Tham gia Đăng nhập
Điểm:5
mactep Cheng avatar Crypto

Làm cách nào để quyết định xem một điểm trên đường cong elip có thuộc nhóm được tạo bởi trình tạo g không?

lá cờ za
mactep Cheng

Trong sơ đồ mã hóa đường cong elip, có một nhóm tuần hoàn được tạo bởi một điểm cơ sở $G$ trên đường cong elip.

Cho một điểm ngẫu nhiên trên đường cong elip, có cách nào để quyết định xem điểm ngẫu nhiên đó có thuộc nhóm hay không?

712
0 + 0
kelalaka avatar
lá cờ in
kelalaka
Nếu bạn biết thứ tự của nhóm con bao gồm cả nhóm đầy đủ, hãy kiểm tra $[k]G$. Nếu bằng phần tử xác định thì nó thuộc nhóm này. Lưu ý rằng một phần tử có thể là thành viên của nhiều nhóm con.
0
Hồi đáp
Ievgeni avatar
lá cờ cn
Ievgeni
@kelalaka Làm sao bạn có thể chắc chắn rằng không có nhóm nào cùng thứ tự khác biệt?
2
Hồi đáp
kelalaka avatar
lá cờ in
kelalaka
Nói chung, trong ECC, chúng tôi muốn đồng sáng lập nhỏ chết theo bậc thang và một số đường cong chính.Câu hỏi là về ECC, bạn có thể đặt tên cho một đường cong tiêu chuẩn có hai nhóm con lớn có cùng thứ tự không? Đối với các đơn hàng nhỏ, bạn cũng có thể dễ dàng kiểm tra.
0
Hồi đáp
Fractalice avatar
lá cờ in
Fractalice
@kelalaka bạn có thể có hai nhóm độc lập có cùng kích thước trên cùng một đường cong
1
Hồi đáp
kelalaka avatar
lá cờ in
kelalaka
@Fractalice Vâng, bạn có thể đặt tên cho một EC mà chúng tôi sử dụng trong ECC ( OP yêu cầu các sơ đồ ECC), rằng chúng tôi phải lớn $k$ sao cho $k^i| n$, trong đó $i>1$ và $k$ là một số lớn để đối thủ có giới hạn tính toán không thể giải DLog.
0
Hồi đáp
Điểm:8
kelalaka avatar Crypto
lá cờ in
kelalaka

Câu trả lời thực sự phụ thuộc vào Đường cong elip mật mã mà chúng ta biết!

  1. Thứ tự chính Mật mã EC: Vì thứ tự của nhóm con do một phần tử sinh ra phải chia thứ tự nên mới có nhóm đầy đủ và nhóm các $\mathcal{O}$ trật tự $1$ ( Các đường cong NIST P Các đường cong P-192, P-224, P-256, P-384, P-521) có thứ tự nguyên tố được liệt kê trong NIST.FIPS.186-4 và lấy từ giây1).

  2. Mật mã EC với một yếu tố nhỏ: Trong Mật mã các đường cong có bậc lớn để an toàn ta phải chọn phần tử cơ sở từ nhóm con lớn nhất.Điều này là do

    1. Bảo vệ khỏi Thuật toán Pohlig-Hellman giúp giảm thời gian xuống yếu tố lớn nhất và rất hiệu quả khi đơn hàng suôn sẻ, tức là tất cả các yếu tố đều nhỏ.

    2. Để có một Montogmery tương đương lưỡng tính của đường cong như Curve25519 với đồng sáng lập $8$ và Ed448-Goldilocks với đồng sáng lập $4$. Trong trường hợp này, chúng tôi có các đơn đặt hàng cho các nhóm con như; $2,4,8,p,2p,4p,8p$ (đối với Curve25519)*

      Để thấy rằng một điểm $G$ là thứ tự $2$ hoặc $p$ thật dễ dàng, hãy kiểm tra $2[G]$ hoặc $[p]G$, nếu kết quả là danh tính, thì họ thuộc nhóm này. Họ nhưng họ cũng nằm trong nhóm con chứa các nhóm con. Có các phần tử trong nhóm con của thứ tự $2p$ nhưng không thuộc nhóm con của thứ tự $2$ hoặc $p$. Kiểm tra $[2]G$$[p]G$ nếu họ không phải là bản sắc nhưng $[2p]G$ thì nó nằm trong nhóm con của thứ tự $2p$.

      Các nhóm Klein là nhóm nhỏ nhất có hai nhóm con bậc 2, nó đẳng cấu với $\mathbb Z_2 \times \mathbb Z_2$. Điều này có thể giúp hiểu rằng hai nhóm con khác nhau có thể có cùng thứ tự.

      Các Đường cong NIST B có đồng yếu tố 2 và đường cong K có 4, và chúng được lấy từ giây2.

  3. Sự thay đổi của mật mã EC: Sự xoắn của những đường cong nổi tiếng không có thừa số bậc hai lớn, áp dụng tương tự như trường hợp 2.

  4. đường cong ngẫu nhiên: Tôi không biết về kích thước dự kiến ​​của các yếu tố của các đường cong được tạo ngẫu nhiên (đã xem một số tác phẩm). Chúng ta có thể có một đường cong với bậc sao cho nó có hệ số lớn bậc 2 trở lên. Trong trường hợp này, các $[p]G$ sẽ không tiết lộ thành viên nhóm con. Để giải quyết nó, chúng ta cần tìm một trình tạo cho từng nhóm con và cố gắng giải DLog.

  5. Yếu tố thứ tự của nhóm không được biết đến: Trong trường hợp này, chúng ta có một vấn đề quyết định phân nhóm (như đã nêu trong câu trả lời khác)

    Được cho $(n, G, G1, e)$ và một phần tử $x \in G$, đầu ra $1$ nếu thứ tự của $x$$q_1$ và đầu ra $0$ nếu không thì; Đó là, không cần biết phân tích thành thừa số của thứ tự nhóm $n$, quyết định xem một phần tử $x$ nằm trong một nhóm con của $G$. Chúng tôi gọi vấn đề này là vấn đề quyết định phân nhóm

    Mặc dù vấn đề này đưa ra các kết quả thú vị trong ngữ cảnh của nó, nhưng vấn đề này không liên quan đến Đường cong Elliptic được sử dụng trong ECDH, EdDSA, v.v. Trong các đường cong elliptic, tất cả các tham số đều được công khai. Ngay cả khi bạn không cung cấp thứ tự của đường cong (không rõ bạn sẽ bán đường cong của mình cho cộng đồng như thế nào), người ta vẫn có thể tính đến 829 bit (512-bit đã đạt được bản ngã khoảng 20 năm).

    Nếu bạn xem xét các đường cong theo thứ tự rất lớn, chúng ta có thể nói rằng thứ tự đường cong lớn hơn 512 bit (thậm chí 256) không có nhiều ý nghĩa, vì một khi thuật toán của Shor được đặt trong Máy tính lượng tử mật mã cho các đường cong 256 bit, thì vấn đề là các nhà nghiên cứu thời gian sẽ phá vỡ cái kia. Điều này có thể được nhìn thấy từ bảng của Công việc của Proos và Zalks

nhập mô tả hình ảnh ở đây

Mặt khác, ECC hậu lượng tử sử dụng nhảy trên các đồng vị thay vì DH và bài báo này cung cấp một giới thiệu tốt cho bất kỳ ai muốn tìm hiểu.

Cuối cùng, các trường hợp có vấn đề duy nhất không phải là các đường cong mật mã.

* Ở đó chúng tôi đã sử dụng Định lý Lagrange trên Lý thuyết nhóm;

  • Nếu $H$ là một nhóm con của một nhóm $G$ sau đó $ord(H) \mid ord(G)$

Cần lưu ý rằng chúng ta đã sử dụng điều ngược lại của định lý, nếu $x|org(G)$ sau đó có một nhóm con của thứ tự $x$. Điều này không phải lúc nào cũng đúng và xen kẽ nhóm độ 4 $A_4$ là ví dụ nhỏ nhất.

0 + 0
dave_thompson_085 avatar
lá cờ cn
dave_thompson_085
Nit: Đường cong NIST _over $F_p$ được lấy từ X9/SECG_ (P-#) được sử dụng rộng rãi có thứ tự nguyên tố (đồng sáng lập 1); các đường cong trên $F_{2^m}$ (B-# và K-#) mà hầu như không ai sử dụng có đồng sáng lập 2 hoặc 4. SP800-186 vẫn đang trong quá trình soạn thảo thêm Curve25519 và Curve448 (ở dạng Montgomery, Edwards _and_ Weierstrass! ) như bạn đã lưu ý là 8 và 4, và các đường cong Brainpool P# cũng là 1.
1
Hồi đáp
Meir Maor avatar
lá cờ in
Meir Maor
Tôi không tuân theo yêu cầu trong phần 4. Bạn có nói rằng trong một thiết lập như vậy, việc tìm kiếm tư cách thành viên khó như DLOG không? Đó có vẻ là một tuyên bố mạnh mẽ, nếu bạn có thể đưa ra một phác thảo về bằng chứng thì thật tuyệt.
0
Hồi đáp
Điểm:5
Ievgeni avatar Crypto
lá cờ cn
Ievgeni

Nói chung là không. Đối với một số trường hợp cụ thể, (nếu $\mathbb{G}$ là thứ tự $q_1 q_2$$g$ trật tự $q_1$ với $q_1, q_2$ hai số nguyên tố lớn) vấn đề thậm chí còn được coi là đủ khó để sử dụng như một giả định mật mã được gọi là giả định quyết định nhóm con.

Bạn có thể xem chi tiết hơn trong tờ giấy này.

Nhưng nó có thể khác nếu bạn có một số thông tin cung cấp. Giả sử bạn biết thứ tự $q_1$ của máy phát điện $g$, và thứ tự của cả nhóm $q_1 q_2$ (với $q_1, q_2$ hai số nguyên tố cùng nhau).

Bạn có thể quyết định nếu $G'$ nằm trong nhóm được tạo bởi $g$ bằng cách tìm kiếm nếu $[q_1]G^{\prime}=0$.

0 + 0
Điểm:0
mactep Cheng avatar Crypto
lá cờ za
mactep Cheng

Đối với trường hợp, thứ tự của trình tạo $G$$q$, và thứ tự của cả nhóm là $q\cdot m$, ở đâu $\gcd(q,m)=1$.

Miễn là $m$ không quá lớn, đặc biệt $m<q+1$, theo Định lý Sylow, chỉ có một nhóm con của thứ tự $q$. Vì vậy, người ta có thể quyết định nếu một điểm $G'$ là trong nhóm bằng cách tìm kiếm nếu $q\cdot G'=0$

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.