在https://safecurves.cr.yp.to/rho.html中,伯恩斯坦谈到了使用“分批仿射”加法的最快可能的rho方法,它只需要5次乘法-- mod p,1乘mod p和一些可以忽略不计的小仿射指常规(X,Y)坐标,没有投影坐标。在椭圆曲线上,计算量小,不做逆运算,怎么可能进行群运算呢?他所说的“分批仿射”到底是什么意思?
DFC密码使用仿射变换模2^{64}+13。在DFC发布后不久,伊恩哈维就提出了这样一种担忧:将模块减少为65位数超出了大多数平台的本地能力,并且需要谨慎的实现来防止侧通道攻击,特别是定时攻击。考虑使用仿射变换的密码( mod 2^{128} )。(20年前)安全地实施它仍然是一个问题吗?仿射变换模2^{64}会有很大的不同吗?