P256 problemă cu semințele

Citesc despre curbele eliptice și istoria lor și se pare că oamenii nu au încredere în sămânța P256, care este definită în FIPS 186-3 pe pagina 89 a fi

SEED = c49d3608 86e70493 6a6678e1 139d26b7 819f7e90

Pe care oamenii le bănuiesc că ar fi fost generate cu răutate.

Mă întreb ce se întâmplă dacă sămânța este culesă într-un mod care este foarte greu din punct de vedere computațional pentru a nu fi aleatoriu, de ex. dintr-un deceniu de istorie a blocurilor Bitcoin?

Să presupunem că facem următoarele. Definim numărul maxim de bloc Bitcoin, de ex. 730422, care este cel mai recent bloc Bitcoin. Punctul de plecare este blocul de geneza Bitcoin. Repetăm ​​acum procesul:

1. Hash-ul blocului pentru a obține X
2. sămânță += X[0]
3. Calculați următoarea înălțime a blocului ca X % 730422
4. Repetați 1 până avem o sămânță suficient de lungă.

O astfel de sămânță ar fi sigură în ipoteza că peste un deceniu de energie nu a fost generată cu răutate?

Parametrii curbei au fost generați cu $y^2=x^3+ax+H(s)$ cu $H$ fiind SHA-1 şi $s$ fiind sămânţa specială. Deoarece valorile sunt generate prin trecerea semințelor prin SHA-1, ar fi dificil să faceți ușă în spate curba dacă nu există o clasă atât de masivă de curbe slabe încât să poată fi găsite prin forță brută sau SHA-1 era vulnerabil la preimagine trivială. atacuri. Ambele posibilități par extrem de improbabile. Conform o lucrare pe acest subiect, NSA ar fi trebuit să știe de o clasă de cel puțin $2^{61}$ curbe slabe în 1997 care sunt încă necunoscute până în prezent, și au reușit să efectueze $2^{86}$ operațiuni cu biți anterioare aceluiași an. Este incredibil de puțin probabil să fie cazul.

În timp ce sugestia ta ar face cu siguranță un astfel de atac mai dificil, atacul este deja impracticabil, dacă nu imposibil. În plus, dacă ești îngrijorat de o curbă gătită, este mult mai bine să folosești a curba sigura cu un parametru nimic în mânecă. Vezi si acest raspuns de Thomas Pornin.