為什麼可以在橢圓曲線 Diffie Hellman 密鑰交換中使用較短的密鑰？

我是一個對密碼學如何工作感興趣的外行。我想知道為什麼你可以使用橢圓曲線 Diffie-Hellman (ECDH) 比離散對數 DH 密鑰交換更短的密鑰。兩者都必須足夠大以承受蠻力攻擊。因此，我認為必須有一些攻擊可以用來嘗試破解無法在 ECDH 上使用的 DLP，這將迫使您選擇更長的密鑰以確保其安全。預先感謝您的幫助。

必須有一些攻擊可以用來嘗試破解無法在 ECDH 上使用的 DLP，這將迫使您選擇更長的密鑰以確保其安全。

實際上，有一些算法適用於 DLP 的分組，這些分組是 $ \Bbb Z_p^* $ ，但不是橢圓曲線（子）組：

• (G)NFS的變體。參見例如這篇關於解決 768 位 DLP 的文章。這曾經是2019 年 12 月宣布解決 795 位 DLP 之前的記錄。
• 索引演算，雖然效率不高，但仍然比像baby-step/giant-step和Pollard 的 rho等通用算法高效得多，後者可以攻擊任何組中的 DLP。

---

該網站專門列出了密鑰大小的建議。根據水晶球假設，250 位 ECC（對執行分佈式 Pollard rho 的經典電腦提供約 125 位對稱安全性）被推測為與 2000 至 8800 位 DLP 一樣安全 $ \Bbb Z_p^* $ （差異主要是由於對更好的算法不可信的信心不足 $ \Bbb Z_p^* $ ).

引用自：https://crypto.stackexchange.com/questions/79725