HashToCurve存在函数生成的椭圆曲线点小于目标曲线安全位数要求的情况

[moondayc]

问题描述：

• HashToCurve函数在某些曲线与哈希策略的组合使用场景下，存在所生成椭圆曲线点的比特长度小于目标曲线安全位数要求的情况，导致生成的椭圆曲线点在安全性上无法完全满足目标曲线的强度要求，引入潜在的安全隐患。

• 相关代码：yacl/crypto/ecc/openssl/openssl_group.cc中HashToCurve 函数

复现代码

#include <vector>
#include<iostream>
#include "yacl/crypto/hash/ssl_hash.h"
#include "yacl/crypto/rand/rand.h"
#include "yacl/crypto/ecc/ecc_spi.h"
#include "yacl/crypto/ecc/openssl/openssl_group.h"
using namespace yacl::crypto;

int main(){
    HashToCurveStrategy strategy =  HashToCurveStrategy::TryAndRehash_SM;
    auto ecc_name = "secp521r1";
    std::shared_ptr<EcGroup> ecc =
    EcGroupFactory::Instance().Create(ecc_name, yacl::ArgLib = "openssl");
    uint64_t point_number=10000;
    std::map<uint64_t, uint64_t> freq;
    for(uint64_t i=0;i<point_number;i++){
        const std::string msg = "message"+std::to_string(i);
        EcPoint point = ecc->HashToCurve(strategy, msg);
        AffinePoint ap = ecc->GetAffinePoint(point);
        uint64_t len = ap.x.BitCount();
        freq[len]++;
    }
    std::cout << "Bit length frequency:\n";
    for (auto &[l, f]: freq) {
        std::cout << l << " : " << f << "\n";
    }
    return 0;
}

当选择曲线EcGroupFactory::Instance().Create("secp521r1", yacl::ArgLib = "openssl")和HashToCurveStrategy strategy = HashToCurveStrategy::TryAndRehash_SM，ecc->HashToCurve(strategy, msg)生成的点的比特长度集中在234比特到256比特之间，远远达不到secp521r1的521比特。

建议

1. 在选择哈希函数时进行判断，当选择的HashToCurveStrategy无法满足指定群的比特长度需求时，直接报错，防止在用户不知情的情况下降低了安全强度。
2. 基于标准化方案迭代替换所有可选的哈希策略实现。

[Jamie-Cui]

Agree with suggestion 2, "基于标准化方案迭代替换所有可选的哈希策略实现".

[Jamie-Cui]

@usafchn @changtong9 @tongke6 Any comments?

[changtong9]

@moondayc @Jamie-Cui https://github.com/secretflow/yacl/tree/main/yacl/crypto/ecc/hash_to_curve 我们已经实现了 RFC 9380 中的几个 suite，可以根据场景使用。

出现这个问题的主要原因是选择了TryAndRehash_SM方案，SM3 的输出只有 256 位，导致了点的长度不够。如果想使用secp521r1曲线，建议选择 RFC 9380 中的推荐套件。

[moondayc]

好的，谢谢。但是实际上使用TryAndRehash_SHA2的位数也只能达到512比特，离secp521r1的位数还有距离。我认为如果选择的哈希函数没有扩展到合适的位数应该有警告或提醒，谢谢。

[changtong9]

好的，谢谢。但是实际上使用TryAndRehash_SHA2的位数也只能达到512比特，离secp521r1的位数还有距离。我认为如果选择的哈希函数没有扩展到合适的位数应该有警告或提醒，谢谢。

是的，感谢你的建议～

[changtong9]

@moondayc 我准备用 SHA3 XOF hash 替换掉 SHA2 这一类固定长度 hash、解决 hash 输出长度不够的问题，你有兴趣实现下提个 PR 吗

[moondayc]

@moondayc 我准备用 SHA3 XOF hash 替换掉 SHA2 这一类固定长度 hash、解决 hash 输出长度不够的问题，你有兴趣实现下提个 PR 吗

很抱歉，我以为这个问题已经结束，这段时间没看回复，不知道还有需要吗，我有兴趣试一试

[changtong9]

需要的，欢迎贡献代码！
我们可以把TryAndIncrement和TryAndRehash中基于 SHA2 的方法都去掉，只保留 SHA3 和 BLAKE3 这两种 XOF hash，同时 SM3 只能与 SM2 一起使用。
可以参考 SHA3 和 BLAKE3 的用法
https://github.com/secretflow/yacl/blob/main/yacl/crypto/hash/ssl_hash_xof_test.cc
https://github.com/secretflow/yacl/blob/main/yacl/crypto/hash/blake3_test.cc#L121

[Niko-Zeng]

@moondayc 需要进入社区群的话可以加我微信18819063834，我是社区的运营同学

[moondayc]

@moondayc 需要进入社区群的话可以加我微信18819063834，我是社区的运营同学

好的，谢谢

[moondayc]

需要的，欢迎贡献代码！ 我们可以把TryAndIncrement和TryAndRehash中基于 SHA2 的方法都去掉，只保留 SHA3 和 BLAKE3 这两种 XOF hash，同时 SM3 只能与 SM2 一起使用。 可以参考 SHA3 和 BLAKE3 的用法 https://github.com/secretflow/yacl/blob/main/yacl/crypto/hash/ssl_hash_xof_test.cc https://github.com/secretflow/yacl/blob/main/yacl/crypto/hash/blake3_test.cc#L121

好的，我研究一下