Рейтинг:1

Порядок точки на эллиптической кривой и порядок базового поля

флаг hr

я смотрю на ФИПС-186 стандарт. На странице 88 приведена таблица, в которой рекомендуется размер базового поля для эллиптической кривой в зависимости от порядка $n$ точки на кривой. Кажется, что цифры не имеют смысла. Например, он говорит, что если битовая длина $n$ между $161$ и $223$, то битовая длина окружающего конечного поля должна быть $192$. Но если вы отклонитесь от этих цифр, есть большая вероятность, что $n$ будет больше размера самой группы эллиптических кривых. Например, скажите $p \приблизительно 2^{192}$ и битовая длина $n$ равно $223$. Тогда по теореме Хассе количество точек на эллиптической кривой будет меньше, чем $2^{192} + 1 + 2^{96}$, что намного меньше, чем $n$.

Может кто-нибудь объяснить мне, что означает таблица в стандарте?

Рейтинг:2
флаг gb

СП 800-57, Таблица 2 (на стр. 54) определяет пять уровней безопасности.Для каждого из этих уровней безопасности в этой таблице приведены рекомендуемые диапазоны размера $n$, порядок используемой группы эллиптических кривых.

Таблица D-1 в FIPS 186 предлагает соответствующие размеры базовых полей для соответствия каждому из диапазонов.

Например, СП 800-57 предполагает, что кривые порядки $160$-$223$ биты должны использоваться только тогда, когда меньше чем $80$-Бит безопасности требуется. Затем FIPS 186 предлагает использовать $192$-кусочек $р$ в таком случае.

Вы правы, что базовое поле с порядком $р$ битовой длины $192$ никогда не приведет к группе эллиптических кривых с $223$-разрядный порядок. Это противоположно тому, как следует интерпретировать таблицу.

флаг hr
поэтому следует читать таблицу так: "если я хочу уровень безопасности менее 80 бит, я должен работать над подгруппой порядка 161-223, сгенерированной точкой на эллиптической кривой. Чтобы быстро найти такую ​​точку, моя кривая должно быть больше $\mathbb F_p$, где $p$ имеет длину $192$ бит"
флаг hr
Также я не уверен, должен ли я задать другой вопрос по этому поводу, но я также не понимаю, почему параметры, указанные в таблице FIPS, будут генерировать кривые, устойчивые к атаке MOV и атаке Фрея Рака. Не могли бы вы прояснить это? Спасибо!
fgrieu avatar
флаг ng
@cryptolearner: Мое довольно ограниченное понимание состоит в том, что атака Фрея-Рюка применяется к парам, а не к стандартным группам эллиптических кривых. Последняя является единственным типом эллиптической кривой в FIPS 186-4 и IIRC SP 800-57.
meshcollider avatar
флаг gb
> «Чтобы быстро найти такую ​​точку, моя кривая должна проходить над Fp, где p имеет длину 192 бита». - это не имеет никакого отношения к выбору точки генератора. Это просто рекомендация по размеру поля, чтобы порядок кривой находился в правильном диапазоне.
meshcollider avatar
флаг gb
> «сгенерирует кривые, устойчивые к атаке MOV и атаке Фрея Рака». - это зависит от кривой, а не от $p$. В том же документе предлагаются определенные кривые, которые считаются безопасными для всех известных атак.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.