和基于有限域上离散对数问题的公钥体制(如Diffie-Hellman密钥交换和 EIGama密码体制)作比较,椭圆曲线密码体制存在以下优势。
1.安全性高
攻击有限域上的离散对数问题可以用指数积分法,其运算复杂度为O[exp3√(log p)(log log p)2],其中p为模数(为素数),但它对椭圆曲线上的离散对数问题是无效的。如今对椭圆曲线上的离散对数问题进行攻击的方法,仅仅满足任意循环群上离散对数问题进行攻击的大步小步法,它的运算复杂度是O[exp(log√Pmax)],其中,Pmax为椭圆曲线已形成的Abel群的阶的最大素因子,因此,椭圆曲线密码体制比基于有限域上的离散对数问题的公钥体制更加的安全。
2.密钥量小
通过攻击两者的算法复杂度可以知道,在达到一致的安全性能情况下,椭圆曲线密码体制需要的密钥量,远远小于基于有限域上的离散对数问题的公钥体制的密钥量。
3.灵活性好
有限域GF(q)确定的基础上,它上的循环群(即GF(q)-{0})就确定了,而GF(q)上的椭圆曲线能借助变化曲线参数,得到不同的曲线,形成不同的循环群。因此,椭圆曲线存在多样的群结构与多选择性。
正是因为椭圆曲线存在如此多样的群结构与多选择性,且可以在确保与RSA/DSA体制一样安全性能的条件下充分缩短密钥的长度(现今160bit足够保证安全性),所以在密码领域有的应用前景特别广阔。
