用一个简单的加性群而不是椭圆曲线群来尝试对非素数阶群的小子群攻击？

Question

这就是我说的攻击- 为什么在创建过程中，较低的3位曲线25519/ of 25519密钥被清除？

8p阶椭圆曲线群，其中p是素数。

设G是阶p子群的生成元。对于ECDH，Alice将aG发送给Bob & Bob发送回h而不是bG，其中h位于order 8的较小的子组上。

我想，我从概念上理解这次袭击。我想在一小群整数中试用\pmod {8p}，而不是类似的椭圆曲线群，这样很容易理解。

所以我选择了p=11 &使用了Z/88Z组。这个组中具有顺序11的元素是这些\{8, 16, 24, 32, 40, 48, 56, 64, 72, 80\}。所有这些都是8的倍数。阶8的子群有这些元素- \{11, 33, 55, 77\}。所有这些都是11的倍数。

因此生成器g将是8 & h的倍数，这是Bob发送的坏元素，它将是11的倍数。因此，当爱丽丝计算ahg \pmod {88}时，它总是为零。我想任何ahg，也就是0，都不会被爱丽丝使用。这不是攻击的一个问题吗?艾丽斯的秘密密钥永远是0 &因此攻击不会发生。

那么，这种攻击只对椭圆曲线群有效吗？我想不出为什么。还是我做错什么了？

Answer 1

还是我做错什么了？

你是迪夫-赫尔曼内部所发生的事情的模型，这是不正确的。

因此生成器g将是8 & h的倍数，这是Bob发送的坏元素，它将是11的倍数。

到目前为止还不错。

所以当爱丽丝计算ahg \pmod{88}时，

这就是你弄错的地方；艾丽斯不计算这个；相反，她计算ah \pmod{88}。这是0、11、22、33、44、55、66、77中的一种，取决于a \bmod 8 (假设鲍勃选择了8阶的h；如果他选择了1、2、4阶的h，其中有些是不可能发生的)。