Если это имеет значение, каково текущее состояние эллиптических кривых и как они соотносятся с популярными эллиптическими кривыми, такими как Curve25519 или secp256k1?
Хорошо, если у вас есть эллиптическая кривая с большой подгруппой размера $q$ (что является простым числом), то мы знаем, как вычислить дискретный логарифм внутри этой подгруппы в $O(\sqrt{q})$ время, и это относится ко всем эллиптическим кривым (фактически ко всем группам).
Итак, чтобы сделать эту атаку $2^{128}$ время, нам нужен $q \приблизительно 2^{256}$.
А по теореме Хассе для простой кривой характеристики $р$, у нас есть $p + 2\sqrt{p} > q$, или другими словами, наименьший $р$ может быть около 256 бит.
Стандартный способ представления открытого ключа — дать $х$ координата как целое число; это значение от 0 до $p-1$; то есть 256-битное значение.
Следовательно, выбор кривой, отличной от Curve25519, secp256k1 или P256, ничего нам не даст; либо эта альтернативная кривая снизила бы безопасность, либо имела бы открытый ключ, который был бы как минимум таким же большим.
О единственном, что можно попробовать придумать урезанный способ передачи $х$ координата; один простодушный подход состоял бы в том, чтобы всегда выбирать $х$ согласовывать с $к$ биты 0 вверху (и просто не передавать те $к$ биты явно); поиск такого ключа с использованием выборки отклонения займет $ О (2 ^ к) $ время и сэкономил бы $к$ бит - возможно, выполнимо, если вам нужно сохранить байт или два - очевидно, невозможно сохранить больше. Я не знаю более умного подхода к поиску открытых ключей, который соответствует аналогичной технике экономии места.
