Какими свойствами обладают эллиптические кривые, которые делают их полезными?

Я пытался изучить алгоритмический процесс, лежащий в основе ECDSA, и это довольно сложно. Мне интересно, какая мотивация или мыслительный процесс могли привести к открытию в первую очередь. Какими свойствами обладают эллиптические кривые, которые делают их устойчивыми к атакам?

Предшественник RSA кажется несколько более интуитивным и разумным для обнаружения.

Мне интересно, какая мотивация или мыслительный процесс могли привести к открытию в первую очередь.Какими свойствами обладают эллиптические кривые, которые делают их устойчивыми к атакам?

Ну, во-первых, эллиптические кривые изучались математиками задолго до того, как стало понятно их использование в криптографии; Я считаю, что большая часть фундаментальной работы была проделана в 1800-х годах. Следовательно, Коблиц и Миллер (два исследователя, предложившие их независимо друг от друга) не изобрели эллиптические кривые, а скорее отметили, что они обладают криптографическим потенциалом.

С чего бы это? Что ж, эллиптические кривые имеют меньшую «структуру», чем группы конечных полей; с конечными группами полей существует алгоритм, который может принимать любой элемент и иметь нетривиальную вероятность возможности выразить этот элемент как комбинацию небольшого набора фиксированных элементов; оказывается, что алгоритм весьма полезен для вычисления дискретных логарифмов, и это важная причина, по которой мы должны делать эти группы такими большими. Не существует известного алгоритма, решающего эту проблему для эллиптических кривых; следовательно, мы можем использовать гораздо меньшую группу эллиптических кривых.

Мне интересно, к чему могла привести мотивация или мыслительный процесс (ECDSA)

ECDSA возникла из подпись Эль-Гамаля. Первоначально это было определено в мультипликативная группа $\mathbb Z_p^*$ для премьер $р$. Это чем-то похоже на мультипликативную группу $\mathbb Z_n^*$ для композита $n$ используется РСА. Было два отдельных эволюционных шага:

1. ДСА (около 1991 г.). Это использует подгруппу $\mathbb Z_p^*$ с гораздо меньшим порядком, что позволяет использовать гораздо более короткую подпись, чем в ElGamal. Такая подгруппа использовалась аналогичным подпись Шнорра (около 1989 г.) для той же цели и известен как Группа Шнорра.
2. ЭЦДСА (около 2000 г.). По сути, это заменяет группу Шнорра группой эллиптических кривых, чтобы ускорить вычисления и сократить открытый ключ. Использование такой группы, а не (некоторой подгруппы) $\mathbb Z_p^*$ было предложено Миллер и независимо Коблитц еще в 1985 году, сначала в контексте Обмен ключами Диффи-Хеллмана. Цитаты Миллера Факторизация эллиптической кривой Лентры в качестве вдохновения для использования группы эллиптических кривых. Лентра использовала эллиптические кривые в качестве инструмента для атаки на RSA, что привело к использованию эллиптических кривых в области криптографии. Более века было известно, что эллиптические кривые на поле можно использовать для построения группа. Если поле конечно, группа конечна (необходимая характеристика для использования в криптографии).

Какими свойствами обладают эллиптические кривые, которые делают их устойчивыми к атакам?

Эллиптические кривые нет более устойчивы к атакам, чем группы Шнорра того же размера. Если бы речь шла только о размере подписи и безопасности, нам не понадобились бы эллиптические кривые, и мы бы использовали гораздо более простой DSA, а не ECDSA. Причина, по которой предпочтительны эллиптические кривые, заключается в том, что они обеспечивают более короткое представление элементов группы, а значит, более короткие открытые ключи и более быстрые вычисления (за счет сложности) при эквивалентном размере группы/подписи и безопасности.

Причина, по которой группы эллиптических кривых могут обойтись более коротким представлением элементов группы, чем группа Шнорра, заключается в том, что они не встроены в какое-либо поле (с законом группы - вторым законом поля). Другими словами, в группе эллиптических кривых нет операции, аналогичной сложению по модулю. $р$ в группу $\mathbb Z_p^*$. Следовательно, нет известного аналога, работающего в группе эллиптических кривых, для исчисление индекса алгоритм, позволяющий вычислять дискретные логарифмы в $\mathbb Z_p^*$ быстрее, чем общие методы, работающие в любой группе, такие как детский шаг / гигантский шаг или же Ро Полларда.