Puncte:0

Puteți recupera $y$ dacă aveți $x$ în hash Pedersen?

drapel nz

(ar putea fi o întrebare prostească)

Pedersen hash funcționează în felul următor: $(x, y) = kG$ Unde $k$ este pre-imaginea si $(x, y)$ este hashul rezultat.

Să presupunem că ascundem o parte din hash pentru a păstra confidențialitatea. Poate un atacator să derive $y$ doar dacă ei știu $x$ dat fiind că ei nu cunosc pre-imaginea?

Cu alte cuvinte, prin cunoaștere $x$ poate un atacator să găsească $y$ chiar dacă ei nu știu $y$ nici $k$.

kelalaka avatar
drapel in
Ar putea fi un duplicat al [Rădăcini în câmpul modulo](https://crypto.stackexchange.com/q/20636/18298) și [Este posibil să se calculeze coordonata y a unui punct pe SECP256K1, având în vedere doar x- coordonate](https://crypto.stackexchange.com/q/82027/18298)
drapel nz
Mulțumesc. Într-adevăr, trebuie doar să știți dacă $y$ este impar sau par pentru a recupera complet perechea $(x, y)$.
kelalaka avatar
drapel in
Pentru căutări viitoare, introduceți acest lucru în lista dvs. [SEC 2: Parametrii de domeniu al curbei eliptice recomandate](https://www.secg.org/sec2-v2.pdf)
Puncte:1
drapel ru

Este posibil să se îngusteze $y$ până la una dintre cele două valori posibile.

Numerele $x$ și $y$ reprezintă coordonatele unui curba eliptică peste un câmp finit. În funcție de curba selectată pentru schema de angajament, va exista o ecuație pentru curbă și, de obicei, un prim $p$ peste care este definită curba.

De exemplu, curba NIST P256 utilizată pe scară largă este definită folosind primul $p=2^{256}-2^{224}+2^{192}+2^{96}-1$ și ecuația $$y^2\equiv x^3-3x+b\pmod p$$ Unde $b$ este numărul 0x5ac635d8aa3a93e7b3ebbd55769886bc651d06b0cc53b0f63bce3c3e27d2604b.

Dat $x$ putem calcula $y^2\mod p$ folosind această ecuație. Ar trebui să existe apoi două rădăcini pătrate posibile pe care le putem calcula $$y=\pm (x^3-3x+b)^{(p+1)/4}\mod p.$$

O altă schemă comună folosește curba Ed25519 care folosește primul $p=2^{255}-19$ și ecuația $$-x^2+y^2=1-\frac{121665}{121666}x^2y^2\pmod p.$$

Din nou, dat $x$ se poate rearanja și rezolva pentru două posibile $y$ valori (deși calculul nu este la fel de scurt pentru a fi notat ca cel de mai sus).

În ambele cazuri, fiecare dintre cele 2 $y$ valorile este posibilă și nu există nicio modalitate de a determina care este corectă fără informații suplimentare.

drapel nz
Wow. Acest lucru este foarte util, mulțumesc. Se pare că valoarea $y$ adaugă într-adevăr doar 1 bit de entropie la hash.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.