Bạn có biết các giao thức cần thiết để đạt được một số điểm "độc lập" trên cùng một đường cong elip không?

Xét một đường cong elip $E$ xác định trên một trường hữu hạn $\mathbb{F}_{\!q}$ với một số không cố định $\mathbb{F}_{\!q}$-điểm $P$. Để đơn giản, hãy để thứ tự của $\mathbb{F}_{\!q}$-nhóm điểm $E(\mathbb{F}_{\!q})$ là số nguyên tố và do đó nhóm được tạo bởi $P$. Vì mục đích bảo mật, trong nhiều giao thức của mật mã elip (ví dụ: trong phiên bản an toàn của Kép_EC_DRBG) chúng ta cần tạo một "độc lập" khác $\mathbb{F}_{\!q}$-điểm $Q$ trên $E$.

Làm ơn trả lời câu hỏi này. Bạn có biết các giao thức, nơi cần có thêm "độc lập" $\mathbb{F}_{\!q}$-điểm trên cùng một đường cong? Nói cách khác, một bên giao dịch với "độc lập" $\mathbb{F}_{\!q}$-điểm $Q_1$, $Q_2$, $\ldots$, $Q_n$ ngoài ra $P$. Bằng cách "độc lập", ý tôi là những điểm như vậy mà không ai biết các logarit rời rạc có liên quan với nhau.

Tôi hỏi bạn, bởi vì đối với một số $E$ và $n$ Tôi biết làm thế nào để sản xuất đồng thời một số $Q_i$ nhanh hơn so với thế hệ riêng biệt của chúng. Tôi muốn biết liệu cách tiếp cận của tôi có xứng đáng được công bố trên một tạp chí khoa học tốt hay không. Hoặc có thể nó thậm chí có liên quan đến mật mã trong thế giới thực.

Có một chức năng "băm tới điểm" được sử dụng trong một số sơ đồ, trong đó cần tạo một điểm EC nơi nhật ký rời rạc w.r.t. bất kỳ điểm EC nào khác là không rõ. Đặc biệt:

1. Một chữ ký nhẫn có thể liên kết. Cần phải tạo một 'hình ảnh chính', trong đó tính chính xác của 'hình ảnh chính' được khai báo bằng chữ ký có thể kiểm chứng được và nếu cùng một người ký (sử dụng cùng một khóa riêng tư) sẽ tạo lại chữ ký vòng (thậm chí với các chữ ký khác nhau những người tham gia khóa công khai của thành viên vòng khác), rõ ràng là họ đã sử dụng cùng một khóa riêng để ký lại. Nhìn thấy đây để biết chi tiết.

2. Một hàm giả ngẫu nhiên không biết sử dụng hàm băm tới điểm để mã hóa các giá trị đầu vào PRF dưới dạng các điểm EC. đây.

3. Truyền không rõ ràng sử dụng hàm băm tới điểm và EC El Gamal có thể sử dụng hàm băm tới điểm nếu bạn chỉ cần mã hóa tin nhắn thành các điểm để đi theo một hướng. Xem một ví dụ về cả hai đây.

4. Cái này bằng chứng không phải là thành viên sử dụng hàm băm tới điểm cho một biến thể đối với các cam kết Pedersen trong đó cam kết cần được làm mờ, nhưng không cần phải đồng hình cộng gộp.

Câu hỏi của bạn về cơ bản là: Có thể lấy mẫu một tuple có hữu ích không $(Q_1, Q_2, \dots, Q_n) \in E(F)^n$ sao cho không có mối quan hệ nào được biết giữa các điểm, nhưng bộ dữ liệu không được lấy mẫu từ phân phối đồng đều.

Từ quan điểm thực tế, có hai vấn đề:

• Thông thường, những điểm này được lấy mẫu trong quá trình tạo tham số hệ thống, điều này không xảy ra thường xuyên và không quan trọng về mặt thời gian.
• Nhiều kế hoạch có vẻ an toàn ngay cả khi các điểm chưa được lấy mẫu từ phân phối đồng đều.

Đó là, thực tế nó thường không hữu ích lắm, nhưng cũng thường không an toàn, ít nhất là dường như.

Sự phản đối chính là bằng chứng bảo mật của các lược đồ này đôi khi dựa vào khả năng lấy mẫu bộ dữ liệu. $(Q_1, \dots, Q_n)$ với một số bẫy được nhúng và điều này thường khó thực hiện nếu bạn cần phân phối không đồng đều trên bộ dữ liệu. Điều này sau đó sẽ làm hỏng bằng chứng bảo mật. (Ví dụ: Giả sử tôi muốn có thể phân biệt các lần mở của nhiều cam kết Pedersen.)

Một số người có thể không quan tâm đến điều đó, nhưng tôi nghĩ rằng hầu hết các nhà mật mã học sẽ rất miễn cưỡng chấp nhận điều này mà không có bất kỳ lợi ích rõ ràng nào.

Nói cách khác, tôi cho rằng thuật toán bạn có hầu như không hữu ích và đôi khi không sử dụng được.

Điều đó nói rằng, thuật toán bạn đã đưa ra có thể thú vị đối với một số người vì một số lý do, bất kể những trở ngại này. Hoặc nó có thể có những đặc tính thú vị khác. Vì vậy, dù sao thì nó cũng đáng để xuất bản.