超级会员免费看
椭圆曲线离散对数问题的提升方法与哈希函数原像攻击
椭圆曲线离散对数问题的提升方法
在椭圆曲线离散对数问题(ECDLP)中,若存在一个高效算法 A,以 ε 概率提升映射 E(Q) → e(Fp),则可使用指标计算法解决 ECDLP。然而,这样的算法不太可能存在。
对于定义在有限域 Fp 上的椭圆曲线 e 及其提升到 E/Q 的曲线,为了使用指标计算法,需要高效算法 A 将 e(Fp) 中的大量点提升到 E(Q) 中的点。点 P ∈ E(Q) 的复杂度由其规范高度 ˆh(P) 衡量,假设算法 A 将 e(Fp) 中的点提升到集合 EB(Q) = {P ∈ E(Q) : ˆh(P) ≤ B} 中。
Lang 猜想表明 ˆh(P) 不能太小。理论和实验分析显示,#EB(Q) 与 c log B / (r · log |Δ(E)|) 的 r/2 次方近似成比例,其中 r 是 E(Q) 的秩,Δ(E) 是 E 的判别式,c 是明确常数。要将 e(Fp) 中的点提升到 EB(Q),#EB(Q) 需是 p 的非平凡分数倍。但 E 是 e 的提升意味着 log |Δ(E)| 远大于 log p,且 Mestre 定理(基于各种标准猜想)表明 log |Δ(E)| 远大于 r log r。计算显示,若 p ≈ 2^160 且要 #EB(Q) ≥ p/2^10,可能需要 r ≈ 180 且 B ≈ 2^7830 ≈ p^49。首先难以找到秩为 180 的曲线,即便解决此问题,也没有方法将 e(Fp) 中的点提升到 EB(Q) 中的点。
虽然指标计算法在椭圆曲线上不适用,但在亏格相对于域的阶足够大的超椭圆雅可比簇上是可行的。
订阅专栏 解锁全文
扫一扫
2317
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
