tấn công ed25519

Bạn vẫn nên kiểm tra vì có các cuộc tấn công đường cong không hợp lệ cung cấp thông tin khác ngoài các bit thấp của khóa.

Ví dụ, cuộc tấn công đường cong không hợp lệ của Neves và Tabouchi (Các cuộc tấn công đường cong suy biến: mở rộng các cuộc tấn công đường cong không hợp lệ sang các đường cong Edwards và các mô hình khác) sử dụng điểm không hợp lệ $(0,y)$ với $y\neq 1\pmod p$. Nếu chúng ta sử dụng công thức Edwards để tính bội số vô hướng của $k$ của điểm không hợp lệ này, chúng tôi nhận được câu trả lời $(0,y^k\mod p)$. Nếu chúng ta chọn $y$ là gốc modulo nguyên thủy $p$ và có quyền truy cập vào câu trả lời này, chúng ta có thể tìm thấy $k$ bằng cách giải một modulo logarit rời rạc nhân $p$ (đối với số nguyên tố đặc biệt 255 bit là rất khả thi trên các tài nguyên tính toán vừa phải).