Знаете ли вы протоколы, где необходимо получить несколько "независимых" точек на одной и той же эллиптической кривой?

Рассмотрим эллиптическую кривую $Е$ определенный над конечным полем $\mathbb{F}_{\!q}$ с фиксированным ненулевым значением $\mathbb{F}_{\!q}$-точка $P$. Пусть для простоты порядок $\mathbb{F}_{\!q}$-точечная группа $E(\mathbb{F}_{\!q})$ быть простым, и, следовательно, группа порождена $P$. Ради безопасности в многочисленных протоколах эллиптической криптографии (например, в безопасной версии Dual_EC_DRBG) нам нужно сгенерировать еще один «независимый» $\mathbb{F}_{\!q}$-точка $Q$ на $Е$.

Пожалуйста, ответьте на вопрос. Знаете ли вы протоколы, где необходимо получить более «независимые» $\mathbb{F}_{\!q}$-точки на одной кривой? Другими словами, партия имеет дело с «независимыми» $\mathbb{F}_{\!q}$-точки $Q_1$, $Q_2$, $\ldots$, $Q_n$ в дополнении к $P$. Под «независимыми» я подразумеваю такие точки, дискретные логарифмы которых друг относительно друга никто не знает.

Я спрашиваю вас, потому что для некоторых $Е$ и $n$ Я умею производить одновременно несколько $Q_i$ быстрее, чем их раздельная генерация. Я хотел бы понять, достоин ли мой подход публикации в хорошем научном журнале. Или, может быть, это даже имеет какое-то отношение к реальной криптографии.

В нескольких схемах используется функция «хэш-точка», где необходимо сгенерировать точку EC, в которой дискретный лог относительно. любая другая точка EC неизвестна. В частности:

1. Связываемая кольцевая подпись. Необходимо сгенерировать «образ ключа», где можно проверить правильность «образа ключа», объявленного с помощью подписи, и где, если бы тот же подписывающий (использующий тот же закрытый ключ) снова создал кольцевую подпись (даже с другими другие участники кольца с открытым ключом), было бы ясно, что они использовали один и тот же закрытый ключ для повторной подписи. Видеть здесь для деталей.

2. Незаметная псевдослучайная функция использует хэш-точку для кодирования входных значений PRF в виде точек EC. здесь.

3. Забывчивая передача использует хэш-точку, а EC El Gamal может использовать хэш-точку, если вам нужно только кодирование сообщений в точки для перехода в одном направлении. См. пример обоих здесь.

4. Этот доказательство отсутствия членства использует хэш-точку для варианта обязательств Педерсена, где обязательство должно быть ослеплено, но не должно быть аддитивно гомоморфным.

Ваш вопрос по существу: полезно ли иметь возможность пробовать кортеж $(Q_1, Q_2, \dots, Q_n) \in E(F)^n$ таким образом, что отношения между точками неизвестны, но кортеж не выбирается из равномерного распределения.

С практической точки зрения есть два вопроса:

• Часто эти точки замеряются при генерации параметров системы, что случается не очень часто и не критично по времени.
• Многие схемы кажутся безопасными, даже если точки не были выбраны из равномерного распределения.

То есть практически это часто не очень полезно, но и часто небезопасно, по крайней мере с виду.

Основное возражение состоит в том, что доказательства безопасности этих схем иногда полагаются на возможность выборки кортежа. $(Q_1,\точки,Q_n)$ с некоторым встроенным люком, и это часто трудно сделать, если вам нужно неравномерное распределение в кортеже. Тогда это разрушит доказательство безопасности. (Пример: предположим, что я хочу иметь возможность двусмысленно начинать мульти-обязательства Педерсена.)

Некоторых людей это может не волновать, но я думаю, что большинство криптографов очень неохотно приняли бы это без какой-либо явной выгоды.

Другими словами, я ожидаю, что алгоритм, который у вас должен быть, в основном бесполезен, а иногда и непригоден для использования.

Тем не менее, алгоритм, который вы придумали, может быть кому-то интересен по каким-то причинам, независимо от этих препятствий. Или у него могут быть другие интересные свойства. Так что, возможно, стоит опубликовать.