ปลอดภัยหรือไม่ที่จะใช้เส้นโค้งวงรี Diffie Hellman กับ secp256k1.0

https://safecurves.cr.yp.to/index.html จะไม่เห็นด้วยที่ P-256 เป็นตัวเลือกที่ดีกว่า

ในตัวอย่างแรกอาจจะ "โอเค" ที่จะตรวจสอบ safecurves.cr แต่ถึงกระนั้น เราต้องการการวิเคราะห์การเข้ารหัสเพื่อกำหนดความปลอดภัย โดยอ้างอิงจากการแบ่งอัลกอริทึมหรือทฤษฎีทางคณิตศาสตร์ Curve25519 เร็วกว่า ไม่ปลอดภัยกว่า P-256 X25519 เป็นเพียง DH กับ Curve25519 เป็นตัวเลือกที่ยอดเยี่ยมสำหรับวัตถุประสงค์ในการทดลอง เป็นตัวเลือกที่ไม่ดีหากผู้คนเอาแต่ค้นหาที่ safeCurves.cr และเล่นเกมสมรู้ร่วมคิดของ NIST https://security.stackexchange.com/questions/50878/ecdsa-vs-ecdh-vs-ed25519-vs-curve25519 https://en.wikipedia.org/wiki/Curve25519 https://cr.yp.to/ ecdh.html https://www.intechopen.com/chapters/68653

ฉันเห็นว่าสามารถโต้แย้งได้อย่างไรว่า P-256 ปลอดภัยเท่ากับ Curve25519 โปรดช่วยยืนยันการอ้างสิทธิ์ของคุณว่า Curve25519 ไม่ปลอดภัยเท่า P-256

Curve25519 มีความปลอดภัย ไม่รองรับอย่างกว้างขวางเหมือน P-256 แม้ว่าอาจเปลี่ยนแปลงได้เนื่องจากกำลังได้รับความนิยมอย่างมาก สำหรับตอนนี้ ฉันมักจะยึดตามเส้นโค้งที่ใช้ทดสอบมากที่สุดเพื่อกำหนดความปลอดภัยหากเราจัดการกับอุตสาหกรรมการเงิน นั่นคือเหตุผลที่ฉันเลือก P -256, นอกเหนือจากการอ้างสิทธิ์ที่ขัดแย้งกันของประตูลับโดยเจตนา

P-256 เป็นที่นิยมเนื่องจากอยู่ในรายการ NIST NIST แนะนำ 25519 สำหรับ ECDSA กับ Edwards25519

@kelalaka: กลุ่มย่อยหลักใน P-256 มีค่าประมาณ $2^{256}$ ซึ่งนำไปสู่ ​​'ความปลอดภัย 128 บิต' สำหรับการโจมตีบันทึกแยก กลุ่มย่อยหลักใน Curve25519 มีค่าประมาณ $2^{252}$ ซึ่งนำไปสู่ ​​'ความปลอดภัย 126 บิต' ต่อการโจมตีบันทึกแบบแยกส่วน 128 > 126...

@knaccc: อ๊ะ; ความคิดเห็นล่าสุดของฉัน (เกี่ยวกับสาเหตุที่ Curve25519 อ่อนแอกว่า P-256 เล็กน้อย) ควรจะส่งถึงคุณ

คำถามนี้เป็นภาษาอื่นๆ: