Elliptic-Curves

嘗試使用簡單的加法組而不是橢圓曲線組對一組非素數進行小子組攻擊?

  • August 23, 2022

這就是我說的攻擊——為什麼curve25519/ed25519密鑰的低3位在創建過程中被清除?

一個橢圓曲線的階群 $ 8p $ 在哪裡 $ p $ 是一個素數。

讓 $ G $ 是順序子群的生成器 $ p $ . 對於 ECDH,Alice 發送 $ aG $ 給 Bob & Bob 發回 $ h $ 代替 $ bG $ 在哪裡 $ h $ 是較小的階子群上的點 $ 8 $ .

我認為,我從概念上理解攻擊。我想在一小群整數中嘗試一下 $ \pmod {8p} $ 而不是類似的橢圓曲線組,所以很容易理解。

所以我選擇了 $ p=11 $ & 使用了該組 $ Z/88Z $ . 該組中具有順序的元素 $ 11 $ 這些是 $ {8, 16, 24, 32, 40, 48, 56, 64, 72, 80} $ . 所有這些都是 $ 8 $ . 和秩序的子群 $ 8 $ 有這些元素—— $ {11, 33, 55, 77} $ . 所有這些都是 $ 11 $ .

所以發電機 $ g $ 將是的倍數 $ 8 $ & $ h $ 這是 Bob 發送的壞元素將是的倍數 $ 11 $ . 所以當愛麗絲計算 $ ahg \pmod {88} $ ,它總是為零。我假設任何 $ ahg $ 這是 $ 0 $ 不會被 Alice 使用。這不是攻擊的問題嗎?愛麗絲的密鑰永遠是 $ 0 $ &因此攻擊不會發生。

那麼這種攻擊是否只對橢圓曲線組有效?我想不出一個理由。還是我做錯了什麼?

還是我做錯了什麼?

你是 Diffie-Hellman 內部發生的事情的模型是不正確的。

所以發電機 $ g $ 將是的倍數 $ 8 $ & $ h $ 這是 Bob 發送的壞元素將是的倍數 $ 11 $ .

目前很好。

所以當愛麗絲計算 $ ahg \pmod{88} $ ,

那是你誤會的地方;愛麗絲不計算那個;相反,她計算 $ ah \pmod{88} $ . 這是 0、11、22、33、44、55、66、77 之一,取決於 $ a \bmod 8 $ (假設 Bob 選擇了一個 $ h $ 8 級;如果他選擇了一個 $ h $ 1、2、4 的順序,其中一些不可能發生)。

引用自:https://crypto.stackexchange.com/questions/101591