Puncte:2

Ce se întâmplă dacă curba Edwards nu este sigură la răsucirea pătratică?

drapel ro

Pe această pagină web, Daniel Bernstein oferă că curba trebuie să fie pătratică răsucită sigură. Aceasta înseamnă că dacă curba are $\#E$ puncte pe $Z_p$ Unde $\#E=p+1-t$, atunci curba de răsucire pătratică are $\#E'=p+1+t$ puncte. Condiția pentru curbele securizate pătratice răsucite este ca cofactorul unei curbe de răsucire pătratică să fie scăzut. De exemplu, cofactorul unei curbe este 8, iar cofactorul unei curbe de răsucire pătratică este 4 în curbele Edwards răsucite.

Dacă condiția de mai sus nu este îndeplinită, atunci ce atacuri pot fi aplicate curbei? Vă rugăm să enumerați toate atacurile propuse. Toate atacurile sunt canal lateral?

kelalaka avatar
drapel in
[Atacul subgrup mic (Lim-Lee) aplicat cu o răsucire pentru a obține informații despre cheia privată](https://crypto.stackexchange.com/a/87711/18298). Dacă răsucirea nu are o ordine mare mare, atunci veți pierde multe părți ale cheii. Safecurve explică bine în [pagina twist](https://safecurves.cr.yp.to/twist.html)
mehdi mahdavi oliaiy avatar
drapel ro
Cum vom pierde multe bucăți din cheie? folosirea atacului Fault?
Puncte:2
drapel in

Pentru curbele Edwards, aritmetica este de obicei implementată folosind scara Montgomery, iar algoritmul funcționează atât pentru curbă, cât și pentru răsucirea ei pătratică.(Rețineți că pentru curbele Weierstrass $y^2 = x^3 + ax + b$, formulele aritmetice depind numai de $a$ și astfel algoritmul funcționează pentru un set mai mare de curbe - arbitrar $b$).

Acest lucru permite unui adversar să trimită un punct pe răsucire către aplicație și va efectua înmulțirea scalară pe răsucire (folosind aceeași cheie privată!). Dacă răsucirea are nesiguranță împotriva jurnalului discret (= ordine netedă), atunci adversarul poate recupera cheia privată.

Desigur, solicitarea unei răsuciri puternice este doar o măsură de precauție împotriva implementărilor proaste - aplicația ar trebui să verifice dacă punctul trimis aparține curbei principale - și atunci atacul nu va funcționa chiar dacă răsucirea este slabă.

mehdi mahdavi oliaiy avatar
drapel ro
Multumesc pentru raspunsul tau. Este vorba de un atac punctual invalid (sau un atac de curbă invalid)? Sunteți sigur despre acest lucru care se aplică doar pentru o implementare proastă? Există alt atac în afară de implementare?
Fractalice avatar
drapel in
Da, este un atac de punct invalid, care poate fi întotdeauna zădărnicit verificând dacă punctul se află pe curbă.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.