ปลอดภัยหรือไม่ที่จะเปิดเผยจุด EC โดยพลการคูณด้วยรหัสลับ

สมมติว่าโดย "คำสั่งหลัก" คุณหมายถึง "คำสั่งหลัก" สิ่งนี้เรียกว่าปัญหา Diffie-Hellman แบบคงที่ และมีการโจมตีที่ทราบกันดีอยู่บ้าง สิ่งสำคัญที่ต้องพิจารณาจากด้านบนของหัวของฉันคือ:

• ชอน DLP พร้อมอินพุตเสริม โจมตี: มีหลายตัวแปร แต่ตัวอย่างเช่นถ้าลำดับความสำคัญ $p$ เส้นโค้งวงรีของคุณเป็นไปตามนั้น $d$ เป็นตัวหารของ $p-1$จากนั้นผู้โจมตีทำให้ มากมาย แบบสอบถามสามารถแก้ปัญหาการบันทึกแบบไม่ต่อเนื่องได้ทันเวลา $\widetilde{O}(\sqrt{p/d} + \sqrt{d})$ซึ่งในกรณีที่เลวร้ายที่สุด $d = \Theta(p^{1/2})$ เป็น $\widetilde{O}(p^{1/4})$. โดยหลักการแล้วสิ่งนี้อาจค่อนข้างแย่ แต่มีเหตุผลหลายประการที่ทำให้การโจมตีไม่คุกคามอย่างมากในการตั้งค่านี้ ประการแรก เนื่องจากความต้องการหน่วยความจำของการโจมตีและค่าส่วนใหญ่ของ $p$ จะค่อนข้างไกลจากกรณีที่เลวร้ายที่สุด เป็นไปได้ยากที่จะติดตั้งในทางปฏิบัติในสถานการณ์ส่วนใหญ่ ประการที่สองถ้า $\alpha$ เป็นรหัสลับ ผู้โจมตีจำเป็นต้องได้รับทั้งสองอย่าง $\อัลฟ่า G$ และ $\alpha^d G$ สำหรับ $G$ ตัวสร้างกลุ่ม และดูเหมือนว่าจะเป็นวิธีเดียวที่จะทำเช่นนั้นได้ $d$ แบบสอบถามแบบปรับเปลี่ยนตามลำดับ $G \to \alpha G \to \alpha^2 G \to \cdots \to \alpha^d G$. นี่เป็นสิ่งที่คาดหวังอย่างมากจาก oracle และเนื่องจากต้องใช้เวลา $O(d)$สิ่งนี้จะลดค่าที่เหมาะสมที่สุด $d$ ถึง $\Theta(p^{1/3})$ และเพิ่มความซับซ้อนของผลลัพธ์เป็น $\widetilde{O}(p^{1/3})$ (ขอย้ำอีกครั้งว่า $p-1$ มีแบบฟอร์มที่กำหนด) มีการตั้งค่าไม่มากนักที่ oracle จะตอบ $2^{85}$ สอบถามจากฝ่ายตรงข้าม นี่คือเหตุผลที่การโจมตี Cheon มักจะมีความเกี่ยวข้องมากกว่าในการตั้งค่าที่จัดกลุ่มองค์ประกอบในแบบฟอร์ม $\alpha^j G$ พร้อมใช้งานในรูปแบบคีย์สาธารณะ แทนที่จะได้รับโดยใช้แบบสอบถามตามลำดับ

• เกรนเจอร์ เขตข้อมูลส่วนขยาย โจมตีถ้าคุณบังเอิญใช้เส้นโค้งเหนือฟิลด์ส่วนขยายของระดับ $\geq 3$ (ซึ่งส่วนใหญ่มักจะไม่เป็นเช่นนั้น)

ขอบคุณ @fgrieu ที่ชี้ให้เห็นอย่างถูกต้องว่าความคิดเห็นหลายข้อที่ฉันทำเกี่ยวกับเรื่องนี้ไม่ถูกต้อง และยังชี้ไปที่ การอภิปรายที่เกี่ยวข้อง ในรายชื่อผู้รับจดหมายของ IETF