<div dir="auto">Hi Mike,<div dir="auto">Thanks alot for the suggestion.</div><div dir="auto"><br></div><div dir="auto"><span style="font-family:sans-serif;font-size:16.512px">that should be true for any output of Point::from_hash</span><br></div><div dir="auto">This sentence sounds really impressive to me, does it mean a decaf point decoded with elligator from a hash string is always valid to be a generator without any exception? I will read elligator paper asap, but please correct me if I'm saying something stupid here.</div></div><div class="gmail_extra"><br><div class="gmail_quote">2017年1月20日 17:42,"Mike Hamburg" <<a href="mailto:mike@shiftleft.org" target="_blank">mike@shiftleft.org</a>>写道:<br type="attribution"><blockquote class="m_5231372927889131948quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Fan,<br>
<br>
Decaf’s cofactor is 1, so all non-identity points are generators.<br>
<br>
For Cramer-Shoup you will need a random point, such that it’s hard to figure out its discrete log (base g).  You will need to be able to argue that the point was really generated in a way that would make it hard to embed a back door.  A straightforward way to get this property is by hashing a random seed, and then applying Elligator.  Since Cramer-Shoup is specified as using a *uniformly* random point (even though it’s probably secure with something slightly less than uniform), you should use point_from_hash_uniform.  Since Cramer-Shoup is designed to be secure in the standard model, you should include a uniformly random seed, perhaps 512 bits long.  To prevent a theoretical backdoor mentioned by Stanislav Smyshlaev, you should hash the base point as well.<br>
<br>
Overall, the computation would then be elligator(hash(base_point, seed)).  In C++, that’s something like:<br>
<br>
std::string seed = [a fixed 512-bit constant which you chose at random];<br>
Point::from_hash(SHAKE<256>::H<wbr>ash(std::string(Point::base()) + seed, Point::HASH_BYTES*2))<br>
<br>
If you’re using two random generators instead of random + base point, then hashing in Point::base() above isn’t necessary, but the hash itself is still required.<br>
<br>
You might as well check that the resulting point isn’t the identity.  You can check that orderQ * P == identity if you like, but that should be true for any output of Point::from_hash.<br>
<br>
Cheers,<br>
— Mike<br>
<div class="m_5231372927889131948elided-text"><br>
> On Jan 20, 2017, at 1:01 PM, Fan Jiang <<a href="mailto:fan.torchz@gmail.com" target="_blank">fan.torchz@gmail.com</a>> wrote:<br>
><br>
> Hi,<br>
> I'm currently working on a CramerShoup implementation using decaf_448,<br>
> Whereas decaf is to eliminate the cofactor by compression,<br>
> Should I still use the equation "orderQ*cofactor*P == identity" to check the candidate generator P?<br>
> Or, What should be a "valid" generator mean in this use case?<br>
><br>
> Thanks,<br>
> Fan<br>
><br>
</div>> ______________________________<wbr>_________________<br>
> Curves mailing list<br>
> <a href="mailto:Curves@moderncrypto.org" target="_blank">Curves@moderncrypto.org</a><br>
> <a href="https://moderncrypto.org/mailman/listinfo/curves" rel="noreferrer" target="_blank">https://moderncrypto.org/mailm<wbr>an/listinfo/curves</a><br>
<br>
</blockquote></div><br></div>