在商業產品中使用基於配對的密碼學是否安全？

我的發現沒有顯示任何基於配對的密碼學的標準化（NIST、FIPS？）。這是否意味著將基於配對的密碼學（雙線性組）合併到商業產品中是一個壞主意？

基於配對的密碼學已經並且目前用於由最近被 HP Enterprise 收購的電壓安全公司銷售的商業產品中。他們似乎在銷售產品方面取得了相當大的成功，因此至少有一些證據表明使用基於配對的加密貨幣的產品可以工作。但是，有兩個非常重要的警告：

1. 智慧財產權限制。HPE 擁有許多與基於配對的加密相關的專利，如果您在不支付許可費的情況下使用它們，您可能會成為訴訟的目標。
2. 密碼分析。基於配對的加密背後的硬度假設仍然很新，並且沒有像保理或 ECDLP 那樣受到密碼分析的審查。這意味著為您計劃部署的密碼系統選擇參數是很棘手的。例如，您認為提供 128 位安全性的參數機制可能顯示為僅提供 80 位，這不是一個非常舒適的餘量。在您已經擁有付費客戶之後更改參數充其量是困難的，並且選擇大參數來解釋密碼分析的進步可能會使您的系統變慢。

密碼分析攻擊的威脅並不是一個抽象的威脅——我上面描述的情況最近發生在 Zcash 匿名加密貨幣上。如果您真的想在產品中使用配對，我建議您聘請一位非常了解該領域的顧問來選擇參數。

引用自：https://crypto.stackexchange.com/questions/47354