特徵2和ECDLP轉移曲線的嵌入度
眾所周知,我們可以在曲線上傳輸 ECDLP 實例 $ E $ 定義在 $ \mathbb{F}p $ 為素數 $ p $ , 到一個離散對數實例 $ \mathbb{F}{p^k} $ 對於一些 $ k $ . 稱為嵌入度,是最小整數 $ k $ 使得曲線的階除 $ p^k-1 $ .
(一種方法是使用配對。)
我對二進製曲線感興趣,例如定義在 $ \mathbb{F}_{2^m} $ 並想做類似的事情,但在這種情況下我找不到有關嵌入度的資訊(例如,曲線數據庫沒有提及二進製曲線的嵌入度,例如https://neuromancer.sk/std /secg/sect233k1 )。也許一些代數論證失敗了,但我不明白為什麼。
上下文:我想證明 ZK 中關於不同曲線上的兩個離散日誌的陳述。我認為如果在 $ \mathbb{F}{2^m} $ 另一個在 $ \mathbb{F}{2^n} $ ,那麼如果我可以將這兩個實例轉移到有限域 $ \mathbb{F}{2^{km}}, \mathbb{F}{2^{ln}} $ 在哪裡 $ k,l $ 是嵌入度,我可以將其視為欄位擴展並使用算術。
儘管二進製曲線存在轉移,但嵌入度通常太大而無法計算。在配對友好曲線中,該構造特別創建了極低的嵌入度,但通常我們期望嵌入度為 $ O(\ell) $ 在哪裡 $ \ell $ 是組的順序。
如果可以考慮,計算嵌入度是可行的 $ \ell-1 $ . 一個簡單地計算 2 模的順序 $ \ell $ (特別是如果 2 是原始根模 $ \ell $ 那麼它的順序是 $ \ell-1 $ )。如果我們寫 $ d $ 對於 2 階和橢圓曲線(如果接管該場) $ \mathbb F_{2^m} $ 那麼嵌入度將是 $ md/\mathrm{GCD}(m,d) $ .