Право, также обеспечить как хэш сообщения; криптографические предположения сильнее: все AES, в HMAC, и дискретная журнал должны загрузить свои свойства безопасности. Кроме того, как безопасный, как реализация ECIES (которая была широко реализована неправильно в прошлом, например, Электрум раз погружено сломленный «ecies»).

Путь ECC используется для ECIES также сильно отличается от пути ECC используется для подписания; и поэтому он имеет различные возможности для реализации уязвимостей.

Для ECIES, сторона дешифрования делает переменную базу умножения с их секретом и точкой указанной атакующим (В отличие от неподвижной базы умножения с секретом, порожденным подписывающим, в подписании). Это означает, что его более уязвимым для различных дефектоскопов реализации и бокового канала атак. Например, если реализация не проверяет уравнение кривого, и распечатает ошибки ред расшифровки (или любое различающий между небольшим числом возможных неправильных расшифровок) Я могу послать в эфемерных ключах, которые не находятся на кривом, но вместо этого в небольшой подгруппе, и с небольшим количеством запросов восстановить секретный ключ. Нет аналогичное нападение не может существовать для подписания. Теперь, это глупо реализация иметь такого рода ошибку (не проверяет членство кривого), но многие из них реальных производств профессиональных имели это (в том числе таких вещей, как код Java ECC); и особенно вокруг Bitcoin пространства мы видим _lot_ ЕСС кода, написанного отдельных авторов, как их первый проект криптография публикуется для использования третьей стороной без какого-либо значимого рецензирования.

Держу пари, что большинство людей, читающих это было бы удивлены, узнав, что при незначительной реализации багги дешифрования, если я могу узнать несколько бит из относительно небольшого числа неудачных расшифровок с некоторыми плохими эфемерными ключами, которые я мог бы восстановить секретный ключ ... и из-за того, что многие люди не думают будет, чтобы избежать такого рода ошибок реализации или избежать утечки какой-либо информации о ключе сеанса в случае сбоя.

Кроме того, только ECIES сам по себе не приводит к хорошему программному обеспечению шифрования. Что происходит, когда сообщение больше, чем удобно помещается в оперативной памяти? Применение HMAC наивности приводит к необходимости расшифровывать все это в оперативной памяти, прежде чем вы можете вывести любого из него. ядд ядд,

Наконец, независимо от того, как эксперт строительства криптосистемы или это делаются ошибки реализации, новые вещи, не обнаружены. вместо того, чтобы можно было держать ключи Bitcoin для Bitcoins и подписать отдельный открытый ключ, если вы хотите, чтобы показать, что вещи связаны между собой. Это строго безопаснее, тоже бывает не больно Bitcoin взаимозаменяемости (заставляя людей в повторном использовании адресов), и оставляет вас с возможностью использования широко рассмотрены криптографические средства для шифрования сообщений, которые были специально разработаны для этой цели.