可以終止的橢圓曲線加密實現
我想按照 secp256k1 的方式實現橢圓曲線加密,在發布某些資訊之前它是安全的,之後它就會被破壞。
一個想法是在環上使用橢圓曲線 $ Z_n $ 在哪裡 $ n=pq $ 也許 $ n=pqr $ 在哪裡 $ p $ , $ q $ 和 $ r $ 是大小相似的素數,並且每個因子上的曲線階也是素數。這些因素將足夠小,以至於各個因素的曲線上的離散對數將非常實用,但要考慮因素 $ n $ 仍然很難。
使用上述結構,環的“順序”將是一個很難分解的大型複合材料,因此發布它不會有問題,並且在加法操作未定義的點之間發生的可能性(因此導致n) 的因式分解很小。
這些參數可用於實現一個安全的方案,直到分解 $ n $ 發布後它被打破。這個方案有問題嗎?
字節幣
顯然,我的問題已經被問過,如 Trapdooring Discrete Logarithms on Elliptic Curves over Rings
我的特定答案在基於身份的密碼系統的安全性和相關減少中被證明是被破壞的
簡而言之,當你在一個場上指定一條橢圓曲線並給出它的順序時,你當然可以免費獲得扭曲的順序。對於隨機選擇的 x 座標,您在預期曲線或扭曲上獲得一個點的機會大致相同。類似的考慮適用於環上的橢圓曲線,並且通過將幾個任意點乘以環的“組”順序,您可以分解 n。
這篇文章概述了一些有趣的減少,從知道曲線的順序 $ n $ 保理 $ n $ .
前一篇論文似乎為我試圖解決的基本問題提供了解決方案。
字節幣
如果曲線上的離散對數超過 $ \mathbb{Z}_n $ 那麼很容易 $ n $ 可以很容易地分解,精確地使用橢圓曲線分解方法,我們確實在環上使用曲線 $ \mathbb{Z}_n $ 並熱切希望計算失敗,即達到一個不可逆的值。帶數字:實際上,當最小因子不超過 200 位時,ECM 工作得很好,但是橢圓曲線上的“簡單”離散對數需要小得多的域(努力打破 128 位上的單個離散對數曲線已經開始,但需要幾年時間)。