Public-Key

小階 ECDH 公鑰的強度

  • January 26, 2018

我試圖了解 ECDH 中涉及的方法,並且對使用的公鑰感到困惑。Alice 從 1 到 P - 1 中選擇一個隨機數 A,然後使用點加法和乘法計算 A⋅g(g 是公開同意的生成器,具有高階)。然後她發布這個值。為了得到一個共享的秘密,Bob 還必須選擇一個隨機數 B 併計算 B⋅(A⋅g)。

現在,共享秘密只能是可以通過點加法和乘法從 A·g 生成的點之一,因此,如果 A·g 具有低階,那麼 Bob 計算的潛在結果肯定很少共享秘密。因為攻擊者可以訪問 A⋅g 和曲線的參數(因為它們是公開同意的),他們是否無法辨別 Alice 的公鑰是否具有低階?如果是這種情況,暴力攻擊是否不足以發現共享的秘密?

我的推理一定有錯誤,我只是看不到它,否則如果 A⋅g 具有低階以避免這種攻擊,是否會重新計算隨機數?

謝謝您的幫助。

$ g $ 是一個生成器並且是有序的 $ P $ . 拉格朗日定理說,群中元素的階 $ \mathbb{G} $ 劃分組的順序。

在你的情況下,一個有 $ \mathbb{G} = \langle g \rangle $ . 因此,元素的順序 $ a = Ag \in \mathbb{G} $ 是一個除數 $ P $ . 如果 $ P $ 是素數,它的兩個除數是 $ P $ 和 $ 1 $ . 因此,無論是 $ a $ 是有序的 $ P $ , 任何一個 $ a $ 是有序的 $ 1 $ (在後一種情況下, $ a $ 是中性元素 — 由 Weierstrass 方程給出的橢圓曲線上的無窮遠點)。

引用自:https://crypto.stackexchange.com/questions/55022