Рейтинг:0

Можете ли вы восстановить $y$, если у вас есть $x$ в хэше Педерсена?

флаг nz

(может глупый вопрос)

Хэш Педерсена работает следующим образом: $(х, у) = кГ$ куда $к$ является прообразом и $(х, у)$ является результирующим хешем.

Скажем, мы скрываем часть хэша, чтобы сохранить конфиденциальность. Может ли злоумышленник получить $у$ если бы они только знали $х$ учитывая, что они не знают прообраза?

Другими словами, зная $х$ может ли злоумышленник найти $у$ даже если они не знают $у$ ни $к$.

kelalaka avatar
флаг in
Может быть дубликатом [Корни в поле по модулю] (https://crypto.stackexchange.com/q/20636/18298) и [Возможно ли вычислить координату y точки на SECP256K1, учитывая только x- координата] (https://crypto.stackexchange.com/q/82027/18298)
флаг nz
Спасибо. На самом деле вам нужно только знать, является ли $y$ нечетным или четным, чтобы полностью восстановить пару $(x, y)$.
kelalaka avatar
флаг in
Для будущих поисков добавьте это в свой список [SEC 2: Рекомендуемые параметры домена эллиптической кривой] (https://www.secg.org/sec2-v2.pdf)
Рейтинг:1
флаг ru

можно сузить $у$ до одного из двух возможных значений.

Числа $х$ и $у$ представлять координаты эллиптическая кривая над конечным полем. В зависимости от кривой, выбранной для вашей схемы обязательств, будет уравнение кривой и, как правило, простое число. $р$ над которым определена кривая.

Например, широко используемая кривая NIST P256 определяется с помощью простого $p=2^{256}-2^{224}+2^{192}+2^{96}-1$ и уравнение $$y^2\экв х^3-3x+b\pmod p$$ куда $b$ это число 0x5ac635d8aa3a93e7b3ebbd55769886bc651d06b0cc53b0f63bce3c3e27d2604b.

Данный $х$ мы можем вычислить $ у ^ 2 \ мод р $ используя это уравнение. Тогда должно быть два возможных квадратных корня, которые мы можем вычислить как $$y=\pm (x^3-3x+b)^{(p+1)/4}\mod p.$$

В другой распространенной схеме используется кривая Ed25519, в которой используется простое число. $р=2^{255}-19$ и уравнение $$-x^2+y^2=1-\frac{121665}{121666}x^2y^2\pmod p.$$

Опять же, учитывая $х$ можно переставить и решить для двух возможных $у$ значений (хотя вычисление не такое короткое, как приведенное выше).

В обоих случаях каждый из 2 $у$ значения возможны, и без дополнительной информации невозможно определить, какие из них верны.

флаг nz
Ух ты. Это действительно полезно, спасибо. Похоже, что значение $y$ действительно добавляет к хэшу только 1 бит энтропии.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.