了解雙線性 Ate 配對中使用的組
雙線性配對 $ e:G_1\times G_2 \rightarrow G_T $ 在以下組中定義:
$$ \begin{equation} \begin{aligned} & G_1 = E(\mathbb{F}p)[r] \cap Ker(\pi_p-[1]), \ & G_2 = E(\mathbb{F}{p^k})[r] \cap Ker(\pi_p-[p]), \ & G_T = \mathbb{F}{p^k}^*/(\mathbb{F}{p^k}^*)^r, \end{aligned} \end{equation} $$
在哪裡 $ E(\mathbb{F}{p^k})[r] $ 是 $ r $ -橢圓曲線的扭轉點 $ E(\mathbb{F}{p^k}) $ , $ \pi_p $ 是 Frobenius 內同態和 $ [n] $ 是有理點的標量乘法 $ n $ .
我無法理解組的結構。特別是我對這個映射感到困惑 $ \pi_p-[n] $ 和符號 $ \mathbb{F}{p^k}^*/(\mathbb{F}{p^k}^*)^r $ 整個。進一步解釋,為什麼組是這樣的和其他討論也歡迎。提前致謝。
$ E(\mathbb{F}{p^k})[r] $ : 所有元素 $ P $ 的 $ E(\mathbb{F}{p^k}) $ 這樣 $ rP = 0 $ . 換句話說,所有順序除的點 $ r $ . 在協議中 $ r $ 通常是素數,所以這意味著所有點都有順序 $ r $ 和無窮遠點。
$ \pi_p $ : Frobenius 內同態。這是一個採用橢圓曲線點的函式,使得 $ \pi_p((x, y)) = (x^p, y^p) $ .
$ [1] $ : 恆等函式,即 $ 1 = P $
$ \pi_p - [1] $ : 功能 $ (\pi_p - [1])(P) = \pi_p(P) - [1]P $
$ Ker(\pi_p - [1]) $ :給定函式的核心。函式的核心由映射到標識元素的所有元素組成。在我們的案例中,所有點 $ P $ 這樣 $ \pi_p(P) - [1]P = 0 $ , IE, $ \pi_p(P) = P $ . 在非擴展有限域(即 $ k = 1 $ ) 的確如此 $ x^p = x $ 因此 $ \pi_p(P) = P $ 對於在非擴展欄位中具有座標的每個點。所以 $ Ker(\pi_p - [1]) = E(\mathbb{F}{p}) $ 這是一個巨大的迂迴方式來寫 $ G_1 $ 是相同的 $ E(\mathbb{F}{p})[r] $ .
$ Ker(\pi_p - [p]) $ : 同理,在這種情況下,這些都是要點 $ P $ 這樣 $ \pi_p(P) = pP $ ,即 Frobenius 映射是一種更快的計算方法 $ pP $ ,這是一個更有趣的映射。所以 $ G_2 $ 都是 $ r $ -扭轉點在 $ E(\mathbb{F}_{p^k}) $ 那裡的平等是真實的。
$ \mathbb{F}{p^k}^* $ : 有限域的乘法子群 $ \mathbb{F}{p^k} $ (即乘法運算下的所有非零元素)。
$ (\mathbb{F}_{p^k}^*)^r $ :乘法子群,其中所有元素都被提升到 $ r $ -次冪。
$ \mathbb{F}{p^k}^*/(\mathbb{F}{p^k}^*)^r $ : 這是令人困惑的部分。這是一個商群,它的元素是陪集(欄位元素的集合)。元素 $ x,y $ 如果在同一個陪集中 $ x/y = h^r $ 對於某些元素 $ h $ . 將有 $ r $ 這樣的陪襯,每個都有 $ (q^k-1)/r $ 元素。然而,由於在密碼協議中很難使用陪集,最終他們通過提高陪集的元素(這是配對計算的中間結果)來選擇“規範”元素 $ (q^k-1)/r $ ,即所謂的“最終取冪”。這意味著規範陪集元素的集合是 $ r $ -th 統一的根,即所有元素 $ x $ 這樣 $ x^r = 1 $ (因為 $ x $ 已經是乘方的結果 $ (q^k-1)/r $ , 如果我們通過 $ r $ ,我們正在計算完整的冪 $ q^k-1 $ 這是乘法子群的階,我們回到 $ 1 $ ).