做最近關於解決 DLP 的公告高飛_(26120)GF(26120)GF(2^{6120})適用於建議用於加密的方案?
Göloğlu、Granger、McGuire 和 Zumbrägel 最近的一篇論文:在台式電腦上求解 6120 位 DLP似乎“證明了在有限域中的實際DLP突破 $ 2^{6120} $ 元素,僅使用一個核心月”。他們將 Antoine Joux 的一篇 2012 年論文歸功於:Faster index calculus for the medium prime case。應用到 1175 位和 1425 位有限域,為他們的探索鋪平道路。2013 年 Joux發表了具有復雜性的新索引演算算法 $ L(1/4+o(1)) $ 在非常小的特性中,最近宣布他“能夠計算離散對數 $ GF(2^{6168})=GF({(2^{257})}^{24}) $ 使用少於 550 個 CPU.hours”。這似乎是 DLP 的領域(雙關語) $ GF(2^n) $ 正在沸騰。
2012 年 6 月更新的目前法國官方建議(第 2.2.1.3 節)確實與基於 DLP 的計劃保持距離 $ GF(2^n) $ , 但只是輕微的。如果使用這種方案,則要求是 $ n\ge 2048 $ 到 2030 年的比特,以及 $ n\ge 3072 $ 位之後,具有至少 200 位的素數的倍數的子群。建議首選不基於 DLP的方案 $ GF(2^n) $ ,如果使用一,則子群的階是素數。
上述論文中報告的進展如何轉化為基於算法的密碼使用方案的實際中斷 $ GF(2^n) $ ,並符合引用的建議?什麼是這樣的計劃?
注意:與這個老問題有關;甚至更接近最近的一個,除了我不僅對基於配對的方案感興趣,而且對更普通的東西感興趣,比如DSA模擬 $ GF(2^{4099}) $ ,如果有這樣的事情。
引用的建議對阻止受近期發展影響的領域幾乎沒有作用。採取 $ \mathbb{F}_{2^{6120}} $ 範例:它清楚地通過了欄位大小標準,但也通過了子組規則,作為組順序 $ 2^{6120} - 1 $ 有一個 $ 1536 $ 位素數。
然而,並非所有二進製欄位都受到同等影響。Göloğlu 等人和 Joux 的方法都源自中素函式域篩,並且需要域 $ \mathbb{F}_{2^N} $ 可表示為(除其他外):
- $ \mathbb{F}_{q^n} $ , 在哪裡 $ q = 2^l $ 和 $ n = 2^{l/k’ \cdot d_1} $ , $ d_1, k’ $ 常數(Gologlu 等人);
- $ \mathbb{F}_{q^n} $ , 在哪裡 $ q = 2^l $ 和 $ n = 2^{l/k’} - 1 $ , $ k’ $ 常數(Gologlu 等人);
- $ \mathbb{F}_{q^{2n}} $ , 在哪裡 $ q = 2^{l} $ 和 $ n \le q + \delta,, \delta \ll q $ (朱)。
當二進製欄位的指數平滑時,我們有很多選擇來嘗試用上面的形式表示欄位。例子: $ 1778 = 7 \cdot (2 \cdot 127) $ ; $ 6120 = 24 \cdot (2^{24/3} - 1) $ ; $ 6168 = 257\cdot (2\cdot 12) $ ; 等等。然而,當指數是素數時,我們就沒有這樣的運氣了。
相反,正如 Joux 所建議的那樣,可以將目標欄位嵌入到一個更大的欄位中: $ \mathbb{F}_{q^{2N}} $ , 在哪裡 $ q = 2^{\lceil \log_2 N \rceil} $ . 雖然這個解決方案可能是漸近令人滿意的,但大小的擴大會增加比特長度,其中 Joux 的算法比正常函式欄位 sieve更快。目前尚不清楚這個大小可能是多少,但它可能高於目前的常用密鑰大小(1024-4096 位)。
至於二進製欄位的實際使用,我不知道基於二進製欄位的 DLP 方案的任何實際使用情況(超出配對)。長期以來,我們一直在避免橢圓曲線的複合度二元域,因為它們對指數演算的敏感性增加;似乎有限域現在被迫做同樣的事情。