можно сузить $у$ до одного из двух возможных значений.
Числа $х$ и $у$ представлять координаты эллиптическая кривая над конечным полем. В зависимости от кривой, выбранной для вашей схемы обязательств, будет уравнение кривой и, как правило, простое число. $р$ над которым определена кривая.
Например, широко используемая кривая NIST P256 определяется с помощью простого $p=2^{256}-2^{224}+2^{192}+2^{96}-1$ и уравнение
$$y^2\экв х^3-3x+b\pmod p$$
куда $b$ это число 0x5ac635d8aa3a93e7b3ebbd55769886bc651d06b0cc53b0f63bce3c3e27d2604b.
Данный $х$ мы можем вычислить $ у ^ 2 \ мод р $ используя это уравнение. Тогда должно быть два возможных квадратных корня, которые мы можем вычислить как
$$y=\pm (x^3-3x+b)^{(p+1)/4}\mod p.$$
В другой распространенной схеме используется кривая Ed25519, в которой используется простое число. $р=2^{255}-19$ и уравнение
$$-x^2+y^2=1-\frac{121665}{121666}x^2y^2\pmod p.$$
Опять же, учитывая $х$ можно переставить и решить для двух возможных $у$ значений (хотя вычисление не такое короткое, как приведенное выше).
В обоих случаях каждый из 2 $у$ значения возможны, и без дополнительной информации невозможно определить, какие из них верны.
