Dacă contează, care este stadiul actual al curbei eliptice și cum se compară cu curbele eliptice populare, cum ar fi Curve25519 sau secp256k1?
Ei bine, dacă aveți o curbă eliptică cu un subgrup mare de dimensiuni $q$ (care este prim), atunci știm cum să calculăm un log discret în cadrul acelui subgrup în $O(\sqrt{q})$ timp, iar acest lucru se aplică tuturor curbelor eliptice (de fapt, tuturor grupurilor).
Deci, pentru a face acest atac să ia $2^{128}$ timp, avem nevoie de un $q \aproximativ 2^{256}$.
Și, din cauza teoremei Hasse, pentru o curbă primă de caracteristică $p$, avem $p + 2\sqrt{p} > q$, sau cu alte cuvinte, cel mai mic $p$ poate fi este de aproximativ 256 de biți.
Modul standard de a reprezenta o cheie publică este de a da $x$ coordonate ca un întreg; aceasta este o valoare cuprinsă între 0 și $p-1$; adică o valoare de 256 de biți.
Prin urmare, selectarea unei alte curbe decât Curva25519, secp256k1 sau P256 nu ne cumpără nimic; fie acea curbă alternativă ar fi redus securitatea, fie ar avea o cheie publică care este la fel de mare.
Cam singurul lucru pe care îl puteți încerca să veniți cu o metodă redusă de transmitere a $x$ coordona; o abordare simplă ar fi să selectați întotdeauna o $x$ coordoneaza cu $k$ biți de 0 în partea de sus (și pur și simplu nu îi transmiteți $k$ biți în mod explicit); găsirea unei astfel de chei folosind eșantionarea de respingere ar fi nevoie $O(2^k)$ timp și ar economisi $k$ biți - poate realizabil dacă trebuie să salvați un octet sau doi - evident imposibil de a salva mai mult decât atât. Nu cunosc o abordare mai inteligentă pentru a găsi chei publice care să îndeplinească o tehnică similară de economisire a spațiului.
