Lăsa $E$ să fie o curbă cunoscută, „sigură”, definită pe un câmp $\mathbb{F}_q$ Unde $q$ este fie un prim $\geq 5$ sau o putere de $2$. Notează prin $n$ cantitatea de puncte raționale de $E$.
Considera $E/\mathbb{F}_{q^2}$, aceeași curbă, dar definită peste câmpul de extensie de 2 grade. Este clar că orice $E(\mathbb{F}_q)$ este un subgrup de $E(\mathbb{F}_{q^2})$, deci de Lagrange, $m := |E(\mathbb{F}_{q^2})| = nl$. De fapt, cu conjecturile lui Weil, unul a avut $m = n (2q + 2 - n)$.
Cu aceasta vedem că logaritmul discret din curba extinsă este controlat de cel mai mare factor prim al $n$ sau $2q + 2 - n$, deci nu se câștigă prea multă siguranță luând în considerare această curbă împotriva atacurilor cunoscute asupra logaritmului discret (de exemplu, dacă $n$ este cel mai mare factor prim al $m$, literalmente nu se câștigă nicio siguranță). Dar asta e în regulă pentru scopurile mele.
Intrebarea mea este; este structura extinsă utilă atacatorului, de exemplu, este posibilă curba $E(\mathbb{F}_{q^2})$ a fi Mai puțin sigur decât $E(\mathbb{F}_q$)? Intuiția mea spune că nu, pentru că așa a fost cazul, atunci se încorporează orice instanță DLOG pe curba extinsă și se rezolvă asta. Dar există o degradare a securității atunci când sunt utilizate extensii de grad superior, prin intermediul transferurilor de jurnal discrete! (de ex. vezi 1 și 2)
