Fragen? Antworten! Siehe auch: Alternativlos
Der Punkt ist jedenfalls, dass es nicht nur eine solche Kurve gibt, sondern sehr viele. Um Kryptographie zu machen, einigt man sich daher vorher auf eine davon. Und hier kommt das Problem. Das wichtigste Standardisierungsgremium für diese Kurven ist NIST, und die sagen offen an, dass ihre Kurven von der NSA kommen. Überhaupt empfiehlt die NSA seit vielen Jahren offen elliptische Kurven. Alleine deshalb trauen viele elliptischen Kurven nicht.
Wenn man Krypto-Verfahren designed, und da tauchen Konstanten auf, wie z.B. bei den S-Boxen (einem internen Substitutionsschritt), dann kann man da entweder irgendwelche Zahlen reinschreiben, und behaupten, die seien zufällig gewählt, oder man kann absichtlich unzufällige Zahlen nehmen, wie z.B. die ersten Ziffern von Pi oder von der Wurzel von 2 oder sowas. Üblicherweise macht man letzteres. Das Konzept nennt sich Nothing up my sleeve number :-) Die NSA-Kurven machen ersteres. Daher liegt die Vermutung nahe, dass die NSA da solange Kurven ausprobiert hat, bis sie eine gefunden hat, die "leichter knackbar ist", nach einem Verfahren, das außer ihnen niemand kennt. Und genau diese Vermutung macht jetzt die Runde.
Der Vollständigkeit halber sei gesagt, dass die Kryptographen natürlich schon länger gemerkt haben, dass da möglicherweise was schlecht riecht. Man kann das z.B. in diesen Folien hier sehen, die sind von vor Snowden.
Sind elliptische Kurven jetzt vergiftet? Ich kenne mich da nicht genug aus, um das tatsächlich selbst beurteilen zu können. Daher vertraue ich da im Zweifelsfall Dan Bernstein, der hält die Verfahren selbst für gut, und traut nur den Kurven der Dienste nicht.
Update: Ein bisschen Kontext gibt es bei diesem Thread.