橢圓曲線有什麼特別之處?
似乎有這樣的來源, this also和一些介紹一般討論橢圓曲線以及如何使用它們的介紹。但我想知道的是為什麼這些特定曲線在密碼學中如此重要,而不是任何其他多項式次數 $ \gt $ 2 然後你可以修改一些組。似乎一旦應用了模數,其他函式類型也應該是可以接受的。
當只看氣泡與曲線時,它似乎更不直覺,如下所示:
由於還有其他曲線(假設從正弦波到 $ x^3 + x $ 甚至只是一些異常形狀的輪廓)可以完成這項工作。似乎它們會提供更多的表面積來獲得更大的空間 $ \mathbb{Z}_p $ 或者實際上只是來自一些任意的連接線的更多可能組合 $ P $ 和 $ Q $ 要得到 $ R $ 與從一些氣泡開始(這似乎不必要地減少可能的組合)然後使用模數來實現離散對數問題的限制(在圖表上)相反。
抱歉,如果這看起來有點幼稚,我現在正在嘗試編寫一個實現,只是為了完全理解它,即使這意味著提出一些被認為是理所當然的事情。也許只是通過一個簡單的例子(我搜尋過的大多數都不是),只有幾句話會很有幫助,從“A想和B說話”一直到“現在E可以” t 在 A 和 B 之間聽”。
編輯:
所以看起來這是有限域上橢圓曲線的版本:
是的,這看起來很隨意。但我仍然沒有真正理解為什麼它們是唯一具有密碼意義的方程。很難想像,如果你只是簡單地採用其他更高階的方程並應用模數(放在一個組中),那麼看起來你會得到一些相對隨機的東西是有道理的。
橢圓曲線不是唯一具有組結構或用於密碼學的曲線。但他們比幾乎所有其他人都更好地達到了安全性和效率之間的最佳平衡點。
例如,圓錐曲線(二次方程)確實有一個明確的幾何加法定律:給定 $ P $ 和 $ Q $ ,通過它們追踪一條線,並追踪一條穿過標識元素的平行線。這是最著名的圓錐曲線之一的方便圖片,單位圓 $ x^2 + y^2 = 1 $ :
如果您將身份元素視為 $ (1, 0) $ ,然後你得到一個非常簡單的加法公式(以你最喜歡的素數為模)
$$ (x_3, y_3) = (x_1x_2 - y_1y_2, x_1y_2 + x_2y_1) $$ 這比正常的橢圓曲線公式要快得多,那麼為什麼不使用它呢?好吧,圓錐曲線的問題在於,該組中的離散對數並不比基礎場上的離散對數強!所以我們需要非常大的鍵,比如素數域離散對數,而沒有任何優勢。這不好。
所以我們繼續討論橢圓曲線,它沒有對基礎場上的對數進行歸約。
但是等等,我們可以將橢圓曲線推廣到更高的程度。實際上,
$$ y^2 = x^{2g+1} + \ldots $$ 什麼時候 $ g > 1 $ 並且尊重一些限制,稱為超橢圓曲線,我們也可以對其進行處理。但是對於這些曲線,不存在一個很好的幾何規則來添加點,就像在圓錐曲線和橢圓曲線中一樣。所以我們被迫在這些曲線的雅可比群中工作,它不再是點群,而是除數(有點像點的多項式,如果這有意義的話)。這個組有大小 $ \approx p^g $ , 當以素數為模工作時 $ p $ .
超橢圓曲線確實有一些優點:由於組的大小比素數大得多,我們可以對相同的密碼強度取較小的素數。但最終,超橢圓曲線也成為索引演算的犧牲品,當 $ g $ 開始生長。在實踐中,只有 $ g \in {2,3} $ ,即多項式 $ 5 $ 或者 $ 7 $ 提供與橢圓曲線類似的安全性。正如沃森所說,雪上加霜的是,加法公式也變得更加複雜,因為 $ g $ 成長。
超橢圓曲線也有進一步的推廣,如超橢圓曲線, $ C_{a,b} $ 曲線等。但類似的評論也適用:它們根本沒有在速度或安全性方面帶來優於橢圓曲線的優勢。
