libpbc中128位安全配對的橢圓曲線?
我正在使用 Ben Lynn’s
libpbc來實現 BLS 門檻值簽名方案,並且我的目標是 128 位安全性(即,應該採取偽造攻擊 $ 2^{128} $ 嘗試)。我想知道什麼曲線
libpbc可以提供這種級別的安全性?這裡有一些關於離散日誌安全的跡象,但我不確定如何解釋它們。(我對橢圓曲線密碼學了解不多。)
例如,在上面的連結中,“基本欄位大小”為 512 位且嵌入度為 2 的“A 型”曲線被稱為具有 1024 位離散日誌安全性。這是否意味著對該曲線的成功攻擊需要 $ 2^{1024} $ 操作?或者這是否意味著對該曲線的攻擊等同於對群體的攻擊 $ G(q) \subset \mathbb{Z}_p^* $ 在哪裡 $ |q| = 1024 $ 位?
任何提示將不勝感激!
*稍後編輯:*對 ’s 曲線的安全參數進行更精確的估計
libpbc會很好!
基於配對的密碼學的安全性依賴於橢圓曲線(與基礎有限域或“基域”的大小相關聯)和所使用的有限擴展域的安全性。
連結頁面中的“Dlog 安全”列是有限擴展欄位的大小。它的安全性曾經可與相應的 RSA 安全性相媲美;1024 位只能提供 80 位的安全性。然而,配對中使用的擴展欄位的“Dlog 安全性”隨著最近的一些研究而發生了變化,這使得事情變得更加複雜。請參閱更新配對的密鑰大小估計,例如,估計具有 451 位基本欄位和 5532 位“Dlog 安全性”的 BN 曲線將提供 128 位安全性)
“基域大小”與橢圓曲線安全有關;在這種情況下,安全性通常是欄位大小的一半(準確地說是素數子組大小的一半)。那裡的“A 型”曲線將提供 256 位的安全性;但由於對應的 Dlog 安全性只有 80 位,所以整體安全性只有 80。
考慮到這一點,您連結的頁面中列出的基準曲線都沒有提供 128 位安全性。但是,libpbc 確實支持為某些配對類型生成任意大小的曲線,因此可以生成具有 128 位安全性的配對。