38、椭圆曲线上静态Diffie - Hellman问题深度解析

椭圆曲线上静态Diffie - Hellman问题深度解析

1. 静态Diffie - Hellman问题基础

在椭圆曲线密码学中，静态Diffie - Hellman问题（Static DHPd）有着独特的性质。对于借助预言机的Static DHPd，在计算G中任意元素乘以d的操作时，并不需要知道d的值，即可以在不解决离散对数问题（DLP）的情况下解决Static DHPd。这是因为通过Static DHPd预言机查询会“泄露”隐式信息，利用这些信息能比解决DLP更容易地解决Static DHPd，而解决DLP时并没有这样的信息。

当G是有限域的乘法群时，如何构建最佳的因子基以及如何在该因子基上表示任意元素已经得到了深入研究。对于有限域中的元素，存在自然的大小概念，即范数函数。在素域中，元素的范数可以是其绝对值；在扩域中，可以是元素的次数，或者根据生成乘法关系的算法结合两者。范数函数为群赋予了光滑性的概念，小范数的元素能生成更多的群元素，因此因子基的最佳选择是范数在一定界限内的元素。

然而，在素域上的椭圆曲线中，似乎不存在可利用的范数概念来选择一个能比其他选择生成更高比例群元素的因子基，也没有方法对选定的元素进行分解。这正是目前尚未发现成功的原生指标计算算法来计算此类曲线上离散对数的原因，也使得素域上的椭圆曲线从安全角度来看极具吸引力。

对于扩域上的椭圆曲线，情况则大不相同。“Weil下降”方法在某些情况下已被证明可用于解决或弱化DLP，但这涉及映射到一个通常更大的群。虽然这个更大的群有自然的因子基，但无法对因子基元素的原像进行必要的Static DHP预言机查询，因为一般情况下这些原像并不存在。不过，Gaudry发现了此类椭圆曲线存在光滑性的概念。