Ceea ce te încurcă este că te gândești la înmulțirea scalară (în notația dvs $x\cdot P$) la fel de multiplicare pe un câmp finit. De fapt;
The înmulțirea scalară pe curbele eliptice $[x]P$ înseamnă de fapt adăugarea $P$ în sine $x$-ori. Așa se calculează un punct public, dintr-o cheie privată, primul este un punct pe curbă, al doilea este un număr întreg. Mai formal;
lăsa $x \in \mathbb{N}\backslash\{ 0\}$
\begin{align}
[x]:& E \la E\
&P\mapsto [x]P=\underbrace{P+P+\cdots+P}_{\text{$x$ ori}}.\end{align}
Aici $P+P =[2]P\;(=2\cdot P)$ înseamnă adunare de puncte și are formule speciale derivate din regula tangentă-coardă. Cu această adunare de puncte, pentru curba definită peste un câmp finit, punctele formează un grup abelian finit și cu înmulțirea scalară, avem un $Z$-modul.
Când am vorbit despre dat $[x]P$ și $P$ găsirea $x$ este problema logaritmului discret pe curbele eliptice. Pe unele curbe, este ușor, totuși, pe secp256k1 nu este ușor și atacul clasic are un cost de $\mathcal{O}(\sqrt{n}$) in timp ce $n = ordin(P)$ cu Rho al lui Pollard. Atacul cel mai bine implementat a folosit a versiune paralelă a algoritmului cangur al lui Pollard pe $2^{114}$ interval.
algoritmul lui Shor (dacă este implementat vreodată pentru dimensiunea reală și toate problemele sunt rezolvate) poate rezolva logaritmul discret în timp polinomial. O estimare a atacului poate fi găsită aici
De fapt, unul nu are nevoie de $y$ coordona pentru atac. Pot fi cel mult două $y$ valori pentru date $x$ atâta timp cât $x$ este coordonata punctului care satisface ecuația curbei.
Standard ECDSA, pe de altă parte, alte probleme reale decât algoritmul de găsire a perioadei Rho și Shor al lui Pollard.
Repetați nonce: cheia privată este scursă imediat.
Prejudecățile asupra generatorului de numere aleatorii pentru atacurile nonce, lattice dezvăluie cheia. Chiar și o părtinire mică;
Scurtă aleatorie, da care a existat în Bitcoin;
Avem o alternativă mai bună, ECDSA deterministă de Thomas Pornin și Bitcoin și altele au început să se folosească.
