帶有“MOV”攻擊的嵌入度為 3 的橢圓曲線上的離散日誌
曲線 $ E(\mathbb{F}{47}):y^2=x^3+x+38 $ 有訂單 $ 61 $ 和 $ 61|47^3-1 $ 所以嵌入度 $ E $ 是 $ 3 $ 因此 MOV 攻擊,大概使用某種失真圖和合適的配對可用於找到離散對數。在這種情況下究竟是如何完成的?如果一個更大的例子能更好地說明該技術的力量,那麼 $ E(\mathbb{F}{8111}):y^2=x^3+x+300 $ 有訂單 $ 8269 $ 和 $ 8269|8111^3-1 $
讓我們以你的後一個例子為例。我們將在這裡使用 Weil 配對,因為那是最初的 MOV 方法。讓我們在曲線中選擇一些任意點:
$$ \begin{eqnarray} P &=& (6116 : 2715) \ Q &=& (3034 : 462) \end{eqnarray} $$ 從現在開始,我們實際上將在一個擴展領域工作 $ \mathbb{F}{8111} $ ,即 $ \mathbb{F}{8111^3} $ . 為了具體起見,我們選擇多項式 $ x^3 + 4x - 11 $ 定義擴展欄位。
現在我們需要找到一些有順序的任意點 $ 8269 $ 但不是的倍數 $ P $ . 我們知道程序點的組結構 $ n $ 在配對友好曲線中是 $ E(F_q)[n] = \mathbb{Z}_n \oplus \mathbb{Z}_n $ ,所以肯定有這樣的點。一個例子是
$$ R = (3515x^2 + 7098x + 2717 : 3745x^2 + 7258x + 4072). $$ 現在剩下的就是將 Weil 配對應用於兩個點:
$$ \begin{eqnarray} w_1 &=& e(P, R) \in \mathbb{F}{8111^3} \ w_2 &=& e(Q, R) = e(uP, R) = e(P, R)^u \in \mathbb{F}{8111^3} \end{eqnarray} $$ 現在我們可以解決日誌 $ w_1 = 7474x^2 + 74x + 6953 $ 和 $ w_2 = 2625x^2 + 6673x + 243 $ 超過 $ \mathbb{F}{8111^3} $ . 它是 $ 2634 $ , 很容易看出 $ 2634\cdot P = Q $ . 對於大欄位,查找速度要快得多 $ \log{w1} w2 $ 通過數字或功能欄位篩( $ L[1/3; c] $ ) 比橢圓曲線離散對數 $ \log_P Q $ 通過 Pollard 的 rho ( $ O(n^{1/2})) $ .