超级会员免费看
椭圆曲线密码学中的弱域分析
1. 引言
在密码学应用中,我们关注的重点是解决有限域上椭圆曲线离散对数问题(ECDLP)的方法。通过对Pollard’s rho方法和GHS攻击进行精确分析,我们能够得出关于某些有限域在椭圆曲线密码学(ECC)中是否为弱域的结论。这种精确分析不涉及渐近性、粗略近似或隐藏常数,因此对实际应用具有重要意义。
2. Pollard’s Rho方法的精确分析
对于在 (F_{2^N}) 上的ECDLP,使用Teske提出的随机游走的Pollard’s rho方法,最具抗性的情况是椭圆曲线 (E) 的阶 (#E(F_{2^N}) = 2r)((r) 为素数)。由于 (r \approx 2^{N - 1}),Pollard’s rho方法的期望运行时间约为 (\sqrt{\pi 2^{N - 1}}/2 \approx 2^{(N - 1)/2}) 步,每一步的主要操作是 (E(F_{2^N})) 中的加法。实际上,对于任何固定的 (r) 值,实际运行时间与渐近时间的倍数关系非常小。因此,对于解决 (F_{2^N}) 上最难的ECDLP实例,Pollard’s rho方法的运行时间可以用 (T_{\rho} = 2^{(N - 1)/2} = 2^{2.5l - 0.5}) 来精确近似。
3. GHS攻击的精确分析
设 (E) 是定义在 (F_{2^N}) 上的椭圆曲线,(P \in E(F_{2^N})) 具有素数阶 (r)。GHS攻击首先使用GHS约简得到一个显式的群同态 (\varPhi : \langle P \rangle \to JC(F_{2^l})),其中 (C) 是定义在 (F_{2^l}) 上
订阅专栏 解锁全文
扫一扫
9
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
