為什麼可以選擇在 GPG 中使用 NIST P-256？

我當然不是該領域的專家，但我聽到有人說 NIST P-256 不知何故有後門。我不知道這種說法的嚴重性；也許這只是一個陰謀論。

如果傳聞有一定道理，為什麼 NIST P-256 仍在實施？幾乎我問過的每個人都說使用 P-256 是個壞主意。如果這是真的：

1. 為什麼它仍在 GPG 中（截至 2017 年）？
2. 它有什麼用（期望遺留和兼容性）？
3. 在專業環境中使用不安全是否真的崩潰了？

因為 P-256 是最常用的橢圓曲線，沒有任何理由相信它不安全。這是 128 位安全級別的第一條標準化曲線（非常流行）。

關於其後門的傳言來自三個因素：

• 斯諾登的爆料包括美國國家安全域試圖為 NIST 標準化加密提供後門的一般性聲明
• DualEC DRBG 是 NIST 標準，實際上被 NSA 提供了後門
• Daniel J. Bernstein 試圖推動自己的曲線25519

但是DuelEC DRBG 和 NIST Curves 之間沒有後門連接，我們也不知道如何為橢圓曲線做後門。Bernstein 和 Lange 建立了一個聲稱 P-256 不安全的站點。但實際上歸結為這樣一個事實，即 90 年代產生的 NIST 曲線缺乏更現代橢圓曲線的一些花哨特徵，因為當時這些花哨的技術並不為人所知。

直接解決您的問題：

1. 出於兼容性原因，因為它是最常用的橢圓曲線。
2. 當然可以，例如 TLS。
3. 不，我們相信它是安全的。

引用自：https://crypto.stackexchange.com/questions/52983