EC基數磷3+c磷3+CP^3+c3代GGG,F=P⋅G,H=磷2⋅GF=磷⋅G,H=磷2⋅GF = Pcdot G,H=P^2cdot G和 2 個隨機成員米1+我G+jF+kH=米2米1+一世G+jF+ķH=米2M_1+iG+jF+kH…
給定一個具有基數的 EC $ C=P^3+c $ 和 $ P $ 一個素數 $ P \approx \sqrt[3]{C} $ 和 $ c>0 $ . 在給定的生成器之外 $ G $ 我們生成兩個額外的生成器 $ F,H $ 和 $$ F = P \cdot G $$ $$ H = P^2 \cdot G $$
(所有仍然會生成一個長度序列 $ P^3+c $ )
現在給定一個隨機成員 $ M_1 $ 我們可以生成一個 EC $ P\times P \times P $ 不同成員的立方體 $$ M_1 +i\cdot G+j\cdot F+k\cdot H = V_{M_1ijk} $$ $$ i,j,k \in [0,P-1] $$ $$ |{V_{M_1ijk}}| = P^3 $$
每個其他隨機成員 $ M_2 $ 可以生產出來 $ M_1 $ 和: $$ M_2 = M_1+i\cdot G+j\cdot F+k\cdot H $$ $$ i,j,k \in [0,P] $$
問題:
現在給定兩個隨機成員 $ M_1,M_2 $ 需要多少步驟才能找到相關的 $ i,j,k $ (平均時間)?那將如何運作?
如果我們選擇它會(更)安全嗎 $ P = 2\cdot p+1 $ 和 $ p $ 素數?
如果我們選擇三個(秘密)主要因素會(更)安全嗎 $ P_1,P_2,P_3 $ 反而?和 $ P_1 \cdot P_2 \cdot P_3 \approx C $
(我正在尋找與 $ C,P $ 在 ( $ O $ -符號)。例如,我們可以忽略 2 乘法時與位長相關的不同影響)
對手確實知道使用過的 EC、生成器 $ G,F,H $ 和他們的倒數 $ G^{-1},F^{-1},H^{-1} $ , 隨機成員 $ M_1,M_2 $ 和內部結構。他不知道 $ P,d $ 但由於沒有太多選擇,我們假設他也知道這一點。
他要尋找未知 $ i,j,k $ 對於隨機已知 $ M_1,M_2 $ .*附帶問題:*安全EC是否有任何限制可用於此?例如將 M-221 與 $ y^2 = x^3+117050x^2+x $ $ \bmod p = 2^{221} - 3 $ 為此工作?
試用:
如果我們只有一個生成器 $ G $ 它應該採取 $ O(\sqrt{C}) $ 使用嬰兒步巨步。如果 $ P $ 已知 $ i,j,k $ 可以由此建構。
和 $ F,H $ 我們可以在周圍做一個表面 $ M_1 $ 和一條直線 $ G $ 在 $ M_2 $ 直到它們的交叉點。這需要 $ O(P^2+P)\rightarrow O(P^2) $ 這將大於 $ O(\sqrt{C})=O(P\sqrt{P}) $ . 所以 $ F,H $ 這裡沒有幫助。
那些發電機可以 $ F,H $ 幫助使它以某種方式更快?
現在給定兩個隨機成員 $ M_1, M_2 $ 需要多少步驟才能找到相關的 $ i,j,k $ (平均時間)?
尋找的問題 $ i, j, k $ 等價於離散對數問題:
- 如果你能解決離散對數問題,你可以計算 $ i, j, k $ (通過計算離散對數 $ M_2 - M_1 $ ,然後在基數中表示該離散對數 $ P $ )
- 如果你能計算 $ i, j, k $ ,您可以解決離散對數問題(要計算點 M 的離散對數,您可以選擇任意點 $ M_1 $ , 放 $ M_2 = M + M_1 $ , 計算 $ i, j, k $ ; 那麼,離散對數 $ M $ 是 $ i + jP + kP^2 $
對於沒有已知弱點的曲線,計算離散對數被認為需要 $ O(\sqrt{C}) $ 時間; 如果您選擇一條具有已知弱點的曲線(例如,一條配對友好的曲線,它在離散對數更容易的有限域中進行配對操作),那麼解決您的問題的時間也會相應減少。