Регистрация Войти
Рейтинг:3
killertoge avatar Crypto

В чем причина использования эллиптических кривых порядка |E| = фр.

флаг lk
killertoge

Чтобы быть более точным, в книгах я иногда вижу, что они просто требуют, чтобы порядок вашей эллиптической кривой был $|Е| = франк $, куда $f$ — небольшое целое число с возможными множителями, но $г$ является большим простым числом. Я знаю, что это нормально при работе с ECC, поскольку, например, ECDLP так же сложна, как и самая большая подгруппа простого порядка. Но почему стремление работать с этим? Легче ли на практике сформировать такой ордер EC? Почему бы, например, не работать с |E| = р?

94
0 + 0
kelalaka avatar
флаг in
kelalaka
Чтобы иметь лестницу Монтгомери, найдите это... (иначе лестница Джоя, которая медленнее)... [Почему в curve25519 используется кофактор 8?] (https://crypto.stackexchange.com/q/75847/18298) где ваш $r$ является кофактором..
5
Ответить
poncho avatar
флаг my
poncho
Отвечает ли это на ваш вопрос? [Зачем кому-то использовать эллиптическую кривую с кофактором > 1?](https://crypto.stackexchange.com/questions/2881/why-would-anyone-use-an-elliptic-curve-with-a-cofactor- 1)
2
Ответить
Рейтинг:4
kelalaka avatar Crypto
флаг in
kelalaka

Позволять $Е$ быть эллиптической кривой над конечным полем $К$. Тогда точки, удовлетворяющие уравнению кривой, образуют абелеву группу относительно сложения точек. Заказ группы $q= \#Е(К)$ может быть простым или составным. Если порядок простой, они называются простые кривые. Позволять $р$ — наибольшее простое число такое, что $p\середина q$. Кофактор $ч$ определяется как $h=q/p$.

Есть тонкие моменты в наличии простого порядка (т.е. $ч=1$) или не ($ч>1$).

  • Когда у нас есть простые кривые, каждый элемент является генератором, кроме единичного элемента. Это легко увидеть с помощью теоремы Лагранжа по теории групп; порядок подгруппы делит порядок группы. Поскольку порядок группы простой, все подгруппы имеют тот же порядок, что и группа.

    Это безопасно от атаки Полига-Хеллмана, когда групповой порядок не является простым.

  • Когда $ч>1$ у нас есть несколько подгрупп. Рассмотрим кривую 25519, где $ч=8$ а это означает, что могут быть подгруппы порядка $2,4,8,2п,4п,д=8п$ (Обратное к теореме Лагранжа, вообще говоря, неверно, однако можно проверить, что такие подгруппы этой кривой действительно существуют).

    Конечно, нельзя выбрать кривую, имеющую два больших штриха, делящих порядок кривой. Так что Pohlig-Hellman здесь не очень поможет.

    В этом случае еще есть атаки. Если законный пользователь не подчиняется руководствам, для которых он уязвим Лима-Ли активно атакует небольшими подгруппами. Если они повинуются проводникам, они в безопасности от этой атаки. Конечно, мы в свободном мире не слушаем указаний, тогда Monero и другие имели точки атаки на своих выполнение. Майк Гамбург снял это бремя, построив Без кофеина чтобы смягчить проблему от рук законных пользователей.

    Если вы не слушаетесь руководства, вам нужно проверка точки.

Так почему же мы используем непростые кривые? Ответ в исполнении

  • Лестница Монгомери обеспечивает быструю и регулярную структуру для вычисления скалярного умножения на кривых Монтгомери. Структура может иметь защиту по сторонним каналам, если она правильно реализована. Чтобы иметь представление Монтгомери, эта кривая должна иметь элемент порядка $4$.

  • Для простых кривых существует Джой Лестница, однако, это не так быстро, как лестница Монтгомери.

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.