為什麼不在欄位上使用曲線p米p米p^m和p>2p>2p > 2為 ECDSA?
我正在閱讀 ECDSA 論文,他們說您只能將 ECDSA 與奇功率場一起使用 $ p $ 或使用二進製欄位 $ 2^m $ . 為什麼不是其他電力素數領域?
從數學的角度來看,可以在任意有限域上定義 ECDSA。
形成一個安全的角度來看,最重要的是組訂單的大小。
在這種情況下算術很容易 $ GF(p) $ .
算術更多地參與 $ GF(p^m), m>1 $ ,因為您必須執行多項式除法。
算術輸入 $ GF(2^m) $ 又很容易,因為多項式除法 $ GF(2^m) $ 可以通過簡單的回饋移位寄存器來完成。這使得它特別適合在硬體中實現。
請注意,擴展域上的 ECDLP 不一定比素數特徵的基礎域上的 ECDLP 更難,這僅僅是因為對於任何素數冪 $ q $ , $ E(\mathbb{F}{q}) $ 是一個子群 $ E(\mathbb{F}{q^n}) $ 並且,根據拉格朗日定理, $ |E(\mathbb{F}{q^n})| $ 可以被 $ |E(\mathbb{F}{q})| $ . 如果這恰好是最大的因素,那麼使用擴展曲線時不會獲得安全性。
和 $ n = 2 $ , 甚至有 $ |E(\mathbb{F}{q^2})| = |E(\mathbb{F}{q})|(2q + 2 - |E(\mathbb{F}_{q})|) $ (參見例如 Silverman AOE,練習 5.13,一般參見 Weil 的猜想)。
現在,尚不清楚這如何適用於 ECDSA,因為它的確切安全性尚不清楚,因此我們不能排除以不同方式利用附加結構的 ECDSA 的可能性。
編輯:我還應該指出,ECDSA 是在素數順序的子組中定義的,並且規範要求檢查該順序是否為素數。如果順序(幾乎)是兩個大素數的乘積,是否會降低安全性尚不清楚,但這讓我感到驚訝。