<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>...</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

It's the same deal with Weil descent attacks.  We know Weil descent<br>
works in principle in arbitrary characteristic, but most of the<br>
detailed examples and algorithms in the literature are<br>
characteristic-2 specific (going back to the Gaudry--Hess--Smart<br>
paper).  While a more general treatment looks more trouble than it's<br>
worth, that *doesn't* mean that an elliptic curve over GF(p^3) can't<br>
be easily attacked using the general theory and ad-hoc<br>
algorithms---and that's why nobody uses those curves.<br><br>
Cheers,<br>
<br>
ben<br></blockquote><div><br></div><div>Hi Ben!</div><div><br></div><div>If I get your message correctly, we actually do use curves over GF(p^3) in the context of pairing-based cryptography. For example, Kachisa-Schaeffer-Scott are curves with embedding degree 18 and a sextic twist, thus group G_2 becomes a curve over GF(p^3):</div>

<div><br></div><div><a href="https://eprint.iacr.org/2012/232.pdf">https://eprint.iacr.org/2012/232.pdf</a><br></div><div><br></div><div>Could a DLP in G_2 have complexity lower than 2^192 for such parameters?</div><div>
<br>
</div><div>Thanks!</div><div>--<br>Diego de Freitas Aranha<br>Institute of Computing - University of Campinas<br><a href="http://www.ic.unicamp.br/~dfaranha" target="_blank">http://www.ic.unicamp.br/~dfaranha</a><br></div>

<div><br></div></div></div></div>