ECDH 公鑰恢復 - 僅從簽名和消息中確定是否存在有效密鑰

如果我只有簽名和消息雜湊的 (r,s,v) 值，那麼確定是否存在有效公鑰的最有效方法是什麼？

我不需要知道公鑰，只需將簽名和消息雜湊恢復為公鑰。

讓我們用符號說：

• 𝑟,𝑠 是簽名中的值。
• ℎ 是正在驗證的消息的雜湊值
• 𝑃 是公鑰
• 𝐺 是組生成器
• |𝑄|𝑥是點𝑄的x座標
• {𝑅,𝑅′} 是 x 座標為𝑟的兩個曲線點

恢復將是：

$$ P \ \overset{?}{=} r^{-1}s{R, R’} - r^{-1}hG $$

我的問題是是否有一種快速的方法來確定 P 是否存在，而無需進行完全昂貴的計算來確定 P。

“我的問題是，是否有一種快速的方法來確定 P 是否存在，而無需進行完全昂貴的計算來確定 P。”

我相信你可以檢查是否 $ r $ 是一個有效的非零 $ x $ 協調; 也就是說，它是否是曲線方程解的一部分（例如，如果你的曲線是 Weierstrass 形式且特徵 > 3，你會檢查是否 $ x^3 + ax + b $ 是二次殘差）。

如果是（並且如果它不為零），那麼是的，您可以執行操作來恢復 $ P $ ，它會得出兩個有效點，這就是你的答案。

引用自：https://crypto.stackexchange.com/questions/79521