哪种高速/高安全ECC曲线在移动设备上是首选的？

Question

我正在寻找消费设备中ECC曲线的最常见分母。

这篇文章描述了一个特殊的ECC曲线是如何理想的英特尔为基础的主板。由于我将以移动设备(Android，iOS)为目标，并希望利用设备上的CPU优化来进行签名验证，所以我正在寻找一条适合他们的ECC曲线。

有些事情我可能需要调查，包括

• CPU专用文档
• OS级支持
• 实现的跨平台互操作性(编码、压缩等)

问题

既然我的问题的直接答案可能并不存在，那么最具体的资源是什么来确定哪条ECC曲线是最有效的消费者使用呢？

Answer 1

密码学家们的普遍共识是，丹尼尔·伯恩斯坦的Curve25519是理想的。它既提供了很好的安全空间，同时又非常快速，并且使用了“nothing up-my-袖”号，并且得到了许多库的支持。在密钥交换中，它被称为x25519。当用于签名时，它被称为Ed25519。它在移动设备和嵌入式设备上工作得很好。事实上，它是如此高效，以至于使用ECC的通常是被动驱动智能卡的选择曲线！

如果您想要一条具有类似属性的更强的曲线，就会有Curve448，也称为编辑448-金发女郎。它比Curve25519强，但也比较慢。对于现代移动设备(相对于低端和低功耗的嵌入式设备或微控制器)，它仍然足够快。