Позволять $Е$ быть известной, «безопасной» кривой, определенной над полем $\mathbb{F}_q$ куда $q$ является либо простым $\geq 5$ или мощность $2$. Обозначим через $n$ количество рациональных баллов $Е$.
Рассмотреть возможность $E/\mathbb{F}_{q^2}$, та же кривая, но определенная над 2-градусным полем расширения. Понятно, что любой $E(\mathbb{F}_q)$ является подгруппой $E(\mathbb{F}_{q^2})$, поэтому по Лагранжу, $m := |E(\mathbb{F}_{q^2})| = нл$. На самом деле, с предположениями Вейля, можно $m = n (2q + 2 - n)$.
Таким образом, мы видим, что дискретный логарифм расширенной кривой определяется наибольшим простым множителем $n$ или же $2q + 2 - n$, так что не так уж много битов безопасности можно получить, рассматривая эту кривую против известных атак на дискретный логарифм (например, если $n$ является наибольшим простым множителем $м$, буквально никакой безопасности не достигается). Но это нормально для моих целей.
Мой вопрос; Полезна ли расширенная структура злоумышленнику, например, возможна ли кривая $E(\mathbb{F}_{q^2})$ быть меньше безопасно, чем $E(\mathbb{F}_q$)? Моя интуиция говорит, что нет, потому что это было так, тогда нужно встроить любой экземпляр DLOG в расширенную кривую и решить это. Но существует ухудшение безопасности при использовании расширений более высокого уровня посредством передачи дискретных журналов! (например, см. 1 и 2)
