Điểm:1

Crypto

Thuật toán của Shor và ECDSA trong Bitcoin - tại sao việc tìm khóa riêng tư vẫn khó khăn khi chúng ta biết điểm cơ sở?

aac

19:18, 03/07/2023

Tôi đang tìm hiểu về thuật toán của Shor và cách áp dụng thuật toán này để phá vỡ ECDSA. Tôi rõ ràng đã bỏ lỡ một số điều cơ bản ở đây - tôi nghĩ rằng tôi đã hiểu rằng thách thức mà ECDSA đưa ra là tìm khóa riêng cho khóa chung, như sau:

$x\cdot P = X$ (ở đâu $x$ là khóa riêng lớn và được tạo ngẫu nhiên, $P$ là điểm cơ sở secp256k1 và $X$ là khóa công khai).

Since we know the base point for secp256k1, given in xy-coords as (55066263022277343669578718895168534326250603453777594175500187360389116729240, 32670510020758816978083085130507043184471273380659243275938904335757337482424), why is this still a difficult problem that only Shor's algorithm could solve and not simply a division problem?

139

0 + 0

đường cong elip

secp256k1

thuật toán shors

CodesInChaos

19:22, 03/07/2023

"phân chia" chỉ là một tên/ký hiệu, không phải là một thuật toán. Theo một nghĩa nào đó, nó "chỉ" là một vấn đề phân chia.

Hồi đáp

aac

19:25, 03/07/2023

Tôi hiểu những gì bạn đang nói, nhưng ý tôi là, tại sao chúng ta không thể chia khóa chung cho điểm cơ sở để lấy khóa riêng? Tôi biết nó rõ ràng là không đơn giản, vậy tôi đã bỏ qua điều cơ bản nào?

Hồi đáp

kelalaka

19:25, 03/07/2023

Đó là [vấn đề logarit rời rạc](https://crypto.stackexchange.com/q/76230/18298) trên Đường cong Elliptic.

Hồi đáp

kelalaka

19:26, 03/07/2023

Và [phép nhân vô hướng](https://crypto.stackexchange.com/a/68595/18298) mà bạn nhầm lẫn với phép nhân. Không phải vậy!

Hồi đáp

aac

19:27, 03/07/2023

@kelalaka ah, vậy, nhân đôi điểm không giống như nhân x và P?

Hồi đáp

kelalaka

19:28, 03/07/2023

nhân đôi chỉ là $[2]P = P+P$

Hồi đáp

poncho

19:31, 03/07/2023

Trong đó $P + P$ có nghĩa là thực hiện công thức cộng đường cong elip với các đầu vào $P$ và $P$ - đây không phải là phép toán cộng mà bạn đã học ở trường phổ thông

Hồi đáp

Điểm:1

Crypto

kelalaka

19:45, 03/07/2023

Điều làm bạn bối rối là bạn xem xét nhân bản vô tính (trong ký hiệu của bạn $x\cdot P$) như phép nhân trên một trường hữu hạn. Thật;

Các nhân bản vô tính trên đường cong Elliptic $[x]P$ thực sự có nghĩa là thêm $P$ chính nó $x$-lần. Đây là cách tính điểm công khai, từ khóa riêng, điểm trước là một điểm trên đường cong, điểm sau là một số nguyên. Chính thức hơn;

để cho $x \in \mathbb{N}\dấu gạch chéo ngược\{ 0\}$

\begin{align} [x]:& E \đến E\ &P\mapsto [x]P=\underbrace{P+P+\cdots+P}_{\text{$x$ times}}.\end{align}

đây $P+P =[2]P\;(=2\cdot P)$ có nghĩa là những cộng điểm và có các công thức đặc biệt suy ra từ quy tắc tiếp tuyến-hợp âm. Với phép cộng điểm này, đối với đường cong được xác định trên một trường hữu hạn, các điểm tạo thành một nhóm abel hữu hạn và với phép nhân vô hướng, chúng ta có một $Z$-mô-đun.

Khi chúng ta nói về đã cho $[x]P$ và $P$ Phát hiện $x$ là bài toán logarit rời rạc trên các đường cong Elliptic. Trên một số đường cong, thật dễ dàng, tuy nhiên, trên secp256k1 thì không dễ dàng và cuộc tấn công cổ điển có chi phí $\mathcal{O}(\sqrt{n}$) trong khi $n = đơn hàng(P)$ với Pollard's Rho. Cuộc tấn công được triển khai tốt nhất đã sử dụng một phiên bản song song của thuật toán kangaroo của Pollard trên $2^{114}$ khoảng.

Thuật toán Shor (nếu từng được thực hiện với kích thước thực và tất cả các vấn đề được giải quyết) có thể giải logarit rời rạc trong thời gian đa thức. Một ước tính của cuộc tấn công có thể được tìm thấy ở đây

2017 Ước tính tài nguyên lượng tử để tính toán logarit rời rạc của đường cong Elliptic bởi Roetteler et al.

Trên thực tế, người ta không cần $y$ phối hợp để tấn công. Có thể có nhiều nhất hai $y$ các giá trị đã cho $x$ miễn là $x$ là tọa độ của điểm thỏa mãn phương trình đường cong.

ECDSA tiêu chuẩn, mặt khác, một số vấn đề thực tế khác ngoài thuật toán tìm chu kỳ Rho và Shor của Pollard.

Lặp lại nonce: khóa riêng bị rò rỉ ngay lập tức.
Xu hướng trên trình tạo số ngẫu nhiên cho nonce, các cuộc tấn công mạng sẽ tiết lộ khóa. Ngay cả sự thiên vị nhỏ bé;
- 2020 LadderLeak: Phá vỡ ECDSA với ít hơn một chút rò rỉ nonce bởi Aranha et al.
Ngắn ngẫu nhiên, vâng đã tồn tại trong Bitcoin;
- 2019 - Biased Nonce Sense: Mạng tấn công chống lại chữ ký ECDSA yếu trong tiền điện tử Breitner và Heninger2

Chúng tôi có một sự thay thế tốt hơn, ECDSA xác định của Thomas Pornin và Bitcoin và những thứ khác bắt đầu được sử dụng.

0 + 0

aac

20:36, 03/07/2023

Cảm ơn rât nhiều!

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Shor's algorithm and ECDSA in Bitcoin - why is finding the private key still difficult when we know the base point?

TH: อัลกอริทึมของ Shor และ ECDSA ใน Bitcoin - เหตุใดการค้นหาคีย์ส่วนตัวจึงยังยากเมื่อเรารู้จุดฐาน

RO: Algoritmul lui Shor și ECDSA în Bitcoin - de ce este încă dificil să găsim cheia privată când cunoaștem punctul de bază?

RU: Алгоритм Шора и ECDSA в биткойнах — почему все еще сложно найти закрытый ключ, когда мы знаем базовую точку?

VI: Thuật toán của Shor và ECDSA trong Bitcoin - tại sao việc tìm khóa riêng tư vẫn khó khăn khi chúng ta biết điểm cơ sở?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.