如何计算椭圆曲线参数？

#1 楼

可以在可接受的时间内找到所需的值。

TL; DR：找到曲线阶数，将其分解为因子，选择一个（随机）点，直到获得具有所需阶数的点为止，然后首先，您可以使用yyyyyyy的答案，使用Schoof算法找到所描述曲线的阶次$ n $。请注意，此顺序应为素数或素数的小数倍（4x-8x），以增强安全性，但不必具有这些属性即可使方案起作用。

下一步，您需要实际考虑该顺序。这是可行的，因为此顺序的长度通常约为500位（如果您不打算使用256位安全级别，则长度会少很多），这可以为FREAK完成，也可以做到。当然，如果曲线阶数是素数或素数的小倍数（4x-8x），则可能不需要使用GNFS获得因式分解，而是可以给出（素数情况）或通过试验除法找到（小倍数情况） ）。

最后，您只需选择一个曲线点并确定其顺序，直到您按所需的顺序$ t $击中一个点，这也会产生辅助因子$ h = n / t $。通常，您会希望拥有$ h \ leq 8 $，并且通常还会从具有较小x坐标的点开始，然后逐步尝试所有操作，直到达到一个完全满足条件的条件。


可以在文献中的很多地方找到用于此目的的算法，假设我们正在测试点A且$ n = p_1 ^ {e_1}，我将在《应用密码学手册》中快速重申这一算法。 \ cdot p_2 ^ {e_2} \ cdot \ cdot \ cdot p_k ^ {e_k} $：


从$ 1 $设置$ t \ get n $
到$ k $，请执行以下操作：


设置$ t \得到t / p_i ^ {e_i} $
计算$ A_1 \得到t \ cdot A $
在$ A_1 \ neq \ mathcal O $执行以下操作时：计算$ A_1 \得到p_i * A_1 $并设置$ t \ get t \ cdot p_i $


输出$ t $按照$ A $的顺序


请注意：我强烈建议您不要在用户选择参数的情况下使用自定义曲线。这些可能容易受到安全曲线项目中记录的攻击的影响。应首选标准化曲线（例如Curve448或Curve25519），以简化实施并更好地分析安全性。