ECDH、x25519和保护服务器上客户端证书的限制

Question

G‘’day Crypto.SE

我正在开发一个共享静态密钥的实用应用程序，以便更好地识别用户，在接收者(服务器)和发起者(客户机)之间。用户的机器)。

我的核心问题是：

对于x25519，多个PK对一个SK的决心，还是曾经只有一个唯一的PK-SK对？

我想知道，认为x25519公钥在保护信息方面拥有“几乎”平等的份额是否合理？所谓“几乎”相等，我的意思是，我总是可以从SK得到PK。

如果我没有PK或SK，我是否能够产生一条与SK相匹配的消息，其概率要比蛮力猜测(一半)更好？x25519密钥空间？

我原来的q，稍微改了几句话，还是很不明白，对不起！

如果没有PK或SK作为x25519密钥对，我是否有更大的可能性可以加密一个未知SK的消息，比我本来可以确定SK从PK (如果我有PK)。

我的应用程序握手的具体内容如下：

使用x 25519和Argon2保护服务器上的用户密钥的握手协议.

Answer 1

对于x25519，多个PK对一个SK的决心，还是曾经只有一个唯一的PK-SK对？

如果我没有弄错，x25519中最多可以有2PK对应于1SK，这取决于隐式y坐标是内正的还是负的。另一方面，ECDH的映射为1:1。

我想知道，认为x25519公钥在保护信息方面拥有“几乎”平等的份额是否合理？所谓“几乎”相等，我的意思是，我总是可以从SK得到PK。

从你解释问题的方式来看，我想你的意思是PK和SK是否同样重要:是的，唯一需要注意的是它们的角色不同。

(在问题的前一种形式中，回答者可能会把你的问题混淆为问双方的PK是否同等重要)。

如果我没有PK或SK，我是否能够产生一条与SK相匹配的消息，其概率要比蛮力猜测(一半)更好？x25519密钥空间？

你的意思是伪造一个可以用SK解密的密文，而不知道它对应的PK？这种类型的攻击被称为存在伪造--通常用于数字签名和消息身份验证代码。

在存在伪造中，攻击者生成一条消息，该消息可以用可能未知的密钥正确验证(在您的情况下，成功解密)。有关进一步的解释，请参见像EUF这样的签名安全缩写是什么意思？和对“IND-”安全概念的简单解释？。

。。是否有更大的可能性，我可以加密一个消息的未知SK，比我本来可以确定SK从PK (如果我有PK)。

对于椭圆曲线密钥交换和加密，这是不可能的，因为密钥恢复复杂度和伪造复杂度本质上是相等的。