SIDH: Что, если два генератора ядер выбраны в одной и той же торсионной группе?

В SIDH любая из сторон выбирает свою секретную точку. $R_A = [m_A]P_A+[n_A]Q_A \in E[\ell_A^{e_A}]$, $R_B = [m_B]P_B+[n_B]Q_B \in E[\ell_B^{e_B}]$ из двух разных наборов $E[\ell_A^{e_A}]$ и $E[\ell_B^{e_B}]$. В чем проблема, если две точки выбраны из одного набора ($E[\ell_A^{e_A}]$ или же $E[\ell_B^{e_B}]$)?

Бывают очень плохие вещи. Позволять $E' := E/â©R_Aâª$ — кривая изображения изогении $Ï:EâE'$ с ядром $R_A$:

1. $Ï$ не является инъективным на $E[\ell_A^{e_A}]$: он отображает его в циклическую подгруппу $G ⊂ E'[\ell_A^{e_A}]$;
2. Изогения $\шляпа{Ï}:E' → E'/G$ является двойственной изогенией $Ï$;
3. В частности $E'/G$ изоморфен $Е$.

Таким образом, если оба $R_A$ и $R_B$ были точки в $E[\ell_A^{e_A}]$, обязательно $Ï(R_B) ⊂ G$. Если $Ï(R_B)$ оказывается генератором $G$ (наиболее вероятный случай), то общий «секрет» этого варианта SIDH — стартовая кривая. В общем, общий секрет оказался бы одним из поворотов на пути Алисы от $Е$ к $E'$. В любом случае это явно небезопасно.