椭圆曲线非对称加密的原理讲解

首先，我们来简单聊聊什么是非对称加密。它就像一把特殊的锁：你有一个公钥（公开的钥匙，大家都可以用它来锁上信息），和一个私钥（只有你自己有的钥匙，用来解锁）。传统的非对称加密如RSA基于大数因式分解的难度，而椭圆曲线加密（ECC）则基于一种更巧妙的数学游戏——椭圆曲线上的“点跳跃”问题。它更高效，用更短的密钥就能达到同样的安全级别，常用于比特币、HTTPS等。

1. 什么是椭圆曲线？

想象一条光滑的曲线，看起来像一个不对称的“U”形或“驼峰”，它的数学方程是：y² = x³ + ax + b（其中a和b是固定参数，确保曲线光滑无奇点）。在加密中，我们不是用实数，而是用有限域（像一个有限的数字网格），但为了直观，我们先看实数上的样子。

这条曲线上的点可以“加”起来，形成一个群结构。这就是ECC的核心。

如上图所示，这就是一个典型的椭圆曲线（实数域上）。它对称于x轴，看起来简单，但隐藏着深奥的数学。

2. 点运算：加法和倍增

ECC的魔法在于曲线上的“点加法”。规则是：

• 取两个点P和Q，画一条直线连接它们，这条线会与曲线再交于第三个点R'。
• 然后，反转R'的y坐标（像镜像翻转），得到真正的结果点R = P + Q。
• 如果P和Q是同一个点（点倍增），就画切线，同样找交点并翻转。

这就像在曲线上的“弹跳”：从一个点“跳”到另一个点。重复加法（标量乘法）如k * P（加P自己k次），很容易计算，但反过来从结果点反推k（私钥）却超级难——这就是“椭圆曲线离散对数问题”（ECDLP），黑客需要天文数字的计算量。

上图演示了点加法的几何过程。注意，还有一个“无穷远点O”作为零元素，像加法的起点。

3. 如何生成密钥对

• 大家约定一个标准曲线（如secp256k1）和一个基点G（曲线上的一个固定点）。
• 私钥d：随机选一个大整数（比如1到n-1，n是曲线的阶）。
• 公钥Q：计算Q = d * G（用点倍增，G加自己d次）。

公钥Q可以公开，因为从Q反推d几乎不可能。

4. 密钥交换：Diffie-Hellman风格（ECDH）

假设Alice和Bob想安全交换密钥：

• Alice有私钥a，公钥A = a * G。
• Bob有私钥b，公钥B = b * G。
• Alice计算共享密钥S = a * B = a * (b * G)。
• Bob计算S = b * A = b * (a * G)。
• 结果相同：S = a * b * G。
• 窃听者看到A、B、G，但计算abG需要破解ECDLP，很难。

这就像两人各拉一根绳子的一端，中间打结后交换，再解自己的结，就能得到相同的秘密。

How Do You Encrypt With Elliptic Curves? | by Prof Bill Buchanan ...

如图，共享点S就是他们的秘密密钥，用于后续对称加密（如AES）。

5. 为什么安全且高效？

• 安全：基于ECDLP，量子计算机也能抵抗某些攻击（但