ed25519 攻擊

我試圖理解無效曲線攻擊和小子群攻擊。ed25519 私鑰的低 3 位被清除為 8 的倍數。

因此，攻擊者無法使用較小子組的公鑰或在無效曲線上獲取任何資訊。

這是否意味著在不需要 ECDH 之前檢查公鑰是否在曲線上？

釷

您仍然應該檢查是否存在無效的曲線攻擊，這些攻擊會提供密鑰低位以外的資訊。

例如 Neves 和 Tabouchi 的無效曲線攻擊（Degenerate curve Attacks：將無效曲線攻擊擴展到 Edwards 曲線和其他模型）使用了無效點 $ (0,y) $ 和 $ y\neq 1\pmod p $ . 如果我們使用 Edwards 公式計算標量倍數 $ k $ 這個無效點我們得到了答案 $ (0,y^k\mod p) $ . 如果我們選擇 $ y $ 是原始根模 $ p $ 並可以訪問這個答案，我們可以找到 $ k $ 通過求解乘法離散對數模 $ p $ （對於 255 位的特殊素數，即使在中等計算資源上也非常可行）。

引用自：https://crypto.stackexchange.com/questions/98499