X25519 (带基点的多播)能被逆转吗？

Question

我承认我对Curve25519背后的数学和基于它的DH交换不太了解。

我要问的是，在发布这个操作的结果之后：

ephemeral_share = X25519(ephemeral_secret, BASEPOINT)

ephemeral_secret是否可以被任何获得ephemeral_share的人找到，因为他们知道使用的曲线(因此曲线的基点)？

这并不是说我不相信菲利普的判断(以上内容摘自他的博客2019年的一篇文章)；我只是想确保自己对事情的理解是正确的。

Answer 1

如果ephemeral_secret知道所使用的曲线(以及曲线的基点)，那么谁能找到这个ephemeral_share呢？

如果手头的X25519实现的设计目标得到满足，并且ephemeral_secret是随机生成并保密的，则不能。这将打破离散对数问题，因为它代表X25519。