Koblitz 曲線配對是否友好?
我想使用 Koblitz 曲線實現基於身份的加密方案,因為由於 Frobrenius 內同態,標量乘法更快。
如何判斷曲線是否超過 $ \operatorname{GF}(2^m) $ 配對是否友好?
我發現了這篇名為“Elliptic Curves適合於基於配對的密碼學”的論文,但我認為它談到了曲線 $ \operatorname{GF}(p) $ .
讓 $ q $ 成為基場紅衣主教;在你的情況下, $ q = 2^m $ 對於某個整數 $ m $ . 我們需要 $ m $ 是 Koblitz 曲線的素數,否則曲線也將定義在非平凡的子場上,允許更快的離散對數。對於“配對友好曲線”,我們需要曲線階數是素數的倍數 $ r $ ,並且配對產生輸出 $ \mathbb{F}_{q^k} $ 對於某個整數 $ k $ 即嵌入度。
那個學位 $ k $ 是最小的 $ k\gt 1 $ 這樣 $ r $ 劃分 $ q^k-1 $ . 對於隨機曲線,該度數非常高,與 $ q $ 本身,因此計算配對將需要使用無法適應現有電腦(或整個宇宙,就此而言)的值。這適用於所有“標準”Koblitz 曲線(K-163、K-233 等)。
此外,由於配對將曲線上的離散對數轉換為有限域中的離散對數,因此您需要該有限域足夠大以使離散對數變得困難。最近的研究表明,在具有小特徵的域,特別是二進制域中,離散對數比以大素數為模的離散對數要容易得多。目前記錄包括大小超過 9000 位的欄位。因此,如果您想使用二進製欄位進行配對,並且仍然保留一些不錯的安全性,那麼您需要使用一個如此大的目標欄位,以至於計算將非常慢,從而消除曲線為二進制的任何計算優勢(Koblitz 與否)。
K-163 曲線不是配對友好曲線。不能用於需要配對操作的 IBE。