為什麼 Smart 的攻擊只對異常曲線起作用?
Nigel Smart 的攻擊線上性時間內解決了離散對數問題。然而,它要求曲線是異常的,即具有等於 1 的 Frobenius 跡線,或者等效地,與基礎場具有相同的階數, $ #E=p $ .
Smart 的論文在這裡: http: //www.hpl.hp.com/techreports/97/HPL-97-128.html
我試圖理解為什麼它不適用於其他曲線?我猜它與 p-adic 對數的性質有關,但我不能完全確定它。
任何提示或解釋將不勝感激。
您可以在 Washington’s Elliptic Curves: Number Theory and Cryptography的第 5.4 節找到答案。
遵循他們的符號(並跳過有關減少的技術細節 $ \mod p $ 和 $ E_r $ 子群),讓 $ N=#E $ 並假設 $ p\nmid N $ . 讓 $ \ell_1=\lambda_1(N\tilde P) $ , $ \ell_2=\lambda_1(N\tilde Q) $ , 以便 $ k\equiv \ell_2/\ell_1 \mod p $ (我們想證明這一點)。也設置 $ \tilde K = k\tilde P-\tilde Q $ . 我們有
$$ k\ell_1 - \ell_2=\lambda_1(kN\tilde P-N\tilde Q)=\lambda_1(N\tilde K)\equiv N\lambda_1(\tilde K) \mod p. $$
在最後一步中,您無法繼續,因為最初的假設使 $ N $ 可逆的 $ \mod p $ 你不能說這等於 $ 0 $ , 未能證明 $ k\equiv \ell_2/\ell_1 \mod p $ . 你可以看到這個證明確實有效,如果 $ p $ 劃分 $ N $ .
據我了解,這意味著如果 $ p $ 劃分點數,那麼你也可以執行攻擊,但我沒有閱讀足夠的內容來確認這一點。
請參閱論文https://articles.math.cas.cz/10.21136/CMJ.2018.0128-17也可在https://arxiv.org/abs/1702.07107免費下載 查看詳細說明https://www.slideshare.net /PadmaGadiyar/離散對數問題超過素數場非規範提升和對數導數