橢圓曲線中的有限域

我在有限域上定義了一條橢圓曲線，其中 $ S_1=aP $ . 這樣說有道理嗎 $ S_1P $ 也可以計算。 $ P $ 是群的生成器。我真正的問題是。應該 ’ $ a $ ’ 始終是整數還是可以是組元素本身？

應該 ’ $ a $ ’ 始終是整數還是可以是組元素本身？

好， $ aP $ 定義為：

$ aP \equiv \underbrace{P + P + \ldots + P}_\text{a times} $

從該定義中，我們看到這只有在以下情況下才有意義 $ a $ 是整數；它需要是數量的計數 $ P $ 的相加。

在 ECC 中，您有兩種不同的類型，組元素和標量。

使用組元素，您可以：

• 加兩點 $ A+B $
• 否定一個點 $ -A $ （與加法一起，這允許減法 $ A+(-B)=A-B $
• 將一個點與一個標量相乘 $ a B $
• 從理論上講，您可以劃分為點以獲得標量 $ s = A/B $ . 但是在安全曲線上，這太昂貴了，因為計算 $ s $ 相當於求解曲線上的離散對數問題。

但是**兩個組元素相乘是不可能的。**這不僅僅是昂貴的，甚至沒有一個定義說明結果應該是什麼。如果它被定義，它將是一個完全獨立的操作。

一個有趣的操作是決策 Diffie-Hellman 問題 $ A, B, S $ 和發電機 $ G $ 和 $ A=aG $ 和 $ B=bG $ 可以檢查是否 $ S $ 等於 $ abG $ . 此操作通常很困難，但在某些曲線中，配對可以有效地檢查這種情況。在這些曲線上，您可以使用BLS 簽名方案。

使用標量，您可以使用模數模數中所有可能的操作，包括加法、減法、乘法、除法……計算便宜。

引用自：https://crypto.stackexchange.com/questions/9587