MOV 攻击

简介

粗略的讲MOV攻击利用双线性对e（满足$e(rP,sQ)=e(P,Q{)}^{rs}$）将$E(F_q)$中的两个点映射到$F_{q^k}$中的一个元素.如果要计算rP，可以计算$u=e(P,Q),v=e(rP,Q),\forall Q$,有$v=e(P,Q{)}^r=u^r$,这就变成了一个在$F_{q^k}$中的DL问题.

MOV 攻击

本文翻译自 Rong-Jaye Chen在ECC2008的PPT.https://people.cs.nctu.edu.tw/~rjchen/ECC2009/19_MOVattack.pdf
MOV攻击是1993年Menezes，Okamoto和Vanstone三人提出的一种攻击$E(F_q）$上DLP的方法，思路是利用Weil配对将$E(F_q)$上的DLP转化成$F_{q^m}^{\ast }$的问题.

令$E$是一个定义在$F_q$上的椭圆曲线.令$P,Q\in E(F_q),ord(P)=N$.假设$$gcd(N,q)=1$$我们需要找到$k$使得$Q=kP$.

Lemma 5.1

$P,Q\in E(F_q),N=ord(P).gcd(N,q)=1$,则存在$k$使得$$Q=kP⟺NQ=\infty ,e_N(P,Q)=1$$

Proof

$⟹$ $Q=kP\to NQ=kNP=\infty$同时，$e_N(P,Q)=e_N(P,P{)}^k=1^k=1$
$⟸$$gcd(N,q)=1$,我们有$E[N]\simeq Z_N\oplus Z_N$
选择一个点$R$以至于$P,R$是$E[N]$的一组基，则$Q=aP+bR$.
根据推论3.10,$e_N(P,R)=\zeta$是单位元N次原根.
如果$e_N(P,Q)=1$,则$1=e_N(P,Q)=e_N(P,P{)}^a{e}_N(P,R{)}^b={\zeta }^b$
$\to b\equiv 0\mathrm{m}\mathrm{o}\mathrm{d}N$
$\to bR=\infty$
$\to Q=aP$
证毕.

MOV 攻击

选择m使得$E[N]\subset E(F_{q^m})$根据推论3.11，有${\mu }_N\subset F_{q^m}$
我们为了计算出满足$Q=kP$的k，作如下计算：

1. 选择一个随机点KaTeX parse error: Expected '}', got 'EOF' at end of input: T\in E(F_{q^m))
2. 计算$M=ord(T)$
3. 令$d=gcd(M,N)$并且令$T_1=(M/d)T$,则$d=ord(T_1),d|N,$则$T_1\in E[N]$
4. 计算${\zeta }_1=e_N(P,T_1)$以及${\zeta }_2=e_N(Q,T_1)$,那么${\zeta }_1,{\zeta }_2\in {\mu }_d\subset F_{q^m}^{\ast }$
5. 计算如下离散对数问题$${\zeta }_2={\zeta }_1^{k}in{F}_{q^m}^{\ast }$$这给出了$k\mathrm{m}\mathrm{o}\mathrm{d}d$
6. 重复上述计算直到d的最小公倍数是N，这就决定了$k\mathrm{m}\mathrm{o}\mathrm{d}N$

事实上m可能会非常巨大，这种情况下在$F_{q^m}$中的离散对数问题可能和在$E(F_q)$中的离散对数问题一样难于求解，但是在超奇异曲线中，我们通常令m=2.

命题

$E/F_q$,假设$a=q+1-\#E(F_q)$=0,则存在N阶元$P\in E(F_q)$，则$E[N]\subset E(F_{q^2})$

proof

(1)${\varphi }_q^2-a{\varphi }_q+q=0\to {\varphi }_q^2=-1$.
(2)令$S\in E[N]$，因为$ord(P)=N,\#E(F_q)=q+1\to N|q+1⟺-1\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}N$
${\varphi }_q^2(S)=-qS=1S=S$
根据引理4.5，$S\in E(F_{q^2})$