Vấn đề hạt giống P256

Tôi đang đọc về các đường cong elip và lịch sử của chúng và có vẻ như mọi người không tin tưởng hạt giống P256 được định nghĩa trong FIPS 186-3 trên trang 89 được

GIỐNG = c49d3608 86e70493 6a6678e1 139d26b7 819f7e90

Những người nghi ngờ có thể đã được tạo độc hại.

Tôi tự hỏi điều gì sẽ xảy ra nếu hạt giống được chọn theo cách rất khó tính toán để không ngẫu nhiên, ví dụ: từ một thập kỷ lịch sử khối Bitcoin?

Giả sử chúng ta làm như sau. Chúng tôi xác định số khối Bitcoin tối đa, ví dụ: 730422 là khối Bitcoin mới nhất. Điểm khởi đầu là khối gốc Bitcoin. Bây giờ chúng tôi lặp lại quá trình:

1. Băm khối băm để có được X
2. hạt += X[0]
3. Tính chiều cao khối tiếp theo là X % 730422
4. Lặp lại 1 cho đến khi chúng ta có một hạt giống đủ dài.

Liệu một hạt giống như vậy có an toàn với giả định rằng năng lượng trong hơn một thập kỷ không được tạo ra một cách ác ý?

Các tham số đường cong được tạo ra với $y^2=x^3+ax+H(s)$ với $H$ là SHA-1 và $s$ là hạt giống đặc biệt. Vì các giá trị được tạo ra bằng cách chuyển hạt giống qua SHA-1, sẽ rất khó để mở cửa sau đường cong trừ khi có một loại đường cong yếu lớn đến mức có thể tìm thấy bằng vũ lực hoặc SHA-1 dễ bị ảnh hưởng bởi tiền giả tầm thường các cuộc tấn công. Cả hai khả năng dường như cực kỳ khó xảy ra. Dựa theo một bài báo về chủ đề này, NSA sẽ phải biết về một loại ít nhất $2^{61}$ đường cong yếu vào năm 1997 mà vẫn chưa được biết cho đến ngày nay, và đã có thể thực hiện $2^{86}$ hoạt động bit trước cùng năm. Điều này khó có thể xảy ra.

Mặc dù đề xuất của bạn hoàn toàn sẽ khiến một cuộc tấn công như vậy trở nên khó khăn hơn, nhưng cuộc tấn công đó đã không thực tế, nếu không muốn nói là không thể. Hơn nữa, nếu bạn lo lắng về đường cong nấu chín, tốt hơn hết là sử dụng đường cong an toàn với tham số nothing-up-my-sleeve. Xem thêm câu trả lời này của Thomas Pornine.