Рейтинг:1

Crypto

Можем ли мы решить ECC DLP, если сможем различить, сопровождается ли удвоение открытого ключа редукцией (по модулю n) или нет?

G. Stergiopoulos

06.09.2023, 20:20

Позволять $Е$ быть эллиптической кривой над простым или двоичным полем расширения $GF(2^м)$, и разреши $G(x_g,y_g)$ быть образующей точкой на кривой. Позволять $Q$ быть произвольной точкой $ Q = г * G $, с $г$ скаляр и $Q$ элемент из группы образующих $G$ порядка $n$.

Я читал в некоторых источниках (например, здесь для кривых над бинарными полями расширения), что, если актор может различить, является ли удвоение $Q$ сопровождается редукцией (по модулю $n$), то математически следует, что он может различать использование алгоритма деления (0) или вычитания-деления для обращения искомого числа $2^lG$ или же $(2^l + 1) Г$, для чего требуется не более $log_2n$ делений и, таким образом, обратить умножение эллиптических кривых и решить DLP для бинарных эллиптических кривых.

Тем не менее, я не понимаю, почему знание о том, является ли удвоение уменьшенным модом $n$ или не предоставляет достаточно информации для решения DLP. Может кто-нибудь уточнить?

0 + 0

эллиптические кривые

конечное поле

kelalaka

06.09.2023, 20:26

Похоже на [первое изображение этого ответа] (https://crypto.stackexchange.com/a/75419/18298). Вот почему нам нужна [полнота] (https://safecurves.cr.yp.to/complete.html)

Ответить

Aman Grewal

06.09.2023, 20:43

Есть ли особая причина, по которой вы не включаете кривые поверх других полей расширения?

Ответить

G. Stergiopoulos

06.09.2023, 20:46

@kelalaka как сложение точек, так и умножение могут привести к уменьшению mod n, я не вижу связи с измерением энергопотребления и определением битов экспоненты с рассматриваемым вопросом.

Ответить

G. Stergiopoulos

06.09.2023, 20:46

@AmanGreval Не особенно, просто из-за дел, над которыми я работаю, на случай, если это имеет значение (хотя я ничего не могу придумать). Возможно, мне следует обобщить вопрос.

Ответить

kelalaka

06.09.2023, 20:49

Дело не в моде, а в разных формулах удвоения и сложения...

Ответить

G. Stergiopoulos

06.09.2023, 20:56

Извините, но я не понимаю вашей мысли. Пожалуйста, уточните ответ, если вам это нравится.

Ответить

kelalaka

06.09.2023, 21:22

Чтобы увидеть [Посмотрите стандартные формулы сложения и удвоения] (https://crypto.stackexchange.com/a/66296/18298)

Ответить

G. Stergiopoulos

06.09.2023, 21:25

@kelaka Я полностью осведомлен обо всем этом, ваши мысли либо неполны, либо вырваны из контекста, поэтому, пожалуйста, будьте так любезны, либо уточните ответ, либо просто позвольте кому-то другому сделать это. Спасибо за уделенное время.

Ответить

Jyrki Lahtonen

03.10.2023, 05:44

Я не могу комментировать статью, на которую вы ссылаетесь, потому что она находится за платным доступом. Мое (вероятно, очень устаревшее) понимание состоит в том, что kelalaka обсуждает процедуру защиты умножения на $r$, ослепляя его, используя вместо этого $r+m*n$, $m$ random.Таким образом, когда злоумышленник по побочному каналу пытается восстановить $r$ побитно (в соответствии с выбором ветки в двойном добавлении), у него нет возможности собирать статистические данные из нескольких прогонов, поскольку $m $ варьируется от одного запуска к другому. В связанной статье может обсуждаться что-то совершенно другое.

Ответить

G. Stergiopoulos

03.10.2023, 10:35

@JyrkiLahtonen, действительно, я тоже это понимаю, но это выходит за рамки заданного вопроса, и да, в статье обсуждается что-то еще.Мой вопрос связан не с утечкой битов из-за дифференциальных тестов, а с использованием мода p в качестве дискриминатора в уравнениях ECC при вычислении удвоений и сложений. Мое первоначальное понимание состоит в том, что если мы знаем, что конкретная координата x включает или не включает модульное сокращение, то мы можем различать ситуации для принудительного обратного двоичного поиска по открытому ключу, следуя сделанным удвоениям/сложениям. [продолжение]

Ответить

G. Stergiopoulos

03.10.2023, 10:36

[продолжение] По крайней мере, это то, что я *думаю* подразумевает из статьи, но не могу выразить это математически.

Ответить

Admin

Этот вопрос на других языках:

EN: Can we solve the ECC DLP if we can distinguish whether the doubling of a public key is accompanied by reduction (modulo n) or not?

TH: เราสามารถแก้ไข ECC DLP ได้หรือไม่ หากเราสามารถแยกได้ว่าการเพิ่มพับลิกคีย์นั้นมาพร้อมกับการลดลง (modulo n) หรือไม่

RO: Putem rezolva ECC DLP dacă putem distinge dacă dublarea unei chei publice este însoțită de reducere (modulo n) sau nu?

RU: Можем ли мы решить ECC DLP, если сможем различить, сопровождается ли удвоение открытого ключа редукцией (по модулю n) или нет?

VI: Chúng ta có thể giải quyết ECC DLP nếu chúng ta có thể phân biệt liệu việc nhân đôi khóa công khai có đi kèm với việc giảm (modulo n) hay không?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.