Bạn có thể phục hồi $y$ nếu bạn có $x$ trong hàm băm Pedersen không?

Có thể thu hẹp $y$ xuống một trong hai giá trị có thể.

Những con số $x$ và $y$ biểu diễn tọa độ của một đường cong elip trên một trường hữu hạn. Tùy thuộc vào đường cong được chọn cho sơ đồ cam kết của bạn, sẽ có một phương trình cho đường cong đó và thường là một số nguyên tố $p$ trên đó đường cong được xác định.

Ví dụ: đường cong NIST P256 được sử dụng rộng rãi được xác định bằng số nguyên tố $p=2^{256}-2^{224}+2^{192}+2^{96}-1$ và phương trình $$y^2\equiv x^3-3x+b\pmod p$$ ở đâu $b$ là số 0x5ac635d8aa3a93e7b3ebbd55769886bc651d06b0cc53b0f63bce3c3e27d2604b.

Được cho $x$ chúng ta có thể tính toán $y^2\mod p$ sử dụng phương trình này. Sau đó, sẽ có hai căn bậc hai có thể mà chúng ta có thể tính là $$y=\pm (x^3-3x+b)^{(p+1)/4}\mod p.$$

Một sơ đồ phổ biến khác sử dụng đường cong Ed25519 sử dụng số nguyên tố $p=2^{255}-19$ và phương trình $$-x^2+y^2=1-\frac{121665}{121666}x^2y^2\pmod p.$$

Một lần nữa, đưa ra $x$ người ta có thể sắp xếp lại và giải quyết cho hai khả năng $y$ giá trị (mặc dù tính toán không ngắn để viết ra như ở trên).

Trong cả hai trường hợp, mỗi trong số 2 $y$ các giá trị là có thể và không có cách nào để xác định giá trị nào đúng nếu không có thêm thông tin.