تعمية المنحنى الناقصي

تعتمد تعمية المفتاح المعلن على صعوبة حل بعض مشكلات العمليات الرياضية. فقد اعتمدت أنظمة المفتاح المعلن الأولية في أمانها على افتراض أنه من الصعب تحليل عوامل عدد صحيح كبير يتكون من عاملين أو أكثر من العوامل الأولية الكبيرة. بالنسبة إلى الپروتوكولات اللاحقة القائمة على المنحنى الناقصي، فإن الافتراض الأساسي هو أن العثور على لوغاريتم متقطع لعنصر منحنى ناقصي عشوائي فيما يتعلق بنقطة أساسية معروفة بشكل عام غير ممكن: هذه هي "مشكلة اللوغاريتم المنفصل لمنحنى ناقصي" ( ECDLP). يعتمد أمان تعمية المنحنى الناقصي على القدرة على حساب مضاعفة النقاط وعدم القدرة على حساب المضاعف بالنظر إلى النقاط الأصلية والجداء. يحدد حجم المنحنى الناقصي صعوبة المشكلة.

أقر المعهد الوطني للمعايير والتكنولوجيا في الولايات المتحدة (NIST) تعمية المنحنى الناقصي في مجموعة Suite B من الخوارزميات الموصى بها، وتحديداً المنحنى الناقصي دفي–هلمان (ECDH ) لتبادل المفاتيح و خوارزمية التوقيع الرقمي للمنحنى الناقصي (ECDSA) للتوقيع الرقمي. تسمح وكالة الأمن القومي الأمريكية (NSA) باستخدامها لحماية المعلومات المصنفة على أنها سرية للغاية بمفاتيح 384 بت.^[2] ومع ذلك، في أغسطس 2015، أعلنت وكالة الأمن القومي أنها تخطط لاستبدال Suite B بمجموعة تشفير جديدة بسبب مخاوف بشأن هجمات الحوسبة الكمية على ECC.^[3]

بينما انتهت صلاحية براءة اختراع RSA في عام 2000، قد تكون هناك براءات الاختراع السارية التي تغطي جوانب معينة من تقنية ECC. ومع ذلك، يجادل البعض بأن حكومة الولايات المتحدة معيار التوقيع الرقمي للمنحنى الناقصي (ECDSA; NIST FIPS 186-3) وبعض أنظمة تبادل المفاتيح العملية القائمة على ECC (بما في ذلك ECDH) يمكن تنفيذها دون انتهاكها، بما في ذلك مخابر RSA ^[4] ودانيال جاي. برنشتاين.^[5]

الفائدة الأساسية التي يعد بها تعمية المنحنى الناقصي هي أن يكون حجم المفتاح أصغر، مما يقلل من متطلبات التخزين والارسال،^[6] أي أن مجموعة المنحنى الناقصي يمكن أن توفر نفس مستوى الأمان الذي يوفره نظام قائم على RSA مع معامل كبير ومفتاح أكبر في المقابل: على سبيل المثال، يجب أن يوفر المفتاح المعلن ذو المنحنى الناقصي 256-bit أماناً مشابهاً لمفتاح معلن ذو RSA 3072 بت.

تم اقتراح استخدام المنحنيات الناقصية في التعمية بشكل مستقل بواسطة نيل كوبلتس^[7] و ڤيكتور إس. ميلر^[8] في عام 1985. وقد دخلت خوارزميات تعمية المنحنى الناقصي استخداماً واسعاً في الفترة من 2004 إلى 2005.

لأغراض التعمية الحالية، فإن المنحنى الناقصي هو منحنى مستوي على مجال محدود (بدلاً من الأرقام الحقيقية) والذي يتكون من النقاط التي تحقق المعادلة

${\displaystyle y^{2}=x^{3}+ax+b,\,}$ 

جنباً إلى جنب مع نقطة مميزة عند اللانهاية، يُشار إليها بـ ∞. (يجب اختيار الإحداثيات هنا من مجال محدود من خاصية لا تساوي 2 أو 3، أو ستكون معادلة المنحنى أكثر تعقيداً إلى حد ما.)

هذه المجموعة مع عمليات مجموعة المنحنيات الناقصية هي مجموعة أبيلية، مع النقطة اللانهائية كعنصر مطابقة. يتم منح بنية المجموعة من مجموعة المقسوم عليه من التنوع الجبري الأساسي.

${\displaystyle \mathrm {Div} ^{0}(E)\to \mathrm {Pic} ^{0}(E)\simeq E,\,}$ 

تم تكييف العديد من الپروتوكولات المستندة إلى اللوغاريتم المتقطع مع المنحنيات الناقصية، واستبدال المجموعة ${\displaystyle (\mathbb {Z} _{p})^{\times }}$  بمنحنى ناقصي:

• يعتمد مخطط موافقة المفتاح منحنى ديفي-هلمان الناقصي (ECDH) على مخطط ديفي-هلمان،
• منحنى نظام التشفير المتكامل الناقصي (ECIES)، المعروف أيضاً باسم نظام تشفير المنحنى الناقصي المعزز أو ببساطة نظام تشفير المنحنى الناقصي،
• تستند خوارزمية التوقيع الرقمي للمنحنى الناقصي (ECDSA) إلى خوارزمية التوقيع الرقمي،
• مخطط التشوه باستخدام مقياس p-adic مانهاتن لهاريسن،
• تعتمد خوارزمية منحنى إدواردز للتوقيع الرقمي (EdDSA) على توقيع شنور وتستخدم منحنى إدواردز الملتف،
• يعتمد مخطط موافقة المفتاح ECMQV على مخطط موافقة المفتاح MQV،
• مخطط التصديق الضمني ECQV.

في مؤتمر RSA 2005، أعلنت وكالة الأمن القومي (NSA) عن Suite B الذي يستخدم حصرياً ECC لإنشاء التوقيع الرقمي وتبادل المفاتيح. ويهدف هذا الجناح إلى حماية كل من أنظمة ومعلومات الأمن القومي السرية وغير السرية.^[6]

في الآونة الأخيرة، تم تقديم عدد كبير من أساسيات التشفير استناداً إلى التعيينات ثنائية الخطية على مجموعات منحنيات ناقصية مختلفة، مثل ڤيل و اقتران تيت. توفر المخططات المستندة إلى هذه العناصر الأولية تشفير قائم على المطابقة فعالاً بالإضافة إلى تواقيع قائمة على الاقتران، و تعمية التوقيع، و موافقة المفاتيح، و إعادة تشفير الوكيل.

تتضمن بعض اعتبارات التطبيق الشائعة ما يلي:

 پارامترات المجال

لاستخدام ECC، يجب على جميع الأطراف الاتفاق على جميع العناصر التي تحدد المنحنى الناقصي، أي پارامترات المجال للمخطط. يتم تحديد الحقل بواسطة p في الحالة الأولية وزوج m و "f في الحالة الثنائية. يتم تعريف المنحنى الناقصي من خلال الثوابت a و b المستخدمة في معادلتها التطابقية. أخيراً، يتم تحديد المجموعة الفرعية الدورية من خلال المولد (المعروف أيضاً باسم النقطة الأساسية) G. بالنسبة لتطبيق التعمية، فإن الترتيب الخاص بـ G، هذا هو أصغر رقم موجب n مثل ${\displaystyle nG={\mathcal {O}}}$  (نقطة عند اللانهاية للمنحنى، و عنصر المطابقة)، عادة ما تكون أولية. نظراً لأن n هو حجم مجموعة فرعية من ${\displaystyle E(\mathbb {F} _{p})}$  فإنه يتبع من مبرهنة لاگرانج أن الرقم ${\displaystyle h={\frac {1}{n}}|E(\mathbb {F} _{p})|}$  عدد صحيح. في تطبيقات التعمية، يجب أن يكون هذا الرقم h، المسمى العامل المساعد، صغيراً (${\displaystyle h\leq 4}$ ) ويفضل أن يكون ${\displaystyle h=1}$ . للتلخيص: في الحالة الأولية، پارامترات المجال هي ${\displaystyle (p,a,b,G,n,h)}$ ؛ في الحالة الثنائية، تكون ${\displaystyle (m,f,a,b,G,n,h)}$ .

ما لم يكن هناك ضمان بأن پارامترات المجال قد تم إنشاؤها من قبل طرف موثوق به فيما يتعلق باستخدامها، يجب التحقق من صحة پارامترات المجال قبل الاستخدام.

لا يتم عادةً إنشاء پارامترات المجال من قبل كل مشارك لأن هذا يتضمن عدد النقاط على المنحنى وهو أمر يستغرق وقتاً طويلاً ومن الصعب تنفيذه. ونتيجة لذلك، نشرت العديد من الهيئات القياسية پارامترات المجال للمنحنيات الناقصية للعديد من أحجام المجالات الشائعة. تُعرف پارامترات المجال هذه باسم المنحنيات القياسية أو المنحنيات المسماة؛ يمكن الإشارة إلى منحنى مسمى إما بالاسم أو عن طريق مميز الشيء الفريد المحدد في المستندات القياسية:

• NIST, Recommended Elliptic Curves for Government Use
• SECG, SEC 2: Recommended Elliptic Curve Domain Parameters
• ECC Brainpool (RFC 5639), ECC Brainpool Standard Curves and Curve Generation

متجهات اختبار SECG متاحة أيضاً^[9] وافقت NIST على العديد من منحنيات SECG، لذلك هناك تداخل كبير بين المواصفات المنشورة بواسطة NIST و SECG. يمكن تحديد پارامترات مجال EC إما بالقيمة أو بالاسم.

إذا أراد أحد (على الرغم من ما سبق) إنشاء پارامترات المجال الخاصة به، فيجب على المرء تحديد الحقل الأساسي ثم استخدام إحدى الاستراتيجيات التالية للعثور على منحنى بعدد مناسب (أي بالقرب من العدد الرئيسي) من النقاط باستخدام إحدى الطرق التالية :

• حدد منحنى عشوائي واستخدم خوارزمية عامة لحساب النقاط، على سبيل المثال، خوارزمية شوف أو خوارزمية شوف-إلكيز-آتكن،
• حدد منحنى عشوائي من إحدى العائلات مما يتيح سهولة حساب عدد النقاط (على سبيل المثال، منحنيات كوبلتس)، أو
• حدد عدد النقاط وقم بإنشاء منحنى بهذا العدد من النقاط باستخدام تقنية الضرب المعقد.^[10]

يوجد عدة تصنيفات من المنحنيات وهي ضعيفة ويجب تجنبها:

• المنحنيات على ${\displaystyle \mathbb {F} _{2^{m}}}$  مع m غير الأولية معرضة لهجمات تدرج ڤيل.^[11][12]
• منحنيات مثل n تقسم ${\displaystyle p^{B}-1}$  (حيث p هي خاصية المجال: q للمجال الأولي أو ${\displaystyle 2}$  للمجال الثنائي) لحقل B صغير بدرجة كافية تكون عرضة لهجوم منزس-أوكاموتو-ڤانستون(MOV)^[13][14] الذي يطبق مشكلة اللوگاريتم المتقطع (DLP) في مجال امتداد بدرجة صغيرة من ${\displaystyle \mathbb {F} _{p}}$  لحل ECDLP. يجب اختيار الحد B بحيث يكون حساب لوگاريتم متقطع في المجال ${\displaystyle \mathbb {F} _{p^{B}}}$  على الأقل بنفس صعوبة حساب السجلات المتقطعة على المنحنى الناقصي ${\displaystyle E(\mathbb {F} _{q})}$ .^[15]
• المنحنيات مثل أن ${\displaystyle |E(\mathbb {F} _{q})|=q}$  عرضة للهجوم الذي يقوم بتعيين النقاط على المنحنى إلى المجموعة المضافة لـ ${\displaystyle \mathbb {F} _{q}}$ .^[16][17][18]

 أحجام المفاتيح

نظراً لأن جميع الخوارزميات الأسرع المعروفة التي تسمح لأحدهم بحل ECDLP (baby-step giant-step، رو پولار، وما إلى ذلك)، تحتاج إلى ${\displaystyle O({\sqrt {n}})}$  خطوة، فإنه يترتب على ذلك أن حجم المجال الأساسي يجب أن يكون ضعف پارامتر الأمان تقريباً. على سبيل المثال، للحصول على أمان 128 بت، يحتاج المرء إلى منحنى على ${\displaystyle \mathbb {F} _{q}}$ ، حيث ${\displaystyle q\approx 2^{256}}$ . يمكن مقارنة ذلك بتعمية المجال المحدود (على سبيل المثال، DSA) الذي يتطلب^[19] مفاتيح عمومية 3072 بت ومفاتيح خاصة 256 بت، والتحليل إلى عوامل صحيحة (على سبيل المثال، RSA) الذي يتطلب قيمة 3072 بت لـ n، حيث يجب أن يكون المفتاح الخاص بنفس الحجم. ومع ذلك، قد يكون المفتاح المعلن أصغر لاستيعاب التشفير الفعال، خاصة عندما تكون طاقة المعالجة محدودة.

أصعب مخطط ECC (معلن) والذي تم كسره حتى الآن كان يحتوي على مفتاح 112 بت لحالة المجال الأولي ومفتاح 109 بت لحالة المجال الثنائي. بالنسبة لحالة المجال الأولي، تم كسر هذا في يوليو 2009 باستخدام مجموعة تضم أكثر من 200 وحدة ألعاب PlayStation 3 وكان من الممكن الانتهاء منها خلال 3.5 شهراً باستخدام هذه المجموعة عند التشغيل المستمر.^[20] تم كسر حالة المجال الثنائي في أبريل 2004 باستخدام 2600 جهاز حاسب على مدار 17 شهراً.^[21]

يهدف مشروع حالي إلى كسر تحدي ECC2K-130 من قبل شركة Certicom، باستخدام مجموعة كبيرة من الأجهزة المختلفة: CPUs, GPUs, FPGA.^[22]

 الإحداثيات الإسقاطية

يُظهر الفحص الدقيق لقواعد الإضافة أنه من أجل إضافة نقطتين، لا يحتاج المرء فقط إلى عمليات جمع وضرب متعددة في ${\displaystyle \mathbb {F} _{q}}$  ولكن أيضاً يحتاج إلى عملية عكس. الانعكاس (لأجل ${\displaystyle x\in \mathbb {F} _{q}}$  معطى نجد ${\displaystyle y\in \mathbb {F} _{q}}$  بحيث يكون ${\displaystyle xy=1}$ ) أقل بحجم واحد إلى اثنين^[23]من الضرب. ومع ذلك، يمكن تمثيل النقاط الموجودة على منحنى في أنظمة إحداثيات مختلفة لا تتطلب عملية انعكاس لإضافة نقطتين. تم اقتراح العديد من هذه الأنظمة: في نظام الإسقاط يتم تمثيل كل نقطة بثلاثة إحداثيات ${\displaystyle (X,Y,Z)}$  باستخدام العلاقة التالية: ${\displaystyle x={\frac {X}{Z}}}$ , ${\displaystyle y={\frac {Y}{Z}}}$ ; في نظام جاكوبي، يتم تمثيل نقطة أيضاً بثلاثة إحداثيات ${\displaystyle (X,Y,Z)}$ ، ولكن يتم استخدام علاقة مختلفة: ${\displaystyle x={\frac {X}{Z^{2}}}}$ , ${\displaystyle y={\frac {Y}{Z^{3}}}}$ ; تكون العلاقة في نظام لوپيز– داهاب ${\displaystyle x={\frac {X}{Z}}}$ , ${\displaystyle y={\frac {Y}{Z^{2}}}}$ ; في نظام جاكوبي المعدل، يتم استخدام نفس العلاقات ولكن يتم تخزين أربعة إحداثيات واستخدامها للحسابات ${\displaystyle (X,Y,Z,aZ^{4})}$ ; وفي نظام تشودنوڤسكي الجاكوبي، يتم استخدام خمسة إحداثيات ${\displaystyle (X,Y,Z,Z^{2},Z^{3})}$ . لاحظ أنه قد يكون هناك اصطلاحات تسمية مختلفة، على سبيل المثال، يستخدم معيار IEEE P1363 - 2000 الإحداثيات الإسقاطية للإشارة إلى ما يسمى بالإحداثيات الجاكوبية. يمكن زيادة سرعة إضافية إذا تم استخدام الإحداثيات المختلطة.^[24]

 الاختزال السريع (منحنيات NIST)

يمكن تنفيذ نموذج الاختزال p (المطلوب للجمع والضرب) بشكل أسرع بكثير إذا كان p الأولي شبه - عدد مرسن الأولي، أي s ${\displaystyle p\approx 2^{d}}$ ; على سبيل المثال، ${\displaystyle p=2^{521}-1}$  or ${\displaystyle p=2^{256}-2^{32}-2^{9}-2^{8}-2^{7}-2^{6}-2^{4}-1.}$  مقارنة بـ اختزال باريت، يمكن أن يكون هناك ترتيب لتسريع الحجم.^[25]إن التسريع هنا عملي وليس نظري، وهو مستمد من حقيقة أن معاملات الأرقام مقابل الأرقام القريبة من قوى اثنين يمكن إجراؤها بكفاءة بواسطة أجهزة الحاسب التي تعمل على أرقام ثنائية مع عمليات على مستوى البت.

المنحنيات على ${\displaystyle \mathbb {F} _{p}}$  مع شبه-مرسن p الموصى بها بواسطة NIST. ميزة أخرى لمنحنيات NIST هي أنها تستخدم a = −3، مما يحسن الإضافة في إحداثيات جاكوبي.

وفقًا لبرنستين ولانگه، فإن العديد من القرارات المتعلقة بالكفاءة في NIST FIPS 186-2 دون المستوى الأمثل. المنحنيات الأخرى أكثر أماناً وتعمل بنفس السرعة.^[26]

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

المنحنيات الناقصية قابلة للتطبيق على التشفير، التوقيعات الرقمية، مولدات شبه-عشوائية|المولدات شبه-عشوائية والمهام الأخرى. يتم استخدامها أيضاً في العديد من خوارزميات التحليل الصحيح للعوامل التي لها تطبيقات في التعمية، مثل تحليل منحنى لنسترا الناقصي إلى عوامل.

في عام 1999، أوصت NIST بخمسة عشر منحنى ناقصي. على وجه التحديد، FIPS 186-4^[27]والذي يحتوي على عشرة مجالات محدودة موصى بها:

• خمسة مجالات أولية ${\displaystyle \mathbb {F} _{p}}$  لبعض الأعداد الأولية p بأحجام 192 و 224 و 256 و 384 و 521 [ك‍] بت. يوصى باستخدام منحنى ناقصي واحد لكل مجال من المجالات الأولية.
• خمسة مجالات ثنائية ${\displaystyle \mathbb {F} _{2^{m}}}$  لـ m تساوي 163 و 233 و 283 و 409 و 571. لكل مجال من المجالات الثنائية، منحنى ناقصي واحد وتم اختيار منحنى واحد كوبلتز.

وهكذا تحتوي توصية NIST على إجمالي خمسة منحنيات أساسية وعشرة منحنيات ثنائية. تم اختيار المنحنيات ظاهرياً لتحقيق الأمان الأمثل وكفاءة التنفيذ.^[28]

في عام 2013، ذكرت ذا نيويورك تايمز أن إنشاء منحنى ناقصي مزدوج محدد عشوائياً (أو Dual_EC_DRBG) قد تم إدراجه كمعيار وطني NIST بسبب تأثير NSA، والتي تضمنت ضعفاً متعمّداً في الخوارزمية والمنحنى الناقصي الموصى به.^[29]وقد أصدرت RSA للحماية في سبتمبر 2013 نصيحة استشارية توصي فيها عملاءها بالتوقف عن استخدام أي برنامج يعتمد على Dual_EC_DRBG.^[30][31] في أعقاب الكشف عن Dual_EC_DRBG على أنه "عملية سرية تابعة لوكالة الأمن القومي"، أعرب خبراء التعمية أيضاً عن قلقهم بشأن أمان المنحنيات الناقصية التي أوصت بها NIST،^[32] مما يشير إلى العودة إلى التشفير على أساس مجموعات منحنيات غير ناقصية.

يتم استخدام تعمية المنحنى الناقصي بواسطة العملة المشفرة بتكوين.^[33] يستخدم الإصدار 2.0 من إثيريم استخداماً مكثفاً لأزواج المنحنى الناقصي باستخدام توقيع BLS - كما هو محدد في IETF مسودة مواصفات BLS - للتأكد من أن مدقق Eth2 محدداً قد تحقق بالفعل من معاملة معينة.^[34][35]

 هجمات القناة الجانبية

على عكس معظم أنظمة DLP الأخرى (حيث يكون من الممكن استخدام نفس الإجراء للتربيع والضرب)، فإن إضافة EC تختلف اختلافاً كبيراً في المضاعفة (P = Q) و إضافة عامة (P ≠ Q) اعتماداً على نظام الإحداثيات المستخدم. وبالتالي، من المهم مواجهة هجوم القناة الجانبية (على سبيل المثال، التوقيت أو هجمات تحليل القدرة البسيطة / التفاضلية) باستخدام، على سبيل المثال، أساليب النافذة ذات النمط الثابت (الملقب بالمشط)^{[مطلوب توضيح][36]} (لاحظ أن هذا لا يزيد من وقت الحساب). بدلا من ذلك يمكن للمرء استخدام منحنى إدواردز؛ هذه مجموعة خاصة من المنحنيات الناقصية التي يمكن من أجلها مضاعفة وإضافة نفس العملية.^[37]مصدر قلق آخر لأنظمة تصحيح الأخطاء (ECC) هو خطر هجمات الأخطاء، خاصة عند التشغيل على البطاقات الذكية.^[38]

 من وراء الكواليس

أعرب خبراء التعمية عن مخاوفهم من أن وكالة الأمن القومي قد أدخلت كواليساً سرقة المعلومات بشكل آمن في مولد شبه-عشوائي قائم على المنحنى الناقصي واحد على الأقل.^[39] تشير المذكرات الداخلية التي تم تسريبها من قبل المقاول السابق لوكالة الأمن القومي، إدوارد سنودن، إلى أن وكالة الأمن القومي تضع كواليساً في معيار Dual EC DRBG.^[40] خلص أحد التحليلات للكواليس المحتمل إلى أن الخصم الذي يمتلك المفتاح السري للخوارزمية يمكنه الحصول على مفاتيح تشفير معطاة 32 بايت فقط من إخراج PRNG.^[41]

تم إطلاق مشروع SafeCurves من أجل فهرسة المنحنيات التي يسهل تنفيذها بأمان والمصممة بطريقة يمكن التحقق منها بشكل عام لتقليل فرصة وجود كواليس.^[42]

 هجمات الحوسبة الكمومية

يمكن استخدام خوارزمية شور لكسر تشفير المنحنى الناقصي عن طريق حساب اللوگاريتمات المتقطعة على الحاسب الكمي الافتراضي. أحدث تقديرات الموارد الكمية لكسر منحنى بمعامل 256 بت (مستوى أمان 128 بت) هي 2330 كيوبت و 126 مليار بوابة توفولي.^[43] وبالمقارنة، فإن استخدام خوارزمية شور لكسر خوارزمية RSA يتطلب 4098 كيوبت و 5.2 تريليون بوابة توفولي لمفتاح RSA 2048 بت، مما يشير إلى أن ECC هدف أسهل لأجهزة الحاسب الكمومية من RSA. كل هذه الأرقام تتجاوز بكثير أي كمبيوتر كمي تم بناؤه على الإطلاق، وتشير التقديرات إلى أن إنشاء مثل هذه الحواسيب يبعد عقداً أو أكثر.^{[بحاجة لمصدر]}

يوفر تبادل مفاتيح ديفي-هلمان متساوية التماثل فائقة التفرد شكلًا آمناً ما بعد الكم لتشفير المنحنى الناقصي باستخدام isogenies لتنفيذ تبادلات مفاتيح ديفي-هلمان. يستخدم تبادل المفاتيح هذا كثيراً من نفس العمليات الحسابية في المجال مثل تشفير المنحنى الناقصي الحالي ويتطلب نفقات حسابية ونقل مشابه للعديد من أنظمة المفاتيح المعلنة المستخدمة حالياً.^[44]

في أغسطس 2015، أعلنت وكالة الأمن القومي أنها تخطط للانتقال "في المستقبل غير البعيد" إلى مجموعة تشفير جديدة مقاومة لهجمات الكم. "لسوء الحظ، اصطدم نمو استخدام المنحنى الناقصي بحقيقة التقدم المستمر في البحث عن الحوسبة الكمية، مما يستلزم إعادة تقييم إستراتيجيتنا في التعمية."^[3]

 هجوم المنحنيات الغير صالحة

عند استخدام ECC في الآلات الافتراضية، قد يستخدم المهاجم منحنى غير صالح للحصول على مفتاح خاص PDH كامل.^[45]

تغطي البراءات مخطط واحد على الأقل من مخطط ECC (ECMQV) وبعض تقنيات التنفيذ.

تشمل التمثيلات البديلة للمنحنيات الناقصية ما يلي:

• Hessian curves
• Edwards curves
• Twisted curves
• Twisted Hessian curves
• Twisted Edwards curve
• Doubling-oriented Doche–Icart–Kohel curve
• Tripling-oriented Doche–Icart–Kohel curve
• Jacobian curve
• Montgomery curves

• Jacques Vélu, Courbes elliptiques (...), Société Mathématique de France, 57, 1-152, Paris, 1978.

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

• المنحنيات الناقصية/الإهليلجية من جامعة ستانفورد
• مفيد شعار (2017). "التشفير باستخدام المنحنيات الإهليلجية". الفضائيون.