為什麼 ECDSA 是安全的？

我試圖理解為什麼在我看來，這違反直覺的構造是安全的。ECDSA 是兩個數字 (r, s) 的元組，其有效性可以通過公鑰驗證。但是，我看不出偽造簽名的唯一方法是破壞 EC 上的 DLog 問題的原因。我花了很多時間思考它，但仍然不明白瓶頸在哪裡。如果不知道私鑰，我們怎麼知道沒有其他算法可以生成 (r, s)？

我們沒有。據我所知，在任何模型中都沒有 ECDSA 的安全性證明。然而，包括比特幣和乙太坊在內的近 2年的野外使用將允許任何潛在的攻擊者獲得巨額利潤。這似乎從未發生過的事實是其安全性的良好經驗證據。

我也花了一段時間探索這個問題。我相信，如果您將曲線點到其 x 座標的映射建模為隨機預言函式，您可以使用分叉引理參數來證明簽名安全。這是不現實的，但這意味著任何偽造者都需要在點及其 x 座標之間找到有意義的關係，而且很難想像這樣的事情也不能解決離散對數問題。

引用自：https://crypto.stackexchange.com/questions/52606