為什麼基於配對的加密適用於某些特定的加密原語？

為什麼基於配對的加密被廣泛用於一些特殊的加密原語中，如基於 ID 的加密和標準簽名的變體？我的意思是盡可能深入地研究什麼使它適合該方案而其他方案不適用？

基於循環組的加密（在非常高的層次上）是關於“隱藏”“指數”中的事物，然後在它們存在於指數中時操縱這些值。例如，在循環組中 $ \langle g\rangle $ ，你可以“隱藏”一個隨機值 $ x $ 作為 $ g^x $ .

如果沒有雙線性配對，“在指數中”你真正能做的就是這些隱藏值的線性/仿射（1 度）組合。也就是說，給定 $ g^{x_1}, \ldots, g^{x_n} $ , 你可以獲得 $ g^{a_0 + a_1 x_1 + \cdots + a_n x_n} $ 對於已知係數 $ a_i $ .

使用雙線性配對，您可以進行 2 度組合。這是巨大的，它允許您“在指數中將隱藏的值相乘”。這種額外的表現力使其適用於更廣泛的密碼原語，如基於身份的和功能加密等。

還有其他一些工具，比如格子，也有很多代數結構。格的能力與具有雙線性對的群的能力有些無法比擬。但是現在更多的這些“功能加密”應用程序也正在使用格來實現。因此，這些應用可能都不是雙線性對所獨有的，我們看到雙線性對技術和應用的爆炸式增長有點歷史意外。

引用自：https://crypto.stackexchange.com/questions/3669