AAA6F0ADA1AA5DF91985b:1854BEBDC31B21B7AEFC80AB0ECD10D5B1B3308E6DBF11C1xG:4AD5F7048DE709AD51236DE65E4D4B482C836DC6E4106640yG:02BB3A02D4AAADACAE24817A4CA3A1B014B5270432DB27D2n:BDB6F4FE3E8B1D9E0DA8C0D40FC962195DFAE76F565646775.
ECDSA算法ECDSA算法参引ISO/IEC15946:2002(E),具体参引第2部分第6章.
46.
ECDH算法ECDH算法参引ISO/IEC15946:2002(E),具体参引第3部分第8章第4节.
7.
SHA-256算法SHA-256算法参引ISO/IEC10118:2004(E),具体参引第3部分第10章.
8.
实例8.
1ECDSA算法实例用户A的私钥dA:dA:3AC0E717EB61602EFCBB1DE81AA144A272B44BA1F16936AC公钥PA=dA·G=(x1,y1):x1:7E1969FD0B001810A4E7F414C23F2BADF6B2DE96AE6B7856y1:29426771EDD3001F4A4253D8EEB9FFC18684C6C0B43ACA08十六进制字节串消息:M:00FFEEDDCCBBAA998877665544332211(1)计算M的杂凑值e=h(M):723AE33F076F199ECDFEFBC7169B7BE471ECB43E01ECE80ACA7539B48A4B0A90其中,h为杂凑算法SHA-256.
(2)取随机整数k∈[1,n1],假定为:5ABC270DBCEE31A4B00132331DDD596173EAF656ABCC39CB(3)将杂凑值e用用户A的私钥dA签名后得到签名结果:A9F40F155FCF18E8D35AB47EE65CD2F906465155A71DFA387EAFA7E5A2335CD337E37B39601D2D5022E1799799F0E2628.
2ECDH算法实例用户A的临时私钥记为dA,临时公钥记为PA=dA·G=(x2,y2):dA:3AC0E717EB61602EFCBB1DE81AA144A272B44BA1F16936AC5x2:7E1969FD0B001810A4E7F414C23F2BADF6B2DE96AE6B7856y2:29426771EDD3001F4A4253D8EEB9FFC18684C6C0B43ACA08用户B的临时私钥记为dB,临时公钥记为PBBB=dB·G=(xB3,y3):dB:25FBB32EFBEC6ECB1314332A026582DB7BE00C051CF2FA80Bx3:0621D8ADAB0952752EBEAE5007F6AE455C61860D1CEADB25y3:6A58D5D55087325DAC434C0DD28A9F8159070C8AAECD21D8按照ECDH算法,用户A、B分别计算出共享信息KAB=dA·PB=KBA=dB·PBA=(x4,y4):x4:3A74DDFA3080F6B5A1688C6EB7B098240B5AFC672450A425y4:7FF89712A653D6E1B30CD24AC6C72BD3A90F2F9EACE3F3F66