在 ECDSA 中描述的條件下 f(G) 是否一致?
在 ECDSA 中,F(G)=r $ f(G)=r $ , 在哪裡r $ r $ 是個𝑥 $ 𝑥 $ - 組元素的座標G $ G $ . 現在眾所周知F(G) $ f(G) $ 不統一(為什麼不F(G) $ f(G) $ ECDSA 統一?)。那麼在哪個範圍內F(G) $ f(G) $ 是統一的嗎?
讓⟨G⟩ $ \langle G\rangle $ 是帶有生成器的 ECDSA 橢圓曲線上的循環群G $ G $ , 和小號={X|F(在)=X,∀在∈⟨G⟩} $ S={x|f(W)=x,\forall W\in\langle G\rangle} $ . 我的問題是:對於任何在$←⟨G⟩ $ W\overset{\$}{\leftarrow}\langle G\rangle $ , 是F(在) $ f(W) $ 統一在小號 $ S $ ?
F $ f $ 被定義為從橢圓曲線組到用於定義曲線的有限域的函式,產生所考慮點的 X 座標。出於該定義的目的,我將假設群定律的中性點(又名無窮大點,並指出∞ $ \infty $ ) 有座標(和,和) $ (z,z) $ , 和和 $ z $ 欄位的一個固定元素,使得對於X=和 $ x=z $ 曲線方程無解是 $ y $ (對於素數域上的所有標準曲線 Fp $ \mathbb F_p $ ,和AFAIK所有其他人,我們可以採取和=0 $ z=0 $ , 在哪裡0 $ 0 $ 是場的中性點)。
套裝小號 $ S $ 是全團的形象⟨G⟩ $ \langle G\rangle $ 經過F $ f $ ,因此該欄位的子集包括和 $ z $ .
F $ f $ 幾乎完全一致小號 $ S $ : 集合小號 $ S $ 有(n−1)/2 $ (n-1)/2 $ 元素在哪裡n $ n $ 是的(質)階⟨G⟩ $ \langle G\rangle $ ,並且每個元素小號 $ S $ 除了和 $ z $ 正好有兩個前因F $ f $ ,共享相同的 X 座標。和 $ z $ 有一個先行詞,那就是∞ $ \infty $ . 從密碼學的角度來看(因此與n $ n $ 足夠大√n $ \sqrt n $ 是不可列舉的),可列舉數量的獨立且均勻隨機元素的機率在一世 $ W_i $ 的⟨G⟩ $ \langle G\rangle $ 包括∞ $ \infty $ ,碰撞,或發生碰撞F(在一世) $ f(W_i) $ 可以忽略不計,並且F(在一世) $ f(W_i) $ 是(無法區分的)獨立且均勻隨機的元素小號 $ S $ .
參數:對於給定的X $ x $ 在場中,曲線方程變成了一個固定的二次方程,在有限場中它有零、一個或兩個不同的解。什麼時候X∈小號 $ x\in S $ ,情況為零的解決方案只發生在X=和 $ x=z $ ,根據定義F $ f $ 和小號 $ S $ . 對於素數場上的標準曲線不會發生一種解決方案的情況(我知道其他人也不例外¹,如果有的話,無論如何都會是例外)。這留下了兩種解決方案作為唯一(或至少是絕大多數最常見的)情況X≠和 $ x\ne z $ .
¹ 這適用於具有方程的曲線是2=X3+一個X+b $ y^2=x^3+ax+b $ ,這就是ECDSA 使用素數欄位的情況。任何 ECDSA 曲線或反駁的證明都值得讚賞。