為什麼在 ECDSA 中選擇循環子群？

我想了很長時間的一件事，在進行網路搜尋後我沒有找到答案，希望在這裡找到答案。

當我們在素數域上構造橢圓曲線時，為什麼我們實際上選擇一個循環子群而不是取整個橢圓曲線的群？

在旁注中，這個選擇最讓我困惑的是：我們知道素數階的循環子群p同構Z/pZ，找到同構意味著求解離散對數。

與保持完整的橢圓曲線相比，切換到循環組實際上似乎更容易解決問題。

群中離散對數問題的安全性僅與最大素子群的安全性一樣難。

正因為如此，在更大的團隊中工作並沒有安全收益。然而; 情況更糟。如果您在較大的組中工作，則必須確保在乘法時不會意外地進入（小得多的）子組。

引用自：https://bitcoin.stackexchange.com/questions/84820