问使用椭圆曲线的原因是什么?E= fr

EN

设E是有限域K上的椭圆曲线。然后，满足曲线方程的点在点加法下形成阿贝尔群。组的顺序q= \#E(K)可以是素数，也可以是复合的。如果阶为素数，则称为素数曲线。设p是p\mid q这样的最大素数。协因子h被定义为h=q/p.

有一个质数级(即h=1)或not (h>1)的微妙之处。

• 当我们有素数曲线时，每个元素都是一个生成器- -除了恒等元素-。这在群论上的拉格朗日定理中很容易看到；一个子群的顺序划分了这个群的阶。由于组顺序是素数，所以子组都具有与组相同的顺序。这是安全的波利格-赫尔曼攻击时，集团秩序不是素数。
• 当h>1时，我们有一些子群。考虑Curve25519中的h=8，这意味着可能存在阶2,4,8,2p,4p,q=8p的子群(拉格朗日定理的逆一般不正确，但是可以检验这条曲线确实存在这样的子群)。当然，我们不会选择一条有两个大素数除以曲线阶的曲线。所以在这里帮不了什么忙。在这种情况下仍然存在攻击。如果合法用户不服从指南，那么他们就容易受到林-李主动小子群攻击的攻击。如果他们听从向导的指挥，他们就不会受到这场袭击。当然，我们是在自由世界不听指导，然后莫内罗和其他人有攻击点在他们的实现。麦克汉堡通过构建无咖啡因来减轻合法用户手中的问题，从而减轻了负担。如果你不服从指导，你需要点验证。

那么为什么我们要使用非素数曲线呢？答案是在表演中

• 蒙古族阶梯为计算蒙哥马利曲线上的标量乘法提供了一种快速、规则的结构。如果正确实现，该结构可以具有侧通道安全性。要有蒙哥马利表示，这条曲线必须有一个顺序4元素。
• 对于素数曲线，有Joye梯子，然而，这并不像蒙哥马利阶梯那么快。