Pairings

Barreto-Naehrig 曲線是否適用於基於配對的密碼學?

  • March 19, 2021

如果 Barreto-Naehrig 曲線適用於基於配對的密碼學,我可以使用Optimal ATE Pairing提供的庫嗎?

您可以使用正確的參數大小(384 位素數而不是舊的 256 位)。

配對可以在兩個方面受到攻擊:橢圓曲線或擴展有限域。配對的安全性將是最容易破壞的。

以前,使用 256 位素數上的橢圓曲線的 BN 曲線可提供 128 位的安全性;這是“完美”的情況,因為橢圓曲線提供了 128 位,擴展欄位也提供了 128 位。

Extended Tower Number Field Sieve: A New Complexity for the Medium Prime Case之後,extension field case 發生了變化,由於論文處理漸近,我們很難給出具體的估計,我們需要有具體的實現來獲得更高的準確性. 但該論文估計素數大小必須加倍(即從 256 位增加到 512 以實現 128 位安全性)。Aurore Guillevic估計應該改為 448 或 512 位。然而,在《評估 NFS 進步對基於配對的密碼學安全性的影響的挑戰》中的進一步分析表明,384 位應該足夠了。

所以,如果你使用 $ p $ 384位應該沒問題,但性能不會很好。在這種情況下,橢圓曲線提供 192 位的安全性,而擴展欄位提供 128 位,我們只能選擇較小的值。

例如,Zcash 為 128 位安全級別選擇BLS12 配對,因為由於其結構,它是一個 256 位組(而不是 BN 中的 384 位組),這使得一些事情變得更快。不過,底層素數的大小相同(384 位)。

根據Trevor Perrin 2016 年的文章,Barreto-Naehrig 曲線不夠安全:

該攻擊與支持“配對”操作的配對友好曲線(如 BN)有關。配對將橢圓曲線上的點映射到某個“擴展域”中的值。安全性既取決於橢圓曲線的 EC-DLP,也取決於擴展場的 DLP。

256位的BN曲線有256位的域素數p和12的“嵌入度”,所以擴展域是mod p^12,其中p^12有3072位。希望 256 位 EC-DLP 和 3072 位 DLP 都具有約 128 位的安全性,所以這將很好地匹配。

然而,Kim 和 Barbulescu 表明,模數為 3072 位(素數^12)的 DLP 比 3072 位素數的 DLP 更容易。雖然通過“粗略和幼稚的估計”,他們建議將相關曲線的大小增加三分之一(第 6 節),但究竟容易多少尚不清楚。Mehdi Tibouchi 也有類似的估計

$$ 22 $$:“在這次攻擊之後,256 位 Barreto-Naehrig 曲線不再提供 128 位的安全性,但可能更接近 96 位左右”。

引用自:https://crypto.stackexchange.com/questions/22835