为什么在蜻蜓中使用Curve25519会泄露信息？

Question

回答解释蜻蜓是WPA3中使用的密钥交换的一种形式，它有一个有趣的脚注：

最后一个注意事项:回顾萤火虫RFC，我看到如果您在没有质数点的椭圆曲线上运行(即，有一个辅助因子h \gt 1)，它会泄露一些信息。如果您使用(例如) NIST曲线，这不是一个问题；如果您试图调整它以运行(例如) Curve25519，则需要解决.

为什么是这样，如果使用没有质数点的曲线，会泄露什么？

Answer 1

在椭圆曲线上的蜻蜓协议中，密码被映射到一个点P，然后双方交换(除其他外)值-mP, -m'P。

如果椭圆曲线有一个复合阶，特别是有一个小的余因子h，那么在给定值P = xG (其中G是一个生成器)的情况下，很容易找到值m \pmod h，即P的阶数(mod h)。

因此，如果攻击者观察到两个合法方之间的交换，他可以做的是将潜在密码映射到一个点P'中，并计算P'的顺序(mod h)和两个观察到的值-mP, -m'P。如果他对密码的猜测是正确的，那么-mP, -m'P的顺序将始终是P'的倍数；如果不是的话，他对密码的猜测是不可能的，所以他可以将其从列表中删除。

使用这种逻辑，攻击者很可能能够通过侦听一个字典条目(或者在稍微复杂一些的攻击版本中可能有几个)来删除大约一半的字典条目；这与蜻蜓的安全目标是背道而驰的。

此外，修改HuntAndPeck过程以避免此弱点(只需将派生点乘以h)也是相当容易的；但是RFC没有指定.