Рейтинг:2

Как трудность задачи дискретного логарифма связана с криптографией на эллиптических кривых?

флаг sr

По определению задача дискретного логарифмирования состоит в решении следующего сравнения для $х$ и известно, что эффективных алгоритмов для этого вообще не существует.

$$\begin{выравнивание*} b^x\equiv r&\pmod p\quad(1)\end{align*}$$ это найти $х$ (если существует) для данного $ г, б $ как целые числа, меньшие простого числа $р$.

Я прав до сих пор? пожалуйста, поправьте меня, если я что-то неправильно понимаю.

В криптографии на эллиптических кривых говорят, что в $P=а\умножить на G$ мы не можем вычислить $а$ зная $P$ и $G$ потому что проблема дискретного логарифма трудно решить. Я не понимаю, как это связано с уравнением 1. Я имею в виду, что в обеих задачах схожа только терминология?

Чтобы прояснить мой вопрос, давайте представим, что гений из будущих поколений может, наконец, представить решение уравнения 1, которое делается в приемлемое время, используя среднюю аппаратную настройку того времени. Алгоритм, который они предлагают, способен найти $х$ (если существует) для любого заданного простого $р$ и любой данный $ г, б $. Теперь я хочу знать, представляет ли это изобретение угрозу безопасности криптографии на основе эллиптических кривых? Другими словами, поможет ли знание такого алгоритма в извлечении $а$ от $P$?

Если да, пожалуйста, объясните, как определяется это отношение и каков математический поток, с помощью которого мы можем вычислить $а$ от $P$, который, я думаю, должен будет пройти через решение сравнения, аналогичного уравнению 1.

Если нет, скажите, чем отличается сложность задачи дискретного логарифмирования на эллиптических кривых от сложности уравнения 1 и почему здесь используется эта терминология.

флаг cn
"известно, что для этого вообще нет эффективного алгоритма" Это неизвестно. Если бы это было известно, мы бы также знали, что $P \neq NP$.
kelalaka avatar
флаг in
[Дискретный логарифм: учитывая p, что значит найти дискретный логарифм x по основанию y?] (https://crypto.stackexchange.com/q/76230/18298). [Обобщите математическую проблему, лежащую в основе взлома открытого ключа Curve25519] (https://crypto.stackexchange.com/q/50405/18298) [Почему эллиптические кривые?] (https://crypto.stackexchange.com/q /26873/18298)
kelalaka avatar
флаг in
Кроме того, если в кривой нет особой структуры, то общая теория групп говорит нам, что лучше всего вы можете выполнить $\sqrt{n/2}$-время для dlog в ECC.
PouJa avatar
флаг sr
@Maeher, извините за мой плохой английский. Я имел в виду, что мы знаем, что не существует известных алгоритмов, а не то, что мы уверены, что алгоритм никогда не может существовать.
kelalaka avatar
флаг in
Quantum на каноническом ответе ECC Dlog: [Насколько эффективны квантовые вычисления против криптографии на эллиптических кривых?] (https://crypto.stackexchange.com/q/59770/18298)
Рейтинг:6
флаг ru

проблема с дискретным логарифмом может быть определена для любой конечной циклической группы, а не только для мультипликативной группы по модулю простого числа. Самый известный пример - это проблема, которую вы описываете, но она не единственная.

Группы могут быть записаны с мультипликативной записью (как и с мультипликативной группой по модулю $р$), так что групповая операция записывается как $*$, $\раз$, $\cdot$ или просто неявно. Во всех этих случаях мы принимаем естественные обозначения для многократного использования групповой операции с одним элементом, т.е. $b^2:=b*b$ и подобные обобщения. Таким образом, общая проблема дискретного логарифмирования для циклической группы $С$ записанный в мультипликативной нотации, сгенерированный $b$ дано $ г \ в C $ найти целое число $х$ такой, что $ б ^ х = г $.

Другие группы записываются с помощью аддитивных обозначений (это обычно зарезервировано для абелевых групп, включая группы эллиптических кривых). В этом случае групповая операция обозначается $+$ (но не следует читать как сложение в обычном смысле) и снова существует естественное обозначение для многократного использования групповой операции с одиночными элементами, т.е. $2G=G+G$ и так далее. При такой записи задача дискретного логарифмирования для циклической группы $С$ Сгенерированно с помощью $G$ становится: дано $P\в C$ найти целое число $х$ такой, что $xG=P$.

Считается, что нет четкого перевода между задачами дискретного логарифмирования в разных группах. Есть группы, в которых проблема дискретного логарифмирования решается легко (например, аддитивные группы по модулю $р$, мультипликативные группы по модулю $2^n$ и даже (в квазиполиномиальном смысле) мультипликативная группа $GF(2^n)$).

Для частного случая мультипликативных групп по модулю $р$ самая известная (классическая) атака — это сито числового поля который решает задачу за субэкспоненциальное время. Эта атака может быть применена только к очень редким классам эллиптических кривых (Кривые MOV), а наиболее известными общими атаками на эллиптические кривые являются атаки «квадратичного корня», которые применяются ко всем группам.

Обратите внимание, что все задачи дискретного логарифмирования могут быть решены за (квантовое) полиномиальное время с помощью Алгоритм Шора.

PouJa avatar
флаг sr
Спасибо за ваш ответ. Пожалуйста, уточните последний вопрос. Ответ да или нет? Я все еще в замешательстве.
Daniel S avatar
флаг ru
Нет. Нет известного способа передать проблему.
Myria avatar
флаг in
Также обратите внимание, что все циклические группы изоморфны любой другой циклической группе того же порядка. Таким образом, $(\mathbb{Z}/{(p-1)}\mathbb{Z})^+$ и $(\mathbb{Z}/p\mathbb{Z})^\times$ изоморфны для простых $ p$, и все же дискретные логарифмы в $(\mathbb{Z}/{(p-1)}\mathbb{Z})^+$ просты, а дискретные логарифмы в $(\mathbb{Z}/p\mathbb{ Z})^\times$ сложно.
Рейтинг:0
флаг tl

Позволять $Е$ быть эллиптической кривой, заданной над конечным полем $\mathbb{F}_p$:

$$E : y^2 = x^3 + Ax + B \text{ с } A, B \in \mathbb{F}_p$$

Позволять $P$ и $Т$ быть точками в $E(\mathbb{F}_p)$. Найти целое число $а$ так что

$$ P =aG$$

Это проблема для эллиптических кривых. Задачу можно переписать с помощью логарифма:

$$ а = log_G (P)$$

Вы можете сравнить это со «стандартным» дискретным логарифмом:

$$ b^x \equiv r \mod p \Rightarrow x = log_b(r)$$

Теперь вы видите сходство?

Примечание: Ваш гений должен иметь эффективный способ сломать его, а не потому, что у него неограниченные ресурсы. И да, если у вас есть эффективный способ разбить дискретный логарифм, вы можете использовать его вариант для разбиения эллиптических кривых. Суть криптографии на эллиптических кривых заключается в том, что вычисления выполняются быстрее, чем для «стандартных» систем дискретного логарифмирования (у ecc есть много других плюсов).

PouJa avatar
флаг sr
какой смысл писать $P=a\times G$ как $a = log_G(P)$? Почему нельзя сказать $a=P\times G^-1$? Когда речь идет о логарифме, должно быть основание и степень. Здесь $G$ не возводится в степень $a$. это? @титанлорд
PouJa avatar
флаг sr
Почему вы говорите, что вычисления на эллиптических кривых выполняются быстрее, когда вычисление $r$ из $b$ и $x$ кажется намного более прямым по сравнению с вычислением $P$ из $a$ и $G$ с добавлением и функции удвоения, которые включают вычисление модульной инверсии много раз между ними? @Titanlord
Titanlord avatar
флаг tl
В $\mathbb{F}$ можно переписать задачи, как это сделал я. Это должно показать вам сходство проблем. Известные атаки на проблему дискретного журнала лежат в основе атак на эллиптическую кривую. Например. Baby-Step-Giant-Step.
Titanlord avatar
флаг tl
Вы можете вычислить это быстрее на бумаге. Но компьютеру со стандартными операциями требуется много времени для вычисления экспоненты в $\mathbb{F}$. В действительности это приводит к гораздо большему количеству операций, чем требуется для подхода сложения и двойного вычисления.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.