$f$ este definită ca o funcție de la grupul Curba eliptică la câmpul finit folosit pentru a defini curba, obținând coordonata X a punctului considerat. În scopul acestei definiții, voi presupune neutrul legii grupului (aka punct la infinit și am notat $\infty$) are coordonate $(z,z)$, cu $z$ un element fix al câmpului astfel încât pt $x=z$ ecuația curbei nu are soluție $y$ (pentru toți curbe standard peste un câmp prim $\mathbb F_p$, și AFAIK toate celelalte, le putem lua $z=0$, Unde $0$ este neutru al câmpului).
Decorul $S$ este imaginea întregului grup $\langle G\rangle$ de $f$, astfel un subset al câmpului inclusiv $z$.
$f$ este aproape exact uniform pe $S$: decorul $S$ are $(n-1)/2$ elemente unde $n$ este ordinul (prim) al $\langle G\rangle$, și fiecare element al $S$ cu exceptia $z$ are tocmai două antecedente prin $f$, împărțind aceeași coordonată X. $z$ are un singur antecedent și asta este $\infty$.
Din punct de vedere criptografic (deci cu $n$ suficient de mare încât $\sqrt n$ nu este enumerabil), probabilitatea ca un număr enumerabil de elemente independente și uniform aleatorii $W_i$ de $\langle G\rangle$ include $\infty$, se ciocnesc sau se ciocnesc $f(W_i)$ este neglijabilă, iar cel $f(W_i)$ sunt (nu se pot distinge de) elemente independente și uniform aleatorii ale $S$.
Argument: pentru un dat $x$ în câmp, ecuația curbei devine o ecuație fixă de gradul doi, care într-un câmp finit are zero, una sau două soluții distincte. Când $x\în S$, cazul zero soluții apare numai pentru $x=z$, prin definiția $f$ și $S$. Cazul unei soluții nu se întâmplă pentru curbele standard peste un câmp prim (nu cunosc nicio excepție pentru altele¹ și, dacă ar exista, ar fi oricum excepțional). Asta lasă două soluții ca singurul caz (sau cel puțin cel mai comun) caz pentru $x\ne z$.
¹ Asta este valabil pentru curbele cu ecuație $y^2=x^3+ax+b$, ceea ce este cazul pentru ECDSA utilizând un câmp prim. Dovada care este valabilă pentru orice curbă ECDSA, sau respingere, sunt apreciate.
