Что произойдет, если кривая Эдвардса не защищена от квадратичного кручения?

mehdi mahdavi oliaiy

13.11.2022, 07:35

На этой веб-странице, Даниэль Бернстайн предлагает, чтобы кривая была квадратично скрученной. Это означает, что если кривая имеет $\#Е$ указывает на $Z_p$ куда $\#E=p+1-t$, то квадратичная кривая кручения имеет $\#E'=p+1+t$ точки. Условие для квадратичных скрученных кривых безопасности состоит в том, что кофактор квадратичной скрученной кривой низок. Например, кофактор кривой равен 8, а кофактор квадратичной кривой кручения равен 4 в скрученных кривых Эдвардса.

Если вышеуказанное условие не выполняется, то какие атаки можно применить к кривой? Пожалуйста, перечислите все предлагаемые атаки. Являются ли все атаки побочными каналами?

1 + 2

эллиптические кривые

атака

kelalaka

13.11.2022, 07:47

[Атака небольшой подгруппы (Лим-Ли), примененная с изюминкой для получения информации о секретном ключе] (https://crypto.stackexchange.com/a/87711/18298). Если поворот не имеет большого простого порядка, то вы потеряете много битов ключа. Safecurve хорошо объясняет это на [странице поворота] (https://safecurves.cr.yp.to/twist.html)

Ответить

mehdi mahdavi oliaiy

17.11.2022, 10:30

Как мы потеряем много битов ключа? использование атаки Fault?

Ответить

Рейтинг:2

Crypto

Fractalice

13.11.2022, 12:45

Для кривых Эдвардса арифметика обычно реализуется с помощью лестницы Монтгомери, и алгоритм работает как для кривой, так и для ее квадратичного поворота.(Обратите внимание, что для кривых Вейерштрасса $у^2 = х^3 + топор + б$, арифметические формулы зависят только от $а$ и поэтому алгоритм работает для большего набора кривых - произвольных $b$).

Это позволяет злоумышленнику отправить точку на повороте приложению, и оно выполнит скалярное умножение на повороте (используя тот же закрытый ключ!). Если поворот небезопасен для дискретного журнала (= гладкий порядок), тогда злоумышленник может восстановить закрытый ключ.

Конечно, требование сильной закрутки — это только мера предосторожности против плохой реализации — приложение должно проверять принадлежность представленной точки основной кривой — и тогда атака не сработает, даже если закрутка слабая.

0 + 2

mehdi mahdavi oliaiy

17.11.2022, 08:03

Благодарю за ваш ответ. Вы имеете в виду недопустимую точечную атаку (или недопустимую кривую атаку)? Вы уверены в том, что Twist Secure применяется только для плохой реализации? Есть ли какие-либо другие атаки, кроме реализации?

Ответить

Fractalice

25.11.2022, 19:14

Да, это недопустимая точечная атака, которую всегда можно предотвратить, проверив, что точка находится на кривой.

Ответить

Admin

Этот вопрос на других языках:

EN: What happens if the Edwards curve isn't quadratic twist secure?

TH: จะเกิดอะไรขึ้นหากเส้นโค้ง Edwards ไม่บิดเป็นกำลังสองอย่างปลอดภัย

RO: Ce se întâmplă dacă curba Edwards nu este sigură la răsucirea pătratică?

RU: Что произойдет, если кривая Эдвардса не защищена от квадратичного кручения?

VI: Điều gì xảy ra nếu đường cong Edwards không xoắn bậc hai an toàn?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.