$y^2=x^3-x+1$椭圆曲线与$GF(3^m)$ $m=97$可用于Diffie密钥交换？

Question

我是ECC的新手。我刚读过关于椭圆曲线y^2=x^3-x+1的文章。我在抄写这一行

椭圆曲线是在伽罗瓦域E:y^2=x^3-x+1，m=97上定义的仿射坐标下的超奇异D4，其不可约多项式为x^{97}+x^{12}+2。

现在我有三个问题。

1. 这条曲线与普通椭圆曲线(GF (2^m))有何不同？
2. 这个图能用来实现ECDH吗？
3. 与NIST推荐的曲线参数相比，这条曲线有多安全？

提前谢谢你的帮助。

Answer 1

让我们看看曲线的细节；让K = \operatorname{GF}(3^m)和曲线由方程E(K):y^2 = x^3 + 2x + 1 \quad\quad ;-1 \equiv 2 \bmod 3定义

1. 是的，这是迷信的
2. 有理点组有序n = 19088056323407827075424725586944833310200239047，顺序有两个因素：7 \cdot 2726865189058261010774960798134976187171462721。第二个因素(较大的一个)是\approx 150位数.
3. 一般的DLog攻击需要\sqrt{n}-time，因此曲线的安全性不能超过2^{75}。因此，不能安全地用于ECDH。在今天的标准中，我们至少需要128位的安全性.这就是为什么Curve25519更可取的原因，还有其他一些属性，比如扭曲安全性。
4. 它根本没有扭曲安全性。扭转有一个顺序19088056323407827075424246988286372075141058881和它有两个大的因素(9594160501626613625431,1989549405617260510054951)，(大约每个是一个73位的数字)，因此没有扭曲安全性。
5. 使用二进制扩展字段\operatorname{GF}(2^m)的曲线在计算中是有效的，而一些二进制扩展不再具有安全的有效大小。则是有效的。使用3作为基本字段更难使用像Curve25519这样的大字段。
6. 根据目前的NIST曲线，它具有较低的安全性，尽管其中一些不扭曲安全性。
7. 超奇异曲线已经被避免了很长时间。标准曲线中没有一条是超曲线。

SageMath代码

K = GF(3^97)
print(K)
E = EllipticCurve(K,[0,0,0,-1,1])
print(E)
print("Supersingular? : ", E.is_supersingular())
print("Order of E : ",E.order())
print("Factors of ord(E) : ", factor(E.order()))
E2 = E.quadratic_twist()
print("Quadratic Twist of E :",E2)
print("Order of Quadratic Twist :", E2.order() )
print("Factors of the order of Quadratic Twist :", factor(E2.order()) )

Answer 2

这条曲线完全不安全。这些研究人员执行了一项计算，以便在这条精确的曲线上打破离散日志。

在现代知识下，所有小的特征配对友好曲线都是不安全的。这是另一篇论文在\operatorname{GF}(3^{6\cdot 509})上的一条曲线上打破离散日志--注意这个字段的大小比你的曲线大得多。