椭圆曲线密码的局限性？

Question

简单的问题，ECC的局限性是什么，无论是在应用方面，还是在安全性方面？

我听说国安局几年前就能读到电子邮件了，因为他们在一个特殊的NIST椭圆曲线上发现了一个后门。这是我们可以继续期待的事情吗?还有哪些潜在的缺点存在？

Answer 1

这是一个相当开放的问题，但我将尝试回答：

限制：

• 大多数ECDSA实现都需要一个安全的随机生成器--如果相同的随机值被重用(对于不同的明文)，那么可以简单地计算私钥参数；
• ECDSA需要一个散列函数，不能(很容易？)用于带有消息恢复的签名(同样，签名通常比RSA等签名要小得多)；
• ECC没有提供直接的加密方法，而是EC--IES是常用的--这意味着必须执行密钥对生成，公钥必须与密文一起发送；
• ECC在签名生成和解密方面比RSA有更高的效率，但仍然比对称算法慢得多；
• ECC要求就使用哪种类型的曲线和曲线参数达成一致；
• 许多库缺乏对ECC的支持--尤其是更现代的曲线。

安保：

• 事实上，可以对相对较小的整数(例如DH/DSA或RSA)进行计算，这使得算法相当有效，但也可能有助于量子密码分析；
• 许多曲线--例如NIST在素数域上使用最多的曲线--需要对要执行的公钥进行额外的验证；
• RSA比ECC容易理解(更好的理解有助于协议和实现的安全性)；
• RSA仍然是更好的研究，例如关于侧信道攻击。