Вас смущает то, что вы считаете скалярное умножение (в ваших обозначениях $х\cdotP$) как умножение на конечном поле. На самом деле;
скалярное умножение на эллиптических кривых $[х]Р$ на самом деле означает добавление $P$ сам $х$-раз. Вот как рассчитывается публичная точка из закрытого ключа, первая — это точка на кривой, вторая — целое число. Более формально;
позволять $x \in\mathbb{N}\обратная косая черта\{ 0\}$
\начать{выравнивать}
[x]:&E \к E\
&P\mapsto [x]P=\underbrace{P+P+\cdots+P}_{\text{$x$ раз}}.\end{align}
Здесь $P+P =[2]P\;(=2\cdot P)$ означает добавление точки и имеет специальные формулы, полученные из правила касательной хорды. С этим добавлением точек для кривой, заданной над конечным полем, точки образуют конечную абелеву группу, и со скалярным умножением мы имеем $Z$-модуль.
Когда мы говорили о данном $[х]Р$ и $P$ найти $х$ это проблема с дискретным логарифмом на эллиптических кривых. На некоторых кривых это легко, однако на secp256k1 это непросто и классическая атака стоит $\mathcal{O}(\sqrt{n}$) пока $n = порядок(P)$ с Ро Полларда. Лучше всего реализованная атака использовала параллельная версия алгоритма кенгуру Полларда на $2^{114}$ интервал.
Алгоритм Шора (если когда-либо будет реализован для реального размера и все проблемы будут решены) можно решить дискретный логарифм за полиномиальное время. Оценку атаки можно посмотреть здесь
На самом деле никому не нужно $у$ координировать атаку. Может быть не более двух $у$ значения для данного $х$ так долго как $х$ — координата точки, удовлетворяющей уравнению кривой.
Стандарт ECDSA, с другой стороны, некоторые другие реальные проблемы, кроме алгоритма определения периода Ро Полларда и алгоритма Шора.
Повтор одноразового номера: приватный ключ немедленно утекает.
Смещение генератора случайных чисел для одноразового номера, решетчатые атаки раскрывают ключ. Даже крошечная предвзятость;
Короткий рандом, да, который существовал в биткойнах;
У нас есть лучшая альтернатива, детерминированный ECDSA Томас Порнин и Биткойн и другие начали использовать.
