ed25519攻击

Question

我试图理解无效曲线攻击和小子群攻击。ed25519私钥的下3位被清除为倍数为8。

因此，攻击者无法使用较小子组的公钥或在无效曲线上获取任何信息。

这是否意味着在不需要ECDH之前检查公钥是否在曲线上？

这是

Answer 1

您仍然应该检查，因为有无效的曲线攻击，提供信息以外的低位的关键。

例如，Neves和Tabouchi (退化曲线攻击:将无效曲线攻击扩展到Edwards曲线和其他模型)的无效曲线攻击使用无效点(0,y)和y\neq 1\pmod p。如果我们使用Edwards公式来计算这个无效点的k的标量倍数，我们就得到了(0,y^k\mod p)的答案。如果我们选择y为本原根模p，并且能够访问这个答案，则可以通过求解乘法离散对数模p (对于255个比特的特殊素数在中等计算资源上是非常可行的)来找到k。