(Non)securitatea cheilor EC derivate algebric

Am avut recent o situație în care trebuia să obțin o cheie privată Curve25519 secundară dintr-o cheie existentă în mod programatic. Soluția evidentă a fost utilizarea unui KDF, dar m-am întrebat la acea vreme despre derivarea celei de-a doua chei printr-o operațiune algebrică asupra valorii scalare, care desigur (cel puțin pentru unele transformări) ar face și cheia publică secundară să fie derivată de la original. cheie publică. Presupunerea mea implicită a fost că acest lucru nu ar fi sigur, dând posibil o modalitate de a rezolva cheia privată originală (și derivată) folosind cele două chei publice. Este corect? Dacă da, cum ar arăta recuperarea cheii?

Presupunerea mea implicită a fost că acest lucru nu ar fi sigur, dând posibil o modalitate de a rezolva cheia privată originală (și derivată) folosind cele două chei publice. Este corect?

De fapt, este destul de ușor să arăți că nu este corect.

Să presupunem că avem o cheie publică $H$ pe baza cheii private $k$ (asa de $H=kG$, Unde $G$ este generatorul de curbe) și obținem o cheie privată secundară $k' = ak+b$ (pentru public $a, b$), și o cheie publică derivată $H' = k'G$. Să presupunem în continuare că avem un Oracle care, dat $H, H'$ (și $a, b$), a reușit să recupereze $k$.

Apoi, ce am putea face, dat $H$, este calcularea cheii publice derivate $H' = aH+bG$, și mână $H, H'$ la Oracolul nostru și ne va da cheia privată.

Acesta este, deoarece poate fi calculat public înseamnă că nu poate provoca scurgeri (cel puțin, nu în modul în care vă faceți griji)