如何获得ECC密钥的等效强度？

#1 楼

椭圆曲线组的安全级别约为$ \ log_2 {0.886 \ sqrt {2 ^ n}} $。您可以使用它来近似$ n $位密钥的安全级别，例如：

$ \ log_2 {0.886 \ sqrt {2 ^ {571}}} = 285.32537860389294 $

实际计算（至少对于由质数$ p $定义的有限域上的曲线）为$ \ log_2 {\ sqrt {\ pi / 4} \ sqrt {ℓ}} $，其中$ℓ$为公共基点在曲线上的点子组的顺序（点数）。 $ p $的大小确定了$ℓ$的上限，尽管它本身并不完全是上限，但通常非常接近。因此，例如，Curve25519的$ℓ$约为$ 2 ^ {252} $，因此：

$ \ log_2 {\ sqrt {\ pi / 4} \ sqrt {2 ^ {252}} } = 125.82537860389293 $

我们基于ECC密钥大小的近似值使我们非常接近：

$ \ log_2 {0.886 \ sqrt {2 ^ {256}}} = 127.82537860389293 $

如下文所述，Koblitz曲线略有不同。

任何ECC密钥的强度都与基础曲线和域参数的强度绑定在一起，并且通常，为特定曲线生成的所有有效密钥对都应具有相同的大小/强度。有一些点是无效的，不应使用，但您的ECC实现应为您处理这些问题。安全曲线：http://safecurves.cr.yp.to/rho.html

#2 楼

先前的答案具有估算原始场椭圆曲线安全级别的正确公式。但是，正如Richie Frame指出的那样，该表似乎只是列出了所使用的最接近的Koblitz曲线尺寸。左栏中的值。例如，使用K-571曲线，以上公式将为您提供284，而不是256。此外，使用Koblitz曲线，Pollard的rho算法可以提高（pdf）约$ \ sqrt {m} $，其中$ m $是字段的大小（表中的数字）。因此，实际上K-571的安全级别约为280位。

那为什么数字与您计算它们的方式都不匹配？

那是因为Koblitz曲线具有被选择有一个主要的$ m $来避免其他攻击。他们基本上选择了能够给出椭圆曲线的最小参数，并为其目标水平提供了足够的安全性。相比之下，左列只是与以字节表示的对称密钥相对应的常见“不错”安全级别。