雙線性上下文中組元素的大小
在不對稱配對上下文中,哪個大小(以位為單位)應具有以下元素 $ \mathbb{G}_1,\mathbb{G}_2 $ 和 $ \mathbb{G}_T $ 如果我們考慮最有效的橢圓曲線?
在非對稱、基於配對的密碼學中 $ \mathbb G_1 $ 通常是素數域上橢圓曲線的子群 $ \mathbb F_q $ . 該組的元素通常表示為一對數字 $ (x,y)\in(\mathbb F_q)^2 $ . 在計算上,這兩個值都是需要的,但作為 $ y $ 可以從 $ x $ up to sign 元素通常被壓縮為 $ x $ 值和一個用於傳輸目的的附加位。這需要 $ \lceil\lg q\rceil+1 $ 位。
$ \mathbb G_2 $ 通常是橢圓曲線的子群,具有相同的方程,但點為 $ \mathbb F_{q^k} $ 在哪裡 $ k $ 是這樣的 $ #\mathbb G_1|(q^k-1) $ . 一般來說,這樣的 $ k $ 很難找到,但是有各種特殊的結構可以參數化 $ q $ 和曲線的特定值 $ k $ . Barreto 和 Nehrig發現了一個特別好的家庭 $ k=12 $ 這允許整個橢圓曲線組用於 $ \mathbb G_1 $ ,特別有效。Barreto、Lynn 和 Scott更早的更一般的構造幾乎與 $ k=12 $ 和 $ k=48 $ . 在 BN 和 BLS 的情況下,元素 $ \mathbb G_2 $ 可以表示為一對 $ (x,y)\in\mathbb (F_{q^k})^2 $ . 再次壓縮是可能的,因此只有 $ x $ 並且需要傳輸一個符號位。這將需要 $ k\lceil\lg q\rceil+1 $ 位。在 BLS 和 BN 的情況下,我們可以選擇 $ \mathbb G_2 $ 以這樣的方式 $ x $ 和 $ y $ 並且可以從相關曲線上的一點推導出來 $ \mathbb F_{q^{k/6}} $ . 在這種情況下,發送一個元素就足夠了 $ \mathbb F_{q^{k/6}} $ 和一個符號位。這將需要 $ \frac k6\lceil\lg q\rceil+1 $ 位。然而這種選擇 $ \mathbb G_2 $ 與基於配對的密碼學的所有用途不兼容。
有了這樣的選擇 $ \mathbb G_1 $ 和 $ \mathbb G_2 $ 各種加密配對都映射到 $ \mathbb G_T $ 這是一個乘法子群 $ \mathbb F_{q^k} $ 有秩序的 $ #\mathbb G_1 $ . 該組的元素可以寫成 $ \mathbb F_{q^k} $ 這需要 $ k\lceil\lg q\rceil $ 位。
的選擇 $ q $ 和 $ k $ 將取決於您希望基於配對的系統具有的安全級別。的大小 $ \mathbb G_1 $ 需要足夠大以阻止通用的“平方根攻擊”以及 $ \mathbb G_T $ 需要足以阻擋Kim 和 Barbalescu的 TNFS 攻擊。IETF的2019 年草案在第 4 節中提出了以下建議。
請注意,這是一個純粹的經典安全估計,並且像所有配對系統一樣,這些應該被認為容易受到密碼分析相關的量子電腦的攻擊。