Cắt đầu vào ngẫu nhiên thống nhất cho các khóa riêng đường cong elip

Hãy tưởng tượng có đồng phục 256-bit đầu vào từ CSPRNG. Giả sử có một đường cong như secp256r1 có thứ tự đường cong nhỏ hơn 256 bit một chút.

chúng ta không thể chỉ mod(đầu vào, thứ tự đường cong) bởi vì nó sẽ giới thiệu sai lệch modulo. Điều gì sẽ xảy ra nếu chúng ta cắt 256 bit thành 255 bit nhỏ hơn thứ tự đường cong? Sau đó, tất cả các giá trị trong vòng 255 bit sẽ có cơ hội xuất hiện như nhau.

ed25519 dường như thực hiện chính xác điều đó, với thứ tự đường cong ~ 252 bit - chúng điều chỉnh 3 bit.

Lấy mẫu từ chối từ NIST SP 800-56A rev 3, phần 5.6.1.2.2 không phải là thời gian cố định, vì vậy hãy tìm kiếm thứ gì đó đơn giản hơn.

Câu hỏi bổ sung: Điều gì sẽ xảy ra nếu chúng ta cũng điều chỉnh 1 bit cuối cùng để các phím 0 và 1 sẽ không bao giờ xuất hiện bằng cách sử dụng |= 2 điều đó sẽ buộc chúng luôn là 1 (giống như cách chúng ta luôn buộc bắt đầu bằng 0?

Đây là cách cơ sở mã Monero tạo ra các đại lượng vô hướng ngẫu nhiên để sử dụng với ed25519:

Đối với đường cong ed25519, thứ tự $\ell$ của nhóm điểm gốc là $2^{252}+27742317777372353535851937790883648493$.

Để tạo ra một số ngẫu nhiên không thiên vị nhỏ hơn $\ell$, trước tiên chúng tôi xác định rằng bội số tối đa của $\ell$ có thể vừa với 32 byte là $15$.

Để tạo số ngẫu nhiên không thiên vị, chúng tôi liên tục tạo chuỗi 32 byte ngẫu nhiên và kiểm tra xem nó có nhỏ hơn $15\ell$. Khi chúng tôi tìm thấy một số như vậy, chúng tôi có thể giảm số này $mod\ \ell$ mà không giới thiệu sai lệch modulo. Xác suất tìm thấy một số ngẫu nhiên phù hợp trong lần lặp đầu tiên là khoảng. 94%.

Kỹ thuật tương tự áp dụng cho secp256r1, nơi bạn sẽ sử dụng $3 \ell$ thay vì $15\ell$ do thứ tự của nhóm điểm cơ sở cho secp256r1 lớn hơn (xem 2.4.2 Tham số đề xuất secp256r1).Xác suất tìm thấy một số ngẫu nhiên phù hợp trong lần lặp đầu tiên là khoảng. 95%.