密碼學中的多線性配對
我想創建 2 雙線性配對 $ e_1 $ , $ e_2 $ 這樣
$$ e_1:G_0 \times G_0 \rightarrow G_1 $$ $$ e_2:G_1 \times G_1 \rightarrow G_T $$ 並使用它來加密消息 $ M $ 在表格中
$$ M e_2(e_1(g,g),e_1(g,g))^{xy} $$要解密消息,第一個必須檢索 $ e_1(g,g)^{x} $ 和 $ e_1(g,g)^{y} $ 使用線性秘密共享方案。那麼,可以計算$$ e_2(e_1(g,g)^{x}, e_1(g,g)^{y})=e_2(e_1(g,g), e_1(g,g))^{xy} $$最終可以找回$$ M=\frac{M e_2(e_1(g,g),e_1(g,g))^{xy}}{e_2(e_1(g,g), e_1(g,g))^{xy}} $$ 我的問題是是否可以使用它來創建加密方案?並且使用任何現有的加密庫來實現是否可行?一個想法是,如果可以定義 $ e_1 $ 作為 $ e_1:G_0 \times G_0 \rightarrow G_0 $ ,那麼我們可以定義 $ e_2 $ 作為 $ e_2:G_0 \times G_0 \rightarrow G_0 $ . 這符合我們的目的。由於我是基於配對的密碼學的新手,我不知道該解決方案是否實用。如果我能得到你們任何人的幫助或領導,那就太好了。提前致謝。
配對或雙線性映射確實在加密中找到了大量應用。因此,研究人員很快指出,進一步的線性“度數”(三線圖等)將提供更強大的應用程序。
如今,多線性映射是最強大的密碼學原語之一。它們是不可區分混淆、見證加密、多方密鑰交換以及許多其他應用程序的核心。正如人們所預料的那樣,建構如此強大的原語並不是一件容易的事。多線性地圖的故事,哪些方案已創建,哪些已被破壞等,將非常長(儘管如果您有興趣,我可以嘗試尋找一些調查)。簡而言之:
你描述的最後一件事, $ e: \mathbb{G}_0 \times \mathbb{G}_0 \mapsto \mathbb{G}_0 $ , 被稱為理想的多線性映射。我知道有一篇論文提出了這樣的方案,但在幾個月內就被打破了。
目前有兩種主要的分級編碼方案(以及它們的許多變體) ,它們是多線性映射的緊密變體,並且在一定程度上相關聯,這與其線性程度相對應。第一種方案通常稱為 GGH 方案,基於理想格;第二種依賴於因式分解的難度,通常稱為 CLT 方案。
分級編碼方案的預期安全性是通過一組關於該方案的假設來定義的,這些假設被推測為難以處理。這些假設可能需要使某些特定組件可用(多線性映射的一個重要情況是它是否提供零值的編碼)。不同的應用程序需要不同的假設,因此確實存在拼湊方案,其安全性與某些多線性映射上的某些假設有關。從本質上講,大多數假設都被打破了。多線性地圖遭受了一系列非常強大的攻擊,稱為歸零攻擊(最近的結果似乎表明已經發現了一種新的、更有效的攻擊多線性地圖的方法;它是以殲滅攻擊的名義引入的)。
但是,應該提到的是,這並不是一個完整的休息時間。特別是,這些攻擊不排除從多線性映射中建構不可區分性混淆的幾種結構,這是最重要的應用之一。
這是關於安全的。關於效率,情況並沒有好轉:即使它們真的很安全,目前的候選人也很慢。對於小度數(例如,小於 10)的多線性映射,在非常簡單的設置中優化實現可能允許您在幾分鐘內使用它們執行協議,但是當參數增長時,執行時間將很快使這個解決方案完全不切實際的。實際上,建構具有更好理解的安全性和更高效率的多線性映射(或分級編碼方案)是理論密碼學的主要目標之一。