ECDSA算法有多强？

Question

一些密码算法和它们的密钥大小一样强大，而另一些算法有一些弱点限制了它们的强度(例如SHA-1)。ECDSA算法有多强，这种强度是否取决于任何东西(例如，所使用的曲线等等)？

Answer 1

首先，我不是这方面的专家。一般来说，n位ECC似乎有一个关于n/2的安全级别，但我发现对于某些类型的曲线，它更低。

RFC4492 -椭圆曲线密码学密码套件包含下表：

               for Transport Layer Security (TLS)

                Symmetric  |   ECC   |  DH/DSA/RSA
               ------------+---------+-------------
                    80     |   163   |     1024
                   112     |   233   |     2048
                   128     |   283   |     3072
                   192     |   409   |     7680
                   256     |   571   |    15360

它似乎没有区分不同的曲线类型。

我找到了一个RFC草案 (不是一个真正的标准RFC)，它声称具有以下安全级别：

Symmetric  |  ECC2N  |  ECP  |  DH/DSA/RSA
       80  |   163   |  192  |     1024
      128  |   283   |  256  |     3072
      192  |   409   |  384  |     7680
      256  |   571   |  521  |    15360

这与其他将ECC的安全级别置于n/2的其他来源是一致的。二元曲线似乎比素数曲线差一些。

博客条目不是每条椭圆曲线都是相同的: ECC安全的槽.详细阐述：

此外，大多数人不知道的是，与我们的分析非常相关的是，ECC曲线密码有不同的类型，它们的“大小”取决于曲线的类型：

• 素数域上的ECC曲线(通常称为椭圆曲线，用Prime表示)
• 二元域上的ECC曲线(通常称为Koblitz曲线，用keysize表示)

在安全强度等价的情况下，椭圆曲线和Kobliz曲线具有不同的密钥大小，例如，当我们读取ECC 571时，我们指的是与ECC 521素曲线等效强度的Koblitz曲线。

对于一些曲线(如超格曲线)，有特定的攻击，这使得它们明显变弱。