Например, я мог бы использовать:
Если дискретный журнал уже бэкдор со стандартной базовой точкой $G$, то изменение базы на другую точку на кривой не решает эту проблему.
Дайте вам знать, что $G$ бэкдор, и вы изменили базу на $G' \neq G$. Затем объект, создавший бэкдор, может использовать его для поиска закрытых ключей.
Позволять $P = [k]G'$ быть открытым ключом с новой базой. Злоумышленник решает Dlog of $G' = [a]G$ только однажды. С помощью этого они формируют $P = [ак]G$. Это в базе с бэкдором, чтобы они могли решить дискретный logairhtmm, чтобы найти $ак$. Один раз $ак$ найден, извлечение секретного ключа может быть выполнено с помощью простой модульной арифметики $k = ak \cdot a^{-1} \bmod n$ где $а^{-1}$ является обратным $а$ по модулю $n$.
В результате, если у вас есть дискретный логарифм с обратным ходом, кривую использовать небезопасно. Все в одном: если у базовой точки есть люк, то у всех базовых точек есть лазейки!
Однако, если я изменю любой из этих параметров и воспользуюсь ими, будет ли значительно нарушена безопасность функции лазейки?
Изменение параметров $р,а$, и $b$ что определяет $n$ и $ч$, за исключением базовой точки, изменить кривую, и новую кривую необходимо тщательно проанализировать;
- Имеет ли порядок кривой простое число или большой простой множитель?
- Имеет ли изгиб кривой большой простой порядок?
- Есть ли у него безопасный дискретный журнал?
- ...
Это основы, подробнее об этом см. безопасные кривые
