ความปลอดภัยของ ECDSA สามารถถูกโจมตีโดยพารามิเตอร์ที่เลือกได้หรือไม่?

ตัวอย่างเช่น ฉันสามารถใช้:

ถ้าบันทึกแยกลับๆ แล้วกับจุดฐานมาตรฐาน $G$จากนั้นการเปลี่ยนฐานไปยังจุดอื่นบนเส้นโค้งไม่ได้ช่วยแก้ปัญหานี้

ให้คุณรู้ว่า $G$ ถูกลับๆ และคุณเปลี่ยนฐานเป็น $G' \neq G$. จากนั้นเอนทิตีที่สร้างแบ็คดอร์สามารถใช้สิ่งนี้เพื่อค้นหาคีย์ส่วนตัว

อนุญาต $P = [k]G'$ เป็นกุญแจสาธารณะกับฐานใหม่ ผู้โจมตีแก้ไข Dlog ของ $G' = [a]G$ ครั้งเดียวเท่านั้น. ใช้รูปแบบนี้ $P = [ak]G$. ซึ่งอยู่ในฐานลับๆ เพื่อให้พวกเขาสามารถแก้ปัญหา logairhtmm แยกเพื่อค้นหา $ak$. ครั้งหนึ่ง $ak$ พบแล้ว การแยกรหัสลับสามารถทำได้ด้วยเลขคณิตแบบโมดูลาร์อย่างง่าย $k = ak \cdot a^{-1} \bmod n$ ที่ไหน $a^{-1}$ เป็นสิ่งที่ตรงกันข้ามกับ $a$ ในโมดูโล $n$.

ดังนั้น เมื่อคุณมีลอการิทึมแยกแบบลับๆ แล้ว เส้นโค้งจะไม่ปลอดภัยที่จะใช้ รวมเป็นหนึ่งเดียว หากจุดฐานมีประตูกล จุดฐานทั้งหมดก็มีประตูกล!

อย่างไรก็ตาม หากฉันเปลี่ยนพารามิเตอร์เหล่านี้และใช้พารามิเตอร์เหล่านั้น ความปลอดภัยของฟังก์ชันประตูกลจะถูกลดทอนลงอย่างมากหรือไม่

การเปลี่ยนพารามิเตอร์ $p,a$, และ $ข$ ที่กำหนด $n$ และ $h$ยกเว้นจุดฐาน เปลี่ยนเส้นโค้งและเส้นโค้งใหม่ต้องได้รับการวิเคราะห์อย่างกว้างขวาง

1. คำสั่งเส้นโค้งมีเฉพาะหรือมีปัจจัยสำคัญมากหรือไม่?
2. การบิดของเส้นโค้งมีลำดับเฉพาะมากหรือไม่?
3. มีบันทึกแยกที่ปลอดภัยหรือไม่?
4. ...

เหล่านี้เป็นพื้นฐาน ดูเพิ่มเติมเกี่ยวกับเรื่องนี้ เซฟเคิร์ฟ