Để cho $E$ là một đường cong "an toàn" đã biết, được xác định trên một trường $\mathbb{F}_q$ ở đâu $q$ hoặc là một số nguyên tố $\geq 5$ hoặc một sức mạnh của $2$. Biểu thị bởi $n$ số điểm hữu tỉ của $E$.
Xem xét $E/\mathbb{F}_{q^2}$, cùng một đường cong nhưng được xác định trên trường mở rộng 2 độ. Rõ ràng là bất kỳ $E(\mathbb{F}_q)$ là một nhóm con của $E(\mathbb{F}_{q^2})$, do đó theo Lagrange, $m := |E(\mathbb{F}_{q^2})| = nl$. Trên thực tế, với phỏng đoán của Weil, người ta có $m = n (2q + 2 - n)$.
Với điều này, chúng ta thấy rằng logarit rời rạc trong đường cong mở rộng được kiểm soát bởi thừa số nguyên tố lớn nhất của $n$ hoặc $2q + 2 - n$, vì vậy không có nhiều bit bảo mật thu được bằng cách xem xét đường cong này chống lại các cuộc tấn công đã biết trên logarit rời rạc (ví dụ: nếu $n$ là thừa số nguyên tố lớn nhất của $m$, theo nghĩa đen là không có bảo mật nào đạt được). Nhưng đó là tốt cho mục đích của tôi.
Câu hỏi của tôi là; cấu trúc mở rộng có hữu ích cho kẻ tấn công không, ví dụ: đường cong có khả thi không $E(\mathbb{F}_{q^2})$ được ít hơn an toàn hơn $E(\mathbb{F}_q$)? Trực giác của tôi nói không, bởi vì đó là trường hợp, sau đó người ta nhúng bất kỳ phiên bản DLOG nào vào đường cong mở rộng và giải quyết vấn đề đó. Nhưng có sự xuống cấp về bảo mật khi sử dụng các tiện ích mở rộng cấp độ cao hơn, bằng cách truyền nhật ký rời rạc! (ví dụ: xem 1 và 2)
