Board logo

标题: 为什么超奇异曲线不能用在密码学方面呢 [打印本页]

作者: yuyang911220    时间: 2016-8-20 20:50     标题: 为什么超奇异曲线不能用在密码学方面呢

超椭圆曲线上的离散对数问题有所谓MOV类型的攻击方法,将椭圆曲线离散对数问题利用weilpair转化为一般有限域上的离散对数问题,因此有亚指数算法,所以国际标准组织禁用

  超奇异椭圆曲线。Menezes, Okamoto,Vanstone,Frey和Ruck的研究表明,在某些适当的条件下,定义在有限域Fq上的椭圆曲线E上的ECDLP可以化为某个扩域Fqk(k≥1)上的普通乘法群上的DLP,从而可以使用数域筛法加以解决。这样的转化算法只有在k较小时才有实用价值,因此对绝大多数椭圆曲线都不适用。为了抵抗这种攻击方式,在选择安全曲线时必须检验基点P的阶n不整除qk-1,1≤k≤20。这样可以使上述攻击方式在计算上不可行。
   若E的迹t能够被Fq的特征p所整除,则称E是超奇异椭圆曲线。对于这类曲线,它们的k≤6,使用上面的方法就可以产生解决ECDLP的亚指数算法。因此ECDSA严禁使用超奇异椭圆曲线。
   更一般地讲,在选择安全曲线时检验基点P的阶n不整除qk-1可以剔除那些可以将ECDLP转化为Fq上的DLP的曲线,不仅包括超奇异椭圆曲线,也包括迹为2的椭圆曲线。


   超椭圆曲线。超椭圆曲线是一类任意亏格的代数曲线,椭圆曲线就是其中亏格为1的一种。对于大亏格的超椭圆曲线上的ECDLP,Adleman,DeMarrais和Huang提出了一种亚指数算法,不过对于椭圆曲线,这种方法比穷举法还要差。
作者: yuchengze    时间: 2016-8-21 13:20

很好的科普分析帖子,很不错




欢迎光临 电子技术论坛_中国专业的电子工程师学习交流社区-中电网技术论坛 (http://bbs.eccn.com/) Powered by Discuz! 7.0.0