Проблема с семенами P256

Я читаю об эллиптических кривых и их истории, и кажется, что люди не доверяют семени P256, которое определено в ФИПС 186-3 на стр. 89 быть

СЕМЯ = c49d3608 86e70493 6a6678e1 139d26b7 819f7e90

Который, как подозревают люди, мог быть создан злонамеренно.

Мне интересно, что произойдет, если семя будет выбрано таким образом, что в вычислительном отношении очень сложно не быть случайным, например. из десятилетней истории биткойн-блоков?

Предположим, мы делаем следующее. Мы определяем максимальный номер блока Биткойн, например. 730422, который является последним блоком биткойнов. Отправной точкой является блок генезиса биткойнов. Теперь повторяем процесс:

1. Хешируйте хэш блока, чтобы получить X
2. семя += X[0]
3. Вычислите следующую высоту блока как X % 730422
4. Повторяйте 1, пока у нас не будет достаточно длинного семени.

Будет ли такое семя безопасным, если предположить, что более десяти лет энергия не была сгенерирована злонамеренно?

Параметры кривой были сгенерированы с помощью $y^2=x^3+ax+H(s)$ с $Ч$ являющийся SHA-1 и $s$ будучи особым семенем. Поскольку значения генерируются путем передачи начального числа через SHA-1, было бы трудно взломать кривую, если только не существует такого массивного класса слабых кривых, которые можно было бы найти методом грубой силы, или SHA-1 не был уязвим для тривиального прообраза. атаки. Обе возможности кажутся крайне маловероятными. Согласно с статья на эту тему, АНБ должно было бы знать о классе по крайней мере $2^{61}$ слабые кривые 1997 года, которые до сих пор неизвестны, и смогли выполнить $2^{86}$ битовые операции до того же года. Это невероятно маловероятно.

Хотя ваше предложение абсолютно затруднило бы такую ​​атаку, атака уже непрактична, если не невозможна. Кроме того, если вы беспокоитесь о кривой кривой, гораздо лучше использовать безопасная кривая с параметром «ничего в рукаве». Смотрите также этот ответ Томас Порнин.