Не для "Коблиц" (В кавычках, потому что, как правило, относится к Коблиц кривых над полем характеристики 2 и не является простым полем) кривых, но для случайных те, которые почти все остальные использует.

Вот почему я думаю, что утверждение является своего рода странным, практически все использование EC в Интернете использует простые случайные из них (например, P-256r), которые имеют их выбор схемы опубликованы в рамках документа SEC. Я считаю, что Bitcoin является единственным широко распространенным пользователем из к кривым SECP *. (Хотя кривая используется в Ed25519 имеет аналогичную структуру, которая также, почему его производительность аналогична).

P256k1 не был включен ни в одном из стандартов NIST, это только часть Certicom спецификации. Так что если вы NIST гипотезу как _specific_ вектора толкая слабого ECC, то ваша теория действительно должна исключать кривую Bitcoin от начала. (Другими словами: хорошее рациональное рассуждение, что если ваш аргумент ECC является сомнительным, потому что NSA влияет на NIST, то вы должны в равной степени найти свое применение не-NIST кривой утешительный, нет?)

(Это не значит, что мне было бы трудно поверить, что Certicom является пешкой CSE.)

Я бы, однако, обеспокоен тем, что "уязвимость" были использование только Köblitz формы. Часть проблемы заключается в том, что как только вы начинаете предполагая тайну математике все возможно. Мои комментарии по поводу открытых ключей не раскрываются с пользой и нашей способности обновить все еще стоят ... хотя, ну, если наш вариант обновления должны были измениться на кривой, не Köblitz (или гораздо большего поля), я бы некоторые опасения по поводу влияния масштабируемости. Делать вещи более безопасные против слабости высказал предположение не поможет, если исправления делают систему нежизнеспособными или вести нас в централизации. (Хотя я давно задавался с помощью PGP, который на самом деле не имеют те же проблемы масштабирования не использует несколько асимметричных схем параллельно таким образом, что злоумышленник должен разорвать все из них ...)

Лично я хотел бы видеть нас deploy- в качестве Option- подписей Лампорта / Merkle, потому что они имеют совершенно ортогональные свойства безопасности и основаны на предположениях, большинство криптографов будут рассматривать принципиально сильнее ... плюс они ответить на любой FUD QC. Кроме того, они позволяют очень быстро проверку, даже тривиальным реализован код (валидация быстро SECP256k1 далеко не тривиальна). Компромисс в том, что подписи намного больше ... но, по крайней мере, подписи не до конца в наборе UTXO. Я не считал это срочно, но это было на моей долгосрочной вишлист с начала 2011 года.

Это может быть интересно спросить Certicom опубликовать процедуру, используемую для выбора параметров SECP256k1 в. Хотя дизайн пространство вблизи максимально размера "Коблиц"  Кривые меньше, чем вы можете догадываться. Может случиться так, что мы могли бы перепроектировать процедуру.