小階 ECDH 公鑰的強度

我試圖了解 ECDH 中涉及的方法，並且對使用的公鑰感到困惑。Alice 從 1 到 P - 1 中選擇一個隨機數 A，然後使用點加法和乘法計算 A⋅g（g 是公開同意的生成器，具有高階）。然後她發布這個值。為了得到一個共享的秘密，Bob 還必須選擇一個隨機數 B 併計算 B⋅(A⋅g)。

現在，共享秘密只能是可以通過點加法和乘法從 A·g 生成的點之一，因此，如果 A·g 具有低階，那麼 Bob 計算的潛在結果肯定很少共享秘密。因為攻擊者可以訪問 A⋅g 和曲線的參數（因為它們是公開同意的），他們是否無法辨別 Alice 的公鑰是否具有低階？如果是這種情況，暴力攻擊是否不足以發現共享的秘密？

我的推理一定有錯誤，我只是看不到它，否則如果 A⋅g 具有低階以避免這種攻擊，是否會重新計算隨機數？

謝謝您的幫助。

$ g $ 是一個生成器並且是有序的 $ P $ . 拉格朗日定理說，群中元素的階 $ \mathbb{G} $ 劃分組的順序。

在你的情況下，一個有 $ \mathbb{G} = \langle g \rangle $ . 因此，元素的順序 $ a = Ag \in \mathbb{G} $ 是一個除數 $ P $ . 如果 $ P $ 是素數，它的兩個除數是 $ P $ 和 $ 1 $ . 因此，無論是 $ a $ 是有序的 $ P $ ， 任何一個 $ a $ 是有序的 $ 1 $ （在後一種情況下， $ a $ 是中性元素 — 由 Weierstrass 方程給出的橢圓曲線上的無窮遠點）。

引用自：https://crypto.stackexchange.com/questions/55022