Безопасно ли раскрывать произвольную точку EC, умноженную на секретный ключ?

Если предположить, что под «первичным порядком» вы подразумеваете «первичный порядок», то это называется статической проблемой Диффи-Хеллмана, и против нее известны некоторые атаки. Основные из них, которые следует учитывать с макушки моей головы, это:

• Чхон DLP с дополнительными входами атака: есть несколько вариантов, но, например, если основной порядок $р$ ваших эллиптических кривых удовлетворяет тому, что $д$ является делителем $p-1$, затем атакующий делает много запросы могут решить проблему дискретного журнала во времени $\widetilde{O}(\sqrt{p/d} + \sqrt{d})$, что в худшем случае $d = \Тета(p^{1/2})$ является $\widetilde{O}(p^{1/4})$. В принципе, это может быть довольно плохо, но есть разные причины, по которым атака не является чрезвычайно опасной в этой обстановке. Во-первых, из-за требований к памяти атаки и того факта, что большинство значений $р$ был бы довольно далек от худшего случая, его, вероятно, будет трудно смонтировать на практике в большинстве сценариев. Во-вторых, если $\альфа$ является секретным ключом, злоумышленнику необходимо как-то получить оба $\альфа G$ и $\alpha^dG$ за $G$ генератор группы, и единственный способ сделать это, похоже, $д$ последовательные адаптивные запросы $G \to \alphaG \to \alpha^2 G \to \cdots \to \alpha^d G$. Этого можно ожидать от оракула, и, поскольку это требует времени $ О (г) $, это снижает оптимальную $д$ к $\тета(р^{1/3})$ и увеличивает результирующую сложность до $\widetilde{O}(p^{1/3})$ (опять же при условии, что $p-1$ имеет требуемую форму). Не так много настроек, при которых оракул ответил бы $2^{85}$ запросов от противника. Вот почему атака Cheon обычно более актуальна в условиях, когда групповые элементы формы $\альфа^jG$ легко доступны в виде открытого ключа, а не получены с помощью последовательных запросов;

• Грейнджер поле расширения атаковать, если вы используете кривые над полями расширения степени $\geq 3$ (что скорее всего не так).

Спасибо @fgrieu за правильное указание на то, что несколько комментариев, которые я сделал по этому поводу, были неверными, а также за указание на соответствующие обсуждения в списке рассылки IETF.