SIDH 中扭轉群的獨立參數基礎:Weil 配對是否必要?
在 De Feo、Jao 和 Plût 的原始 SIDH 論文中,基點 $ P_A $ 和 $ Q_A $ 應該是獨立的點 $ E(\mathbb{F}_{p^2}) $ 有秩序的 $ \ell_A^{e_A} $ 對於一些小素數 $ \ell_A $ 在某個超奇異曲線上 $ E $ . 為了檢查獨立性,他們建議計算 Weil 配對 $ e(P_A, Q_A) $ 並檢查結果是否仍然有順序 $ \ell_A^{e_A} $ .
我的問題是:檢查獨立性的另一種有效方法是檢查從一個點到另一個點是否存在一些離散對數?當然, $ |E[\ell_A^{e_A}]| $ 是 $ \ell_A $ -power 平滑,因此 Pohlig-Hellman 很容易採用離散對數,但我確信這種方法在計算 Weil 配對時是否有效/等效。
不,這不等同。要了解原因,請使用以下範例 $ ℓ_A = 2 $ 和 $ e_A = 2 $ ,則扭轉群同構於加性群 $ ℤ/4ℤ × ℤ/4ℤ $ . 放 $ P=(1,3) $ 和 $ Q=(1,1) $ ,那麼兩者都不是另一個的倍數,但是它們不會生成整個組,因為 $ 2P = 2Q $ ,而且確實沒有辦法寫 $ (1,0) $ (和許多其他向量)作為組合 $ P $ 和 $ Q $ .
另一種看待它的方式 $ P $ 和 $ Q $ 不獨立是形成矩陣 $ \begin{pmatrix}1 & 3\1 & 1\end{pmatrix} $ 併計算其判別式 $ ℤ/4ℤ $ ,即 $ 2 $ . 所以矩陣不可逆 mod $ 4 $ ,因此其行的線性組合不會生成整體 $ ℤ/4ℤ×ℤ/4ℤ $ . 這在某種意義上類似於計算 Weil 配對。
注意 $ e_A>1 $ 是這個反例的關鍵。如果 $ e_A=1 $ , 那麼檢查一下就足夠了 $ [i]P≠Q $ 對所有人 $ 0<i<ℓ $ .
一般來說,正確的是 $ P_A $ 和 $ Q_A $ 是獨立的當且僅當 $ P’=[ℓ_A^{e_A-1}]P_A $ 和 $ Q’=[ℓ_A^{e_A-1}]Q_A $ 是,您可以通過列舉的所有倍數來檢查 $ P’ $ , 如上。這就是在 SIDH 的實現中通常如何進行配對檢查。