Ce se întâmplă dacă curba Edwards nu este sigură la răsucirea pătratică?

mehdi mahdavi oliaiy

13.11.2022, 07:35

Pe această pagină web, Daniel Bernstein oferă că curba trebuie să fie pătratică răsucită sigură. Aceasta înseamnă că dacă curba are $\#E$ puncte pe $Z_p$ Unde $\#E=p+1-t$, atunci curba de răsucire pătratică are $\#E'=p+1+t$ puncte. Condiția pentru curbele securizate pătratice răsucite este ca cofactorul unei curbe de răsucire pătratică să fie scăzut. De exemplu, cofactorul unei curbe este 8, iar cofactorul unei curbe de răsucire pătratică este 4 în curbele Edwards răsucite.

Dacă condiția de mai sus nu este îndeplinită, atunci ce atacuri pot fi aplicate curbei? Vă rugăm să enumerați toate atacurile propuse. Toate atacurile sunt canal lateral?

1 + 2

curbe-eliptice

atac

kelalaka

13.11.2022, 07:47

[Atacul subgrup mic (Lim-Lee) aplicat cu o răsucire pentru a obține informații despre cheia privată](https://crypto.stackexchange.com/a/87711/18298). Dacă răsucirea nu are o ordine mare mare, atunci veți pierde multe părți ale cheii. Safecurve explică bine în [pagina twist](https://safecurves.cr.yp.to/twist.html)

Răspunde

mehdi mahdavi oliaiy

17.11.2022, 10:30

Cum vom pierde multe bucăți din cheie? folosirea atacului Fault?

Răspunde

Puncte:2

Crypto

Fractalice

13.11.2022, 12:45

Pentru curbele Edwards, aritmetica este de obicei implementată folosind scara Montgomery, iar algoritmul funcționează atât pentru curbă, cât și pentru răsucirea ei pătratică.(Rețineți că pentru curbele Weierstrass $y^2 = x^3 + ax + b$, formulele aritmetice depind numai de $a$ și astfel algoritmul funcționează pentru un set mai mare de curbe - arbitrar $b$).

Acest lucru permite unui adversar să trimită un punct pe răsucire către aplicație și va efectua înmulțirea scalară pe răsucire (folosind aceeași cheie privată!). Dacă răsucirea are nesiguranță împotriva jurnalului discret (= ordine netedă), atunci adversarul poate recupera cheia privată.

Desigur, solicitarea unei răsuciri puternice este doar o măsură de precauție împotriva implementărilor proaste - aplicația ar trebui să verifice dacă punctul trimis aparține curbei principale - și atunci atacul nu va funcționa chiar dacă răsucirea este slabă.

0 + 2

mehdi mahdavi oliaiy

17.11.2022, 08:03

Multumesc pentru raspunsul tau. Este vorba de un atac punctual invalid (sau un atac de curbă invalid)? Sunteți sigur despre acest lucru care se aplică doar pentru o implementare proastă? Există alt atac în afară de implementare?

Răspunde

Fractalice

25.11.2022, 19:14

Da, este un atac de punct invalid, care poate fi întotdeauna zădărnicit verificând dacă punctul se află pe curbă.

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: What happens if the Edwards curve isn't quadratic twist secure?

TH: จะเกิดอะไรขึ้นหากเส้นโค้ง Edwards ไม่บิดเป็นกำลังสองอย่างปลอดภัย

RO: Ce se întâmplă dacă curba Edwards nu este sigură la răsucirea pătratică?

RU: Что произойдет, если кривая Эдвардса не защищена от квадратичного кручения?

VI: Điều gì xảy ra nếu đường cong Edwards không xoắn bậc hai an toàn?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.