Curve25519上的Diffie-Hellman是否应该被验证？

Question

对于DanielJ.Bernstein在Curve25519上为Diffie-Hellman提出的原始协议，我有一些问题。在他的网页上，他声明不验证远程公钥，但同时列举了“某些协议”的缺点列表。在标量乘法后，它没有说明任何关于零校验的内容。

在另一个问题中，我被链接到这篇关于验证的文章，但我看不到一个明确的结论，即不验证输入或输出。

Curve25519上的Diffie-Hellman是否应该被验证？通过验证，我的意思是检查输入的公钥不是“坏点”，并检查标量乘法结果上的零。

Answer 1

来自DJB页面：

不要。Curve25519函数是精心设计的，允许所有32字节字符串作为Diffie-Hellman公钥。有一些不寻常的非区分-Hellman椭圆曲线协议，需要确保“贡献”行为。

因此，对于使用(EC)DH的Curve25519，您不需要验证公钥。

如果在其他椭圆曲线协议中使用Curve25519，则可能需要通过确保公钥不在可能的公钥的某个小子集中来执行验证。