Cunoașteți protocoale, unde este necesar să obțineți mai multe puncte „independente” pe aceeași curbă eliptică?

Luați în considerare o curbă eliptică $E$ definite pe un câmp finit $\mathbb{F}_{\!q}$ cu un fix non-zero $\mathbb{F}_{\!q}$-punct $P$. Pentru simplitate, lăsați ordinea $\mathbb{F}_{\!q}$-grup de puncte $E(\mathbb{F}_{\!q})$ fi prim și, prin urmare, grupul este generat de $P$. Din motive de securitate, în numeroase protocoale de criptografie eliptică (de exemplu, într-o versiune sigură a Dual_EC_DRBG) trebuie să generăm încă un alt „independent” $\mathbb{F}_{\!q}$-punct $Q$ pe $E$.

Vă rugăm să răspundeți la întrebare. Cunoașteți protocoale, unde este necesar să obțineți mai „independenți” $\mathbb{F}_{\!q}$-puncte pe aceeași curbă? Cu alte cuvinte, un partid se ocupă cu „independenți” $\mathbb{F}_{\!q}$-puncte $Q_1$, $Q_2$, $\ldots$, $Q_n$ în plus față de $P$. Prin „independent” mă refer la astfel de puncte încât nimeni nu cunoaște logaritmii discreti unul față de celălalt.

Vă întreb, pentru că pentru unii $E$ și $n$ Știu să produc simultan mai multe $Q_i$ mai rapid decât generarea separată a acestora. Aș dori să înțeleg dacă abordarea mea merită publicată într-o jurnal științific bun. Sau poate chiar are ceva de-a face cu criptografia din lumea reală.

Există o funcție „hash-to-point” folosită în mai multe scheme, unde este necesar să se genereze un punct EC în care logul discret w.r.t. orice alt punct CE este necunoscut. În special:

1. O semnătură de inel care poate fi conectată. Trebuie generată o „imagine a cheii”, în care corectitudinea „imaginei cheii” declarată cu o semnătură este verificabilă și în cazul în care același semnatar (folosind aceeași cheie privată) ar crea din nou o semnătură de inel (chiar și cu o semnătură diferită). alți participanți la cheia publică a membrilor ringului), ar fi clar că au folosit aceeași cheie privată pentru a semna din nou. Vedea Aici pentru detalii.

2. O funcție pseudo-aleatorie uitară utilizează hash-to-point pentru a codifica valorile de intrare PRF ca puncte EC. Aici.

3. Transferul neglijent utilizează hash-to-point, iar EC El Gamal poate folosi hash-to-point dacă aveți nevoie doar de codificarea mesajelor în puncte pentru a merge într-o singură direcție. Vezi un exemplu pentru ambele Aici.

4. Acest dovada de non-membri folosește hash-to-point pentru o variație a angajamentelor Pedersen în care angajamentul trebuie să fie orbit, dar nu trebuie să fie homomorf aditiv.

Întrebarea dvs. este în esență: Este util să puteți eșantiona un tuplu $(Q_1, Q_2, \dots, Q_n) \in E(F)^n$ astfel încât nicio relație nu este cunoscută între puncte, dar tuplul nu este eșantionat din distribuția uniformă.

Din punct de vedere practic, există două probleme:

• Adesea, aceste puncte sunt eșantionate în timpul generării parametrilor sistemului, ceea ce nu se întâmplă foarte des și nu este critic în timp.
• Multe scheme par sigure chiar dacă punctele nu au fost eșantionate din distribuția uniformă.

Adică, practic, de multe ori nu este foarte util, dar și adesea nu este nesigur, cel puțin aparent.

Principala obiecție ar fi că dovezile de securitate ale acestor scheme se bazează uneori pe posibilitatea de a eșantiona tuplul $(Q_1, \dots, Q_n)$ cu o trapă încorporată, iar acest lucru este adesea greu de făcut dacă aveți nevoie de o distribuție neuniformă pe tuplu. Acest lucru ar strica apoi dovada de securitate. (Exemplu: Să presupunem că vreau să pot echivoc deschiderile de angajamente multiple Pedersen.)

Unora poate să nu le pese de asta, dar cred că majoritatea criptografilor ar fi foarte reticenți în a accepta acest lucru fără niciun beneficiu clar de a avea.

Cu alte cuvinte, m-aș aștepta ca algoritmul pe care îl aveți să nu fie în mare parte util și uneori inutilizabil.

Acestea fiind spuse, algoritmul cu care ați venit poate fi interesant pentru unii oameni din anumite motive, indiferent de aceste obstacole. Sau poate avea alte proprietăți interesante. Deci, oricum ar putea merita publicarea.