Si prega di spiegare i parametri delle curve ellittiche RFC5639 incluso brainpoolP160r1

L'ordine della curva $ \ # E (\ mathbb {F} _p) $ è diverso da $ p $ . Infatti, secondo il teorema di Hasse, $ \ # E (\ mathbb {F} _p) = p + 1-t $ dove $ t $ la traccia di Frobenius soddisfa $ | t | < 2 \ sqrt {p} $ . Quindi il divario tra $ \ # E (\ mathbb {F} _p) $ e $ p $ è al massimo $ 2 \ sqrt {p} $ . Nota che, se $ \ # E (\ mathbb {F} _p) = p + 1 $ , $ \ textit { cioè} $ $ t = 0 $ , la curva è supersingolare. Per brainpoolP160r1, l'ordine è 1332297598440044874827085038830181364212942568457 (160-bit). Puoi giocare con il codice sage:

p = 0xE95E4A5F737059DC60DFC7AD95B3D8139515620F 
A = 0x340E7BE2A280EB74E2BE61BADA745D97E8F7C300
B = 0x1E589A8595423412134FAA2DBDEC95C8D8675E58
x = 0xBED5AF16EA3F6A4F62938C4631EB5AF7BDBCDBC3
y = 0x1667CB477A1A8EC338F94741669C976316DA6321
E = EllipticCurve(GF(p),[A,B])
G = E(x,y)
G.order()
E.order()

Questo sarebbe più appropriato su crypto.SX dove è stato risolto più volte:
link
collegamento
link

In breve, l'ordine della curva #E (GF (p)) (a volte abbreviato n) NON è p, sebbene sia abbastanza vicino in grandezza. Il gruppo di curve è il gruppo finito pertinente ed è soggetto a Lagrange; qualsiasi punto sulla curva ha ordine (del sottogruppo che genera) dividendo n, e se n è primo, come è stato scelto per le curve principali di Brainpool e anche le prime curve di X9 / SECG, ogni punto ha ordine q = n e cofattore h = 1.