Discrete-Logarithm
為什麼 ECDSA 是安全的?
我試圖理解為什麼在我看來,這違反直覺的構造是安全的。ECDSA 是兩個數字 (r, s) 的元組,其有效性可以通過公鑰驗證。但是,我看不出偽造簽名的唯一方法是破壞 EC 上的 DLog 問題的原因。我花了很多時間思考它,但仍然不明白瓶頸在哪裡。如果不知道私鑰,我們怎麼知道沒有其他算法可以生成 (r, s)?
我們沒有。據我所知,在任何模型中都沒有 ECDSA 的安全性證明。然而,包括比特幣和乙太坊在內的近 2年的野外使用將允許任何潛在的攻擊者獲得巨額利潤。這似乎從未發生過的事實是其安全性的良好經驗證據。
我也花了一段時間探索這個問題。我相信,如果您將曲線點到其 x 座標的映射建模為隨機預言函式,您可以使用分叉引理參數來證明簽名安全。這是不現實的,但這意味著任何偽造者都需要在點及其 x 座標之間找到有意義的關係,而且很難想像這樣的事情也不能解決離散對數問題。