BLS12-381 G2 指向 G1 的同構映射
我正在嘗試重現環簽名,如https://crypto.stanford.edu/~dabo/pubs/papers/agggreg.pdf第 5 節所述,但應用於 BLS12-381 系統。
它們構造中的一個假設是存在同構 ψ: G2 → G1,其中 ψ(g2) = g1
有一個提示,我們可以使用跟踪映射作為這種同構:
現在我在Pairings for Beginners中找到了跟踪映射的定義(搜尋跟踪映射)
但是我為實現此跟踪圖所做的所有嘗試均未成功,我從 BLS12-381 G2 組映射的點都沒有落在 G1 曲線上。
我想我錯過了一些東西。我應該期望這個跟踪圖的輸出在 G1 中產生點嗎?
也許我沒有正確地接近這個?
該論文中描述的設置是具有有效同構的所謂“Type-II 配對”的一個實例 $ G_2\to G_1 $ . 最有效的配對結構是“Type-III”,這種同構被認為不存在。因此,如果您採用 BLS12 雙線性組的正常實現,這將不起作用:忽略曲折,您確實可以如前所述計算軌跡圖,但是 $ G_2 $ subgroup 被特別選擇映射到零,因此它不會是同構。
更準確地說,雙線性對的構造如下所示。我們從橢圓曲線開始 $ E/\mathbb{F}q $ 使得 $ p $ -扭轉子群 $ Ep $ (程序劃分點 $ p $ 座標在 $ \mathbb{F}q $ ) 是循環的順序 $ p $ ,並且使得此外,在一些小的程度擴展上 $ \mathbb{F}{q^d} $ , $ E $ 已滿 $ p $ -扭轉(即, $ Ep $ 同構於 $ (\mathbb{Z}/p\mathbb{Z})^2 $ : 有 $ p^2 $ 座標在的點 $ \mathbb{F}{q^d} $ 和順序劃分 $ p $ )。然後我們可以選擇 $ Ep $ 作為 $ G_1 $ ,以及任何其他 $ p $ 順序子群 $ p $ 的 $ Ep $ 作為 $ G_2 $ .
現在,如論文中所述,跡圖是 $ Ep $ 到 $ G_1 $ , 所以通常的選擇 $ G_2 $ 就是取這個map的核心。這允許對結構進行各種優化,可以散列到 $ G_2 $ 依此類推,但它與該論文中所需的設置完全不兼容。你會為那張紙做的是選擇剩下的一張 $ p-1 $ 選擇 $ G_2 $ (或者更有可能:修改構造以避免效率較低的 Type-II 設置;存在自動轉換工具,它們採用在一個設置中定義的原語並在另一個設置中正式構造相應的原語,所以這在這裡應該是可能的,儘管安全參數可能需要正常調整)。