Регистрация Войти
Рейтинг:1
user77340 avatar Crypto

Равномерна ли f(G) при описанном условии в ECDSA?

флаг ie
user77340

В ЕСДСА, $f(G)=r$, куда $г$ это $$-координата группового элемента $G$. Теперь известно, что $f(G)$ не однородно(Почему нет $f(G)$ форма в ECDSA?). Тогда в каком диапазоне $f(G)$ является однородным?

Позволять $\лангле Г\рангл$ — циклическая группа на эллиптической кривой ECDSA с образующей $G$, и $S=\{x|f(W)=x,\forall W\in\langle G\rangle\}$. Мой вопрос: для любого $W\overset{\$}{\leftarrow}\langle G\rangle$, является $f(W)$ униформа в $S$?

87
0 + 0
fgrieu avatar
флаг ng
fgrieu
Подсказка: вопрос _не_ является точной копией связанного вопроса, по крайней мере, как это понимается в моем [ответе] (https://crypto.stackexchange.com/a/88281/555). В данном вопросе $S$ — это множество $x$, фактически достигнутое $f(W)$, когда я ответил об однородности по всему базовому полю (например, $[0,p)$ для secp256k1).
0
Ответить
kelalaka avatar
флаг in
kelalaka
@fgrieu моя ошибка, для $F_p$ нужно $p$ точек, чтобы иметь тривиальную однородность, хотя такие кривые совсем не безопасны.
0
Ответить
user77340 avatar
флаг ie
user77340
@fgrieu Я изменил название. Как насчет сейчас? Диапазон просто относится к выходу f.
0
Ответить
kelalaka avatar
флаг in
kelalaka
В общем, он неоднороден, поэтому мы применяем хеширование, чтобы смягчить эти...
1
Ответить
Рейтинг:3
fgrieu avatar Crypto
флаг ng
fgrieu

$ф$ определяется как функция от группы эллиптических кривых к конечному полю, используемому для определения кривой, что дает координату X рассматриваемой точки. Для целей этого определения я предполагаю нейтральность группового закона (иначе говоря, точку в бесконечности, и отмеченную $\infty$) имеет координаты $(г,г)$, с $z$ фиксированный элемент поля такой, что для $х=г$ уравнение кривой не имеет решения $у$ (для всех стандартные кривые над простым полем $\mathbb F_p$, и AFAIK все остальные, мы можем взять $г=0$, куда $0$ поле нейтрально).

Набор $S$ это образ всей группы $\лангле Г\рангл$ к $ф$, таким образом, подмножество поля, включающее $z$.

$ф$ почти точно равномерна на $S$: набор $S$ имеет $(n-1)/2$ элементы, где $n$ является (простым) порядком $\лангле Г\рангл$, и каждый элемент $S$ кроме $z$ имеет ровно два предшественника $ф$, имеющие одну и ту же координату X. $z$ имеет единственный антецедент, и это $\infty$. С криптографической точки зрения (таким образом, с $n$ достаточно большой, чтобы $\кв.п$ не является перечислимым), вероятность того, что счетное число независимых и равномерно случайных элементов $W_i$ из $\лангле Г\рангл$ включать $\infty$, столкнуться или столкнуться $f(W_i)$ является незначительным, и $f(W_i)$ являются (неотличимыми от) независимыми и равномерно случайными элементами $S$.

Аргумент: для данного $х$ в поле уравнение кривой становится фиксированным уравнением второй степени, которое в конечном поле имеет ноль, одно или два различных решения. Когда $х\в S$, случай нулевых решений имеет место только для $х=г$, по определению $ф$ и $S$. Случай одного решения не имеет места для стандартных кривых над простым полем (я не знаю исключения для других¹, а если бы оно и было, оно все равно было бы исключительным). Это оставляет два решения в качестве единственного (или, по крайней мере, наиболее распространенного) случая для $x\nz$.

¹ Это верно для кривых с уравнением $y^2=x^3+ax+b$, что имеет место для ECDSA с использованием простого поля. Доказательство, которое справедливо для любой кривой ECDSA, или опровержение приветствуются.

0 + 0
флаг kr
Ruggero
Относительно ¹: это точки с $y=0$ и имеют порядок 2. Я думаю, что, поскольку мы обсуждаем ECDSA, который требует обратимого $k$, имеет смысл определить его на большой подгруппе простого порядка (заданной генератором ), иначе некоторые $k$ могут оказаться необратимыми. В таких подгруппах нет точек порядка 2.
0
Ответить
fgrieu avatar
флаг ng
fgrieu
@Ruggero: я слежу за вами в отношении кривых с уравнением $y^2=x^3+ax+b$, что имеет место для [ECDSA с использованием простого поля] (https://www.secg.org/sec1-v2. pdf#subsubsection.2.2.1). Однако это также $y^2+x\,y=x^3+ax^2+b$, что имеет место для [ECDSA с использованием двоичного поля](https://www.secg.org/sec1-v2 .pdf#subsubsection.2.2.2).
0
Ответить
user77340 avatar
флаг ie
user77340
Спасибо за ваш ответ! Я просто пропустил тот факт, что x соответствует двум элементам группы.
0
Ответить
флаг kr
Ruggero
@fgrieu Вы правы, извините, я пропустил это.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.