除了密鑰和密文大小之外,各種協議的橢圓曲線版本還有哪些其他優勢?
有 Diffie-Hellman、ElGamal、DSA 和可能的其他協議/算法的橢圓曲線變體。我知道這些橢圓曲線變體具有更小的密鑰和密文大小,這將使通信(或儲存)更有效率。
這些標準協議/算法的橢圓曲線變體還有其他優點嗎?
具體來說,我對速度和功耗感興趣,但其他潛在優勢,如抗側通道攻擊也很感興趣。
橢圓曲線上的計算效率更高。粗略地說,當基域有大小時 $ n $ (對於 DH/ElGamal/DSA,模數的位大小 $ p $ ; 對於橢圓曲線,點座標的欄位大小)和“安全級別” $ t $ (例如 $ t = 80 $ 對於使用 160 位子組和 160 位散列函式時可以預期的“80 位安全性”),私鑰操作(解密、簽名生成)的計算成本大致為 $ O(n^2t) $ ,對於模組化和橢圓曲線變體。big-O 符號隱藏了一個常數,它大約是 $ 10 $ : 對於相同的 $ n $ 和 $ t $ ,橢圓曲線變體將比舊的模組化算法慢 10 倍。
然而,橢圓曲線的容忍度要低得多。 $ n $ 對於給定的安全級別。基本上,對於 $ t = 112 $ , 我們需要 $ n = 2048 $ 對於模組化算法,但是 $ n = 224 $ 對橢圓曲線來說已經足夠了(這些比較總是有點主觀,請參閱此站點了解詳細資訊)。報告公式中的值:即使因子為 10,橢圓曲線變體也將比強度相當的模組化算法快 8 倍以上。
另一點是二進製欄位。當實現平台是專用的 ASIC/FPGA 時,或者甚至當平台是不提供非常優化的乘法操作碼的小型 CPU(例如 ARM Cortex M0)時,二進制域上的曲線會給實現帶來巨大的提升,尤其是Koblitz曲線。它還對記憶體受限的系統有好處,例如,請參閱此展示文稿。“模組化”算法不能真正受益於二進制域計算(它可以定義,但二進制域上的離散對數比模隨機素數更容易,因此模組化 DH 或 ElGamal 的二進制域變體需要 $ n $ 兩倍大,因此減速四倍)。