Elliptic-Curves
512位風格的橢圓曲線有什麼意義和用途?
有大量接近 256 位安全級別的橢圓曲線(即,大約 512 位的欄位和組)。例如 Curve448、P-521、Brainpool-P512。
256 位對稱密碼的標準原理是防止 Grover 算法,該算法會使安全級別減半。然而,在這種後量子設置中,Shor 的算法會破壞 256 位曲線(具有 128 位安全性,例如 Curve25519 或 P-256)和 512 位曲線。
在前量子設定下,突破 128 位安全性對人類來說很可能遙不可及,而256 位安全性更是天文數字般的遙遠。
看起來,無論是後量子世界還是前量子世界,都沒有任何好處使用達到標準 128 位安全級別以上的橢圓曲線,那麼它們的存在和標準化有什麼意義呢?
它們存在和標準化的意義何在?
我同意你的評價;我也看不出非特殊的意義
$$ 1 $$曲線明顯大於 256 位。 但是,根據我的觀察,我看到了兩個嘗試的理由:
- 如果有人發現橢圓曲線的“弱化”(但沒有達到完全破壞的程度)怎麼辦?256 位的曲線可能會變弱,但大約 500 位的曲線可能會保持足夠的強度。
- 有些人對“密碼不匹配”有一種迷信——如果系統的某個部分具有“256 位安全性”,那麼您的所有組件都應該具有 256 位安全性,否則,也許您最終會誤導人們你的系統有多強大(或其他東西)。
我個人認為這兩種論點都沒有說服力,但這就是我所聽到的……
$$ 1 $$:我沒有計算配對友好曲線(需要更大一些以考慮最近的攻擊)或用於超奇異同源的曲線;您也沒有考慮這些情況;只是想徹底…
對於 JWT 代幣,ES512 比較常見。但是我遇到了這個問題,如果你想共享 TLS 使用的證書,那麼你就會被 ES256 卡住。我認為 TLS 曾經有較大的曲線,它被刪除為“過度”。我剛剛選擇 ES512 作為我的代幣,因為我讀到 P-256 有一些弱點。512“過多”的事實表明,也許這就是我應該使用的。我確實注意到,如果我沒有記憶體這樣的令牌,我的分析器就會向我顯示 CPU 正在被壟斷執行 big.Int 除法操作。所以合法的操作可能很慢;但這對我的使用來說非常好,因為我在令牌未過期時記憶體了它們。