Рейтинг:2

Что произойдет, если кривая Эдвардса не защищена от квадратичного кручения?

флаг ro

На этой веб-странице, Даниэль Бернстайн предлагает, чтобы кривая была квадратично скрученной. Это означает, что если кривая имеет $\#Е$ указывает на $Z_p$ куда $\#E=p+1-t$, то квадратичная кривая кручения имеет $\#E'=p+1+t$ точки. Условие для квадратичных скрученных кривых безопасности состоит в том, что кофактор квадратичной скрученной кривой низок. Например, кофактор кривой равен 8, а кофактор квадратичной кривой кручения равен 4 в скрученных кривых Эдвардса.

Если вышеуказанное условие не выполняется, то какие атаки можно применить к кривой? Пожалуйста, перечислите все предлагаемые атаки. Являются ли все атаки побочными каналами?

kelalaka avatar
флаг in
[Атака небольшой подгруппы (Лим-Ли), примененная с изюминкой для получения информации о секретном ключе] (https://crypto.stackexchange.com/a/87711/18298). Если поворот не имеет большого простого порядка, то вы потеряете много битов ключа. Safecurve хорошо объясняет это на [странице поворота] (https://safecurves.cr.yp.to/twist.html)
mehdi mahdavi oliaiy avatar
флаг ro
Как мы потеряем много битов ключа? использование атаки Fault?
Рейтинг:2
флаг in

Для кривых Эдвардса арифметика обычно реализуется с помощью лестницы Монтгомери, и алгоритм работает как для кривой, так и для ее квадратичного поворота.(Обратите внимание, что для кривых Вейерштрасса $у^2 = х^3 + топор + б$, арифметические формулы зависят только от $а$ и поэтому алгоритм работает для большего набора кривых - произвольных $b$).

Это позволяет злоумышленнику отправить точку на повороте приложению, и оно выполнит скалярное умножение на повороте (используя тот же закрытый ключ!). Если поворот небезопасен для дискретного журнала (= гладкий порядок), тогда злоумышленник может восстановить закрытый ключ.

Конечно, требование сильной закрутки — это только мера предосторожности против плохой реализации — приложение должно проверять принадлежность представленной точки основной кривой — и тогда атака не сработает, даже если закрутка слабая.

mehdi mahdavi oliaiy avatar
флаг ro
Благодарю за ваш ответ. Вы имеете в виду недопустимую точечную атаку (или недопустимую кривую атаку)? Вы уверены в том, что Twist Secure применяется только для плохой реализации? Есть ли какие-либо другие атаки, кроме реализации?
Fractalice avatar
флаг in
Да, это недопустимая точечная атака, которую всегда можно предотвратить, проверив, что точка находится на кривой.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.