Рейтинг:5

Как решить, принадлежит ли точка на эллиптической кривой группе, порожденной генератором g?

флаг za

В схеме шифрования на основе эллиптических кривых существует циклическая группа, порожденная базовой точкой $G$ на эллиптической кривой.

Имея случайную точку на эллиптической кривой, есть ли способ решить, входит ли эта случайная точка в группу или нет?

kelalaka avatar
флаг in
Если вы знаете порядок подгруппы, включая полную группу, проверьте $[k]G$. Если он равен элементу идентификации, то он находится в этой группе. Обратите внимание, что элемент может быть членом более чем одной подгруппы.
Ievgeni avatar
флаг cn
@kelalaka Как вы могли быть уверены, что нет групп одного и того же порядка, которые отличались бы друг от друга?
kelalaka avatar
флаг in
В общем, в ECC мы хотим, чтобы маленькие кофакторы умирали от лестницы, а некоторые даже от простых кривых.Вопрос о ECC, не могли бы вы назвать одну стандартную кривую, которая имеет две большие подгруппы с одинаковым порядком? Для небольших заказов это также легко проверить.
Fractalice avatar
флаг in
@kelalaka у вас может быть две независимые группы одинакового размера на одной кривой
kelalaka avatar
флаг in
@Fractalice Да, не могли бы вы назвать один EC, который мы используем в ECC (OP спрашивает схемы ECC), который нам нужно увеличить $ k $ так, чтобы $ k ^ i | n$, где $i>1$ и $k$ — большое число, так что противник, ограниченный в вычислительных возможностях, не может решить DLog.
Рейтинг:8
флаг in

Ответ действительно зависит от известных нам криптографических эллиптических кривых!

  1. Криптографический EC основного порядка: Поскольку порядок подгруппы, порожденной элементом, должен делить порядок, то есть полная группа и группа элементов. $\mathcal{O}$ порядка $1$ ( Кривые NIST P P-192, P-224, P-256, P-384, P-521) кривые имеют простой порядок, указанный в NIST.FIPS.186-4 и взято из Сек1).

  2. Криптографическая ЭК с малым коэффициентом: В криптографии кривые имеют большой порядок, чтобы быть безопасными, и мы должны выбрать базовый элемент из самой большой подгруппы.Это связано с

    1. Защита от Алгоритм Полига-Хеллмана это сокращает время до наибольшего фактора и очень эффективно, когда порядок гладкий, т. е. все факторы малы.

    2. Чтобы иметь бирациональный эквивалент Монтогмери кривой, такой как Curve25519 с кофактором $8$ и Ed448-Златовласка с кофактором $4$. В этом случае у нас есть заказы для таких подгрупп, как; $2,4,8,п,2п,4п,8п$ (для кривой25519)*

      Чтобы увидеть, что точка $G$ в порядке $2$ или же $р$ легко, проверьте $2[Г]$ или же $[p]G$, если результат тождествен, то они в этой группе. Они, но они также находятся в подгруппе, которая содержит подгруппы. В подгруппе порядка есть элементы $2 пенса$ но не в подгруппе порядка $2$ или же $р$. Проверять $[2]G$ и $[p]G$ если они не тождественны, а $[2p]Г$ то он находится в подгруппе порядка $2 пенса$.

      Кляйн группа — наименьшая группа, имеющая две подгруппы порядка 2, она изоморфна $\mathbb Z_2 \раз \mathbb Z_2$. Это может помочь понять, что две разные подгруппы могут иметь одинаковый порядок.

      Кривые NIST B имеют кофактор 2, а кривые K имеют 4, и они взяты из Сек2.

  3. Изюминка криптографической EC: Изгиб известных кривых не имеет большого квадратичного множителя, как и в случае 2.

  4. Случайная кривая: Я понятия не имею об ожидаемом размере коэффициентов случайно сгенерированных кривых (видел некоторые работы). У нас может быть кривая с таким порядком, что она имеет большой фактор порядка 2 или более. В этом случае $[p]G$ не раскрывает членство в подгруппе. Для ее решения нам нужно найти генератор для каждой из подгрупп и попытаться решить DLog.

  5. Факторизация порядка группы не известна: В этом случае мы имеем проблема решения подгруппы (как указано в другом ответе)

    Данный $(n, G, G1, e)$ и элемент $x \в G$, вывод $1$ если порядок $х$ является $q_1$ и вывод $0$ в противном случае; То есть, не зная факторизации группового порядка $n$, решить, является ли элемент $х$ находится в подгруппе $G$. Мы называем эту проблему проблемой проблема решения подгруппы

    Хотя эта проблема дает интересные результаты в своем контексте, это не связано с эллиптическими кривыми, используемыми в ECDH, EdDSA и т. д. В эллиптических кривых все параметры общедоступны. Даже если вы не предоставляете факторизацию порядка кривой (непонятно, как вы собираетесь продавать свою кривую сообществу), можно учесть 829 бит (512-битная технология существует около 20 лет назад).

    Если вы рассматриваете кривые в очень большом порядке, мы можем сказать, что порядок кривых больше 512 бит (даже 256) не имеет большого значения, поскольку, как только алгоритм Шора установлен в криптографическом квантовом компьютере для 256-битных кривых, это вопрос раз исследователи сломают другой. Это видно из таблицы Работа Прооса и Залкса

введите описание изображения здесь

Постквантовый ECC, с другой стороны, использует скачки по изогениям вместо DH, и эта статья является хорошим введением для всех, кто хочет учиться.

В конце концов, единственные проблемные случаи — это не криптографические кривые.


* Там мы воспользовались Теорема Лагранжа по теории групп;

  • Если $Ч$ является подгруппой группы $G$ тогда $ ord (H) \mid ord (G) $

Следует отметить, что мы воспользовались обратной теоремой, если $х|орг(Г)$ то есть подгруппа порядка $х$. Это не всегда верно, и чередующаяся группа 4 степени $A_4$ это самый маленький пример.

dave_thompson_085 avatar
флаг cn
Nit: кривые NIST _over $F_p$, взятые из X9/SECG_ (P-#), которые широко используются, имеют простой порядок (кофактор 1); кривые над $F_{2^m}$ (B-# и K-#), которые почти никто не использует, имеют кофактор 2 или 4. Все еще находящийся в черновике SP800-186 добавляет Curve25519 и Curve448 (в Монтгомери формы Эдвардса _и_ Вейерштрасса! ), которые, как вы заметили, равны 8 и 4, а кривые Brainpool P # также равны 1.
Meir Maor avatar
флаг in
Я не согласен с утверждением в 4. Вы говорите, что в такой ситуации найти членство так же сложно, как DLOG? Это кажется сильным утверждением, если вы можете дать набросок доказательства, это было бы здорово.
Рейтинг:5
флаг cn

В целом нет. Для некоторых конкретных случаев (если $\mathbb{G}$ в порядке $q_1 q_2$ и $г$ порядка $q_1$ с $q_1, q_2$ два больших простых числа) проблема даже считается достаточно сложной, чтобы ее можно было использовать в качестве криптографического предположения, называемого предположением о решении подгруппы.

Более подробно вы можете посмотреть в Эта бумага.

Но все может быть по-другому, если у вас есть информация о поставках. Предположим, вы знаете порядок $q_1$ генератора $г$, и порядок всей группы $q_1 q_2$$q_1, q_2$ два взаимно простых числа).

Вы можете решить, если $G'$ находится в группе, созданной $г$ глядя, если $[q_1]G^{\prime}=0$.

Рейтинг:0
флаг za

Для случая порядок генератора $G$ является $q$, а порядок всей группы $q\cdot м$, куда $\gcd(q,m)=1$.

Так долго как $м$ не слишком большой, в частности $m<q+1$, согласно Теорема Силова, существует только одна подгруппа порядка $q$. Таким образом, можно решить, является ли точка $G'$ находится в группе, глядя, если $q\cdot G'=0$

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.