Pairings
是否可以創建已分配“乘法”輸入組的雙線性函式?
假設我們已經分配了一個乘法循環組 $ \mathbb Z_p^* $ 有訂單 $ q=p-1 $ , 和 $ p $ 是一個素數,是否可以創建一個雙線性函式 $ \hat{e}: \mathbb Z_p^* \times \mathbb Z_p^* \rightarrow \mathbb G_2 $ 具有以下屬性:
$$ \hat{e}(g^{a},g^{sb})=\hat{e}(g^{b},g^{sa}) $$ $ g $ 是一個生成器 $ \mathbb Z_p^* $ , 和 $ \mathbb G_2 $ 也是一個有順序的乘法循環群 $ q $
似乎如果這個函式的創建在多項式時間內是可行的,那麼應該會對一些具有匿名安全屬性的密碼協議進行新的攻擊。
如果你能找到這樣一個高效的可計算函式(除了簡單的解決方案 $ \hat{e}( x, y ) = 1\ \ $ 對全部 $ x $ , $ y $ ),那麼您已經證明決策 Diffie-Hellman 問題很容易。也就是說,給定 $ g $ , $ g^a $ , $ g^b $ , $ g^c $ , 你可以檢查是否
$$ ab = c $$ 只需通過測試:
$$ \hat{e}( g^a, g^b ) = \hat{e}( g, g^c) $$ 決策 Diffie-Hellman 問題在適當大小的乘法循環群中被認為是困難的,因此我們認為不存在這樣的高效可計算 $ \hat{e} $