(Không) bảo mật của các khóa EC có nguồn gốc đại số

Gần đây tôi đã gặp một tình huống cần lấy khóa riêng Curve25519 thứ cấp từ khóa hiện có theo chương trình. Giải pháp rõ ràng là sử dụng KDF, nhưng lúc đó tôi đã băn khoăn về việc lấy khóa thứ hai thông qua một số phép toán đại số trên giá trị vô hướng, điều này tất nhiên (ít nhất là đối với một số phép biến đổi) cũng làm cho khóa công khai phụ có thể lấy được từ khóa gốc khóa công khai. Giả định mặc định của tôi là điều này sẽ không an toàn, có thể đưa ra cách giải quyết khóa riêng ban đầu (và dẫn xuất) bằng hai khóa chung. Điều này có đúng không? Nếu vậy, khôi phục khóa sẽ như thế nào?

Giả định mặc định của tôi là điều này sẽ không an toàn, có thể đưa ra cách giải quyết khóa riêng ban đầu (và dẫn xuất) bằng hai khóa chung. Điều này có đúng không?

Trên thực tế, khá dễ dàng để chỉ ra rằng nó không đúng.

Giả sử chúng ta có khóa công khai $H$ dựa trên khóa riêng $k$ (Vì thế $H=kG$, ở đâu $G$ là trình tạo đường cong) và chúng tôi lấy được khóa riêng thứ cấp $k' = ak+b$ (dành cho công chúng $a, b$) và khóa công khai dẫn xuất $H' = k'G$. Giả sử thêm rằng chúng ta có một Oracle mà, cho trước $H, H'$ (và $a, b$), đã có thể phục hồi $k$.

Sau đó, những gì chúng ta có thể làm, đưa ra $H$, đang tính toán khóa công khai dẫn xuất $H' = aH+bG$, và tay $H, H'$ đến Oracle của chúng tôi và nó sẽ cung cấp cho chúng tôi khóa riêng.

Đó là, bởi vì nó có thể được tính toán công khai có nghĩa là nó không thể gây rò rỉ (ít nhất, không phải theo cách bạn đang lo lắng)