Este sigur să dezvălui un punct EC arbitrar înmulțit cu o cheie secretă?

Presupunând că prin „ordine primară” vă referiți la „ordine principală”, aceasta se numește problema statică Diffie-Hellman și există câteva atacuri cunoscute împotriva acesteia. Principalele pe care trebuie să le iau în considerare din capul meu ar fi:

• Cheonul DLP cu intrări auxiliare atac: există mai multe variante, dar de exemplu dacă ordinul principal $p$ din curbele eliptice satisface asta $d$ este un divizor al $p-1$, apoi un atacator care face mulți interogările pot rezolva problema jurnalului discret în timp $\widetilde{O}(\sqrt{p/d} + \sqrt{d})$, care în cel mai rău caz $d = \Theta(p^{1/2})$ este $\widetilde{O}(p^{1/4})$. Acest lucru ar putea fi destul de rău în principiu, dar există diverse motive pentru care atacul nu este extrem de amenințător în acest cadru. În primul rând, datorită cerințelor de memorie ale atacului și faptului că majoritatea valorilor $p$ ar fi destul de departe de cel mai rău caz, este probabil să fie greu de montat în practică în majoritatea scenariilor. În al doilea rând, dacă $\alpha$ este cheia secretă, atacatorul trebuie să obțină cumva ambele $\alpha G$ și $\alpha^d G$ pentru $G$ generatorul de grup și singura modalitate de a face acest lucru pare să fie $d$ interogări adaptive secvențiale $G \la \alpha G \la \alpha^2 G \la \cdots \la \alpha^d G$. Este mult de așteptat de la oracol și din moment ce este nevoie de timp $O(d)$, aceasta reduce optimul $d$ la $\Theta(p^{1/3})$ și crește complexitatea rezultată la $\widetilde{O}(p^{1/3})$ (presupunând din nou că $p-1$ are forma cerută). Nu există multe setări în care oracolul ar răspunde $2^{85}$ întrebări din partea adversarului. Acesta este motivul pentru care atacul Cheon este de obicei mai relevant în setările în care grupează elemente ale formei $\alpha^j G$ sunt ușor disponibile ca material de cheie publică, mai degrabă decât obținute folosind interogări secvențiale;

• Grangerul câmp de extensie atac dacă se întâmplă să utilizați curbe peste câmpuri de extensie de grad $\geq 3$ (ceea ce cel mai probabil nu este cazul).

Mulțumesc lui @fgrieu pentru că a subliniat în mod corect că mai multe comentarii pe care le-am făcut despre acest lucru au fost incorecte și, de asemenea, au indicat discuții relevante pe o listă de corespondență IETF.