$f$ được định nghĩa là một hàm từ nhóm Đường cong Elliptic đến trường hữu hạn được sử dụng để xác định đường cong, mang lại tọa độ X của điểm được xem xét. Với mục đích của định nghĩa đó, tôi sẽ giả sử tính trung lập của luật nhóm (hay còn gọi là điểm vô cực và lưu ý $\infty$) có tọa độ $(z,z)$, với $z$ một phần tử cố định của trường sao cho $x=z$ phương trình đường cong không có nghiệm $y$ (cho tất cả đường cong tiêu chuẩn trên một lĩnh vực nguyên tố $\mathbb F_p$và AFAIK tất cả những người khác, chúng tôi có thể lấy $z=0$, ở đâu $0$ là trung tính của trường).
Bộ $S$ là hình ảnh của cả nhóm $\langle G\rangle$ qua $f$, do đó một tập hợp con của trường bao gồm $z$.
$f$ gần như chính xác thống nhất trên $S$: bộ $S$ có $(n-1)/2$ yếu tố ở đâu $n$ là thứ tự (chính) của $\langle G\rangle$, và mỗi phần tử của $S$ ngoại trừ $z$ có chính xác hai tiền đề bởi $f$, chia sẻ cùng tọa độ X. $z$ có một tiền đề duy nhất, và đó là $\infty$.
Từ quan điểm mật mã (do đó với $n$ đủ lớn để $\sqrt n$ không đếm được), xác suất để có vô số các phần tử ngẫu nhiên độc lập và thống nhất $W_i$ của $\langle G\rangle$ bao gồm $\infty$, va chạm hoặc có va chạm $f(W_i)$ là không đáng kể và $f(W_i)$ là (không thể phân biệt được) các yếu tố ngẫu nhiên độc lập và thống nhất của $S$.
Đối số: cho một $x$ trong trường, phương trình của đường cong trở thành phương trình cấp hai cố định, phương trình này trong trường hữu hạn có 0, một hoặc hai nghiệm phân biệt. Khi nào $x\in S$, trường hợp giải pháp bằng 0 chỉ xảy ra đối với $x=z$, theo định nghĩa của $f$ và $S$. Trường hợp của một giải pháp không xảy ra đối với các đường cong tiêu chuẩn trên một trường nguyên tố (tôi biết không có ngoại lệ đối với các giải pháp khác¹, và nếu có thì nó sẽ là ngoại lệ). Điều đó để lại hai giải pháp là trường hợp duy nhất (hoặc ít nhất là phổ biến nhất) cho $x\ne z$.
¹ Điều đó đúng với các đường cong có phương trình $y^2=x^3+ax+b$, đó là trường hợp của ECDSA sử dụng trường nguyên tố. Bằng chứng phù hợp với bất kỳ đường cong ECDSA nào, hoặc bác bỏ, đều được đánh giá cao.
