如果 e(aP, bP) = e(P, P)^ab 那麼我們如何求解 e(P^a, P^b)?
我對雙線性配對操作有點困惑。假設我有一個接收者的公鑰 $ P_r = P^x $ 我想使用帶有配對操作的 KEM 創建一個對稱密鑰。如果我選擇 $ R = rP $ 併計算 $ V = (Pr, P)^r $ 這導致 $ V = (P^x, P)^r = (P^x, rP) = (P^x, R) $ . 在這裡,我很困惑我該如何解決 $ (P^x) $ ?
所以,基本上,我的問題是如果 $ e(aP, bP) = e(P, P)^{ab} $ (一個加法橢圓群到一個乘法橢圓群)那麼我們如何解決 $ e(P^a, P^b) $ ? 而且, $ e(P^a, P^b) $ 是加法群還是乘法群?
我認為您的問題混淆了 2 個相關但不同的事情
- 使用橢圓曲線 Diffie Hellman 進行密鑰交換
- 雙線性配對
Alice 和 Bob 不需要使用雙線性配對進行密鑰交換。攻擊者 (Eve) 可以使用雙線性配對來攻擊他們的密鑰交換。
- 使用橢圓曲線 Diffie Hellman 進行密鑰交換
在 DHKE 或 ECDHKE 中,您首先建立一個共享密鑰。例如,如果 $ P $ 是加法橢圓群的生成器,那麼 Alice 隨機選擇一個 $ a $ & 計算 $ aP $ & 發送 $ aP $ 給鮑勃。她不送 $ a $ 給鮑勃。Bob同樣選擇 $ b $ & 發送 $ bP $ 給愛麗絲。Alice 標量乘以 $ bP $ 她和她一起從鮑勃那裡得到 $ a $ 並得到 $ abP $ . Bob 同樣標量乘以 $ aP $ 他從愛麗絲那裡得到了他的 $ b $ & 計算 $ abP $ .
現在愛麗絲和鮑勃都知道了 $ abP $ 但攔截通信的 Eve(攻擊者)無法弄清楚 $ abP $ 即使她知道 $ aP $ & $ bP $ . 要弄清楚 $ abP $ , Eve 需要計算 $ a $ 從 $ aP $ & $ b $ 從 $ bP $ . 如果她能做到這一點,那麼她就可以進行標量乘法 $ P $ 經過 $ a $ & $ b $ 去尋找 $ abP $ . 但是如果 Alice & Bob 使用安全曲線,Eve 就沒有辦法找到 $ a $ 或者 $ b $ . 所以現在 $ abP $ 是 Alice 和 Bob 之間的共享秘密。使用已知的(和公共的)確定性方法,他們可以從用於加密的共享秘密中獲取密鑰。配對與密鑰交換沒有直接關係。只有當 Alice 和 Bob 選擇嵌入度小的不安全曲線時,Eve 攻擊者才能使用配對
- 雙線性配對
雙線性配對是攻擊者 Eve 找到的一種方式 $ a $ 從 $ aP $ & $ b $ 從 $ bP $ 如果 Alice 和 Bob 選擇的曲線是低嵌入度的橢圓曲線,則找到他們的共享秘密(以及他們的密鑰)。
橢圓曲線離散對數問題 ( $ ECDLP $ ) 可以描述為 - 給定點 $ rP $ & $ P $ 在 $ E(F_p) $ ,你需要找到 $ r $ .
對於所有橢圓曲線,雙線性圖 $ e $ 存在使得 $ e(rP,sQ)=e(P,Q)^{rs} $ 其中等式的左側在加法橢圓曲線組中,而右側在乘法組中 $ F_{p^k} $ 在哪裡 $ k $ 是嵌入度 $ E $ .
再取一點 $ Q $ 您的選擇。
現在你計算 $ u = e(P, Q) $ . 也計算 $ v = e(rP, Q) $
然而, $ v = e(rP, Q) = e(P,Q)^r $ 因為雙線性
所以你有了 $ v = u^r $ . 現在這是一個離散日誌問題( $ DLP $ ) 在一個乘法群中。
所以雙線性允許你轉換 $ ECDLP $ 成一個 $ DLP $ .
$ ECDLP $ 操作的密鑰大小比 $ DLP $ (例如 $ 224 $ 位密鑰大小 $ ECDLP $ 提供與 a 相同的安全性 $ 2048 $ 位密鑰大小 $ DLP $ )。但是因為你原來的問題是 $ ECDLP $ 密鑰大小遠小於安全密鑰 $ DLP $ 大小,如果嵌入度 $ k $ 不是很大,那麼你有一個 $ DLP $ 密鑰大小不夠安全的問題。你可以解決 $ DLP $ 在次指數時間內使用指數微積分 & 查找 $ r $ 這解決了你原來的 $ ECDLP $ . 之所以 $ ECDLP $ 被認為是安全的,密鑰大小比 $ DLP $ 是因為指數微積分在 $ ECDLP $ . 但如果你能轉換你的 $ ECDLP $ 成一個 $ DLP $ ,你可以解決它。但是,這只能用於嵌入度較小的曲線。因此,嵌入度小的曲線不被認為是安全的。