Schluß

Wenden man also dieses Verfahren von Semaev an, ist $\mathop{\rm dlog} \nolimits _P(Q)$ in $E(\mathbbm{F}_q)$ mit $O(\log p)$ Schritten berechenbar, falls $\vert\langle P \rangle \vert = \mathop{\rm char} \nolimits (\mathbbm{F}_q) =\colon p$. Somit ist das DLOG-Problem in diesem Fall polynomial in der Länge der Eingabe (hier also die Problemgröße und somit die Größe des zugrundeliegenden Körpers) lösbar und für eine Verwendung in Kryptoverfahren somit nicht geeignet.

Diese Methode läßt sich außerdem durch Ausnutzen eines Verfahrens von Pohlig-Hellmann ([PH78]) auf den Fall $\vert\langle P \rangle \vert = p^s$ erweitern, wie in Vortrag [Unr01, 1.3] ausgeführt. Außerdem hat H.-G. Rück die hier vorgestellte Methode von Semaev auf Kurven beliebigen Geschlechts erweitert ([Rüc99]).

Als Gegenmaßnahme, um dieses Verfahren gar nicht erst ausnutzen zu können, sollte man bei der Wahl der einem Kryptoverfahren zugrundeliegenden elliptischen Kurve darauf achten, daß $p \nmid \vert E(\mathbbm{F}_q)\vert$. Die dabei benötigte Anzahl der Elemente der elliptischen Kurve ist polynomial in der Größe des verwendeten Körpers berechenbar ([Sch85]), somit kann man die Anwendung des beschriebenen Verfahrens verhindern, da es dann keine Untergruppe der Ordnung $p$ geben kann und das Verfahren schon an der (Nicht-)Existenz des Monomorphismus $\phi$ scheitert.