配對欄位大小作為安全參數
我已閱讀密碼學家配對:它指出這些組 $ G_1 $ 和 $ G_2 $ 是曲線上的點群,群 GT 是相關有限域的乘法群的子群 $ F_{q^k} $ . l 是這三組的順序。然後它指出尺寸為 $ q $ 與 RSA 相比,RCC 更具可比性。我實現了D 型曲線。對於 D 型曲線,Lynn 指出 q(和 l)的 170 位應該足夠了。
由於我缺少一些數學背景,因此我很難理解這一切。q 的大小很大程度上取決於曲線的類型。還是林恩的聲明已經過時了?當我基於這個特定的“D 型”曲線實施方案時,我如何定義安全參數以及如何證明我的決定?
我本來以為,集團運營 $ G_1 $ 是最快的,所有其他的都較慢,因此這個大小很重要。但現在我認為這太容易和錯誤了。
對於您選擇的設置來說,這有點過時(與 $ k=6 $ ) 170 位將在子組中為您提供 1020 位安全性 $ F_{q^6}^* $ .
在您的嵌入度為 6 的情況下,我至少會佔用 224 位,這將在乘法子組中為您提供 1344 位 $ F_{q^6}^* $ 或者您甚至可以使用 256 位,這將為您提供 1536 位。無論如何,嵌入度為 6 的設置不會為您提供最佳的效率-安全性權衡,因為您必須在曲線中採用更高的安全級別才能達到可接受的安全級別 $ G_T $ .
Baretto-Naehrig 曲線的選擇將為您提供最佳的安全效率權衡(它們有 $ k=12 $ ) 今天,它們例如在RELIC 工具包中實現。
您可以在這裡查看今天不同機構推薦的橢圓曲線和有限域乘法群的參數。
更新(2021 年):正如評論中提到的,在 2014 年,上述 MNT 曲線的參數只提供了低於 100 位的安全性(遠)。有關參數的最新參考,可以在這裡查看:https ://members.loria.fr/AGuillevic/pairing-friendly-curves/