问如何验证Curve448公钥？

EN

The曲线448

Curve448是在Solinas素数p = 2^{448} − 2^{224} − 1上定义有方程x^2+y^2 = 1-39081x^2y^2的爱德华曲线。

Base点

basepoint G of Curve448具有素数顺序为Curve25519。它有辅助因子h=4，这意味着h = \dfrac{|\#E|}{ord(G)}，G的顺序是\small ord(G) = 2^{446} - 13818066809895115352007386748515426880336692474882178609894547503885。

ECDH

现在转到ECDH，其中Alice有一个私钥(整数) k_A和公钥[k_A]G (曲线上的一个点)，而Bob有一个私钥k_B，公钥是[k_B]G。

当Alice和Bob交换公钥时，会发生什么(不要考虑中间的那个人)？(A)下文；

[k_A k_B]G

因此，只要basepoint是正确的，来自有效公钥的任何56个字节的值.没有必要进行验证，因为我们

[k_A]G = [k_A \bmod \operatorname{ord}(G)]G

[k_A k_B]G = [k_A k_B \bmod \operatorname{ord}(G)]G

我们不会考虑两个用户的私钥永远不会发生的事件。

小群攻击

那么鲍勃如何执行一个小的子群攻击(林-李主动小子群攻击)呢？

在小型子群攻击中，攻击者Bob选择一个小阶P作为离散对数容易实现的公共点。在协议期间，合法用户Alice将向攻击者泄露[k_A]P。现在，攻击者可以从[K_A]P了解多少有关D18的信息？

• 给出的答案是因为[K_A]P所揭示的信息最多只有\lceil log_2 h\rceil位。

因为辅助因子是4，所以最多只能显示私钥的两位。如果您担心从224中丢失2位是危险的，那么通过检查P来验证[4]P \overset{?}{=}\mathcal{O}没有订单2或4

Twist安全性

曲线448‘S扭转有4作为一个辅助因素，所以它也有安全扭转。

注:在本文中，基于曲线448的椭圆曲线密码优化结构提到

此外，Curve448的公钥相当短，只要结果的共享秘密不是零，就不需要验证。

麦克·汉堡在发表之前就知道了这篇文章，因为在承认之前

此外，我们也感谢麦克汉堡的建设性意见。