公钥超过 Mod P？关于离散对数问题的澄清请求

a = b^x mod P where as

a = 地址的公钥；

b = secp256k1 koblitz 曲线的生成点（这是 上下文中的曲线）;

x = 离散对数；

P = 模整数。

我们给出了一个离散对数问题（DLOG）（也称为指数演算）；给定 a,b, 和 P 找到 x 使得 a = b^x mod P 被持有。以上实际上是OP使用的有限域DLOG的乘法符号。 ECC DLOG 是可加的，有不同的表示法；

• 给定点 A 和基 B 找到 x 使得 A = [x]B 保持在曲线 E(F_P) . [x]B 只是意味着将点 B x 次添加到自身。

压缩

起始字节提供有关压缩的信息。

• 02 压缩并选择 y
• 03 压缩并选择 -y
• 04 无压缩

要找到 y，请将 x 代入曲线方程并通过 Tonelli-Shanks 算法求解二次残差。

在你的情况下，两者都给出了，没问题。使用未压缩的公钥。

secp256k1 的当前记录是 114 位，由 Aleksander Zieniewic 于 2020 年 6 月 16 日提供，他们提供了 their software。所以，如果你没有一个低目标，你就无法打破离散对数。

我尝试将未压缩的公钥发送到 Mod P，但未压缩的公钥大小超过了 Mod P。

椭圆曲线中的一个点 Q 当使用仿射坐标系时，它有两个坐标为 Q=(x,y) 其中 x,y 来自定义字段（在您的情况下为 P）。检查点 Q 在曲线上或不在曲线上时，将 x 和 y 放入曲线方程 y^2 = x^3+ax+b 中并检查相等性。

要解压缩，将x的值插入方程x^3+ax+b mod P得到假设值a，然后使用Tonelli-Shanks算法求{{1}的平方根} 在这个等式 a 中找到 y^2 = a mod P 和 y。根据压缩值选择-y或y。

每条评论更新

我尝试使用压缩的公钥，但它仍然比 mod p 大。

压缩一个点需要关于什么是压缩的信息。现在你已经给出了两种形式的公钥 -y;

1. 无压缩：因为开头是 a
2. 压缩但选择 04，因为从 -y 开始

此处使用大写字母不要与十六进制 03 混淆；

a

A = 04
4f355bdcb7cc0af728ef3cceb9615d90684bb5b2ca5f859ab0f0b704075871aa
385b6b1b8ead809ca67454d9683fcf2ba03456d6fe2c4abe2b07f0fbdbb2f1c1

您可以使用曲线方程推导出带有所选 A = 03 4f355bdcb7cc0af728ef3cceb9615d90684bb5b2ca5f859ab0f0b704075871aa 的第二部分

您可以将坐标值与

-y

或者用你的眼睛和头脑；

p = 0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEFFFFFC2F
a = 0x4f355bdcb7cc0af728ef3cceb9615d90684bb5b2ca5f859ab0f0b704075871aa
if a>p:
    print("a")