Public-Key

雙線性配對協議的現狀

  • May 3, 2021

雙線性對被認為是許多新穎加密協議的關鍵推動因素,例如三方一輪 DH[ 1 ]、更短的簽名和無證書(基於 ID)加密[ 3 ],它們採用 Tate 和 Weil 對。在過去的十年中,已經取得了許多有希望的研究和進展,配對的概念也被大肆宣傳。

但是,也有一些消息來源聲稱配對是“無用的”,例如 2015 年的這篇文章:上海大學的基於配對的密碼學的缺點。

總而言之,該文章聲稱 BPC(雙線性配對加密)沒有帶來任何優勢,實際上需要非常大的密鑰大小。但是這篇文章似乎只考慮了 Tate 和 Weil 配對,並且只考慮了短簽名協議。

另外,在過去的 5 年裡,關於配對概念的現狀,我沒有發現太多新的研究或進展。我假設至少使用 Tate 和 Weil 的配對已經過時,因為事實證明,BN 曲線上的 Ate 和最優 Ate 效率更高。

所以最後我的問題是:雙線性​​對仍然被認為有用嗎?主要優點是什麼?我假設它們是迄今為止實現協議(例如基於 ID 的密碼學)的唯一方法。

資料來源:

A. Joux,(2000)“A one round protocol for tripartite Diffie-Hellman”

D. Boneh 和 M. Franklin,(2001)“來自 Weil 配對的基於身份的加密”

那篇論文在幾個方面具有誤導性:

  • DSA 與 BB 比較:這是不公平的,因為它將 DSA 與“完整”BB 方案進行比較,後者不會產生更短的簽名。同一份 BB 論文描述了一個“基本”方案,其簽名大小是 DSA 的一半。這就是短簽名方案的全部意義(比 ECDSA/DSA 短)。然而,這一點現在沒有實際意義,因為 2015 年的一篇論文描述了一種攻擊,該攻擊需要基於配對的加密來增加其參數大小,使得短簽名不再那麼短(這確實支持作者的主張,但這不是他們的理由用過的)。
  • 他們估計 BB 比 DSA 慢 60 倍,但沒有給出任何理由。雖然簽名驗證確實會更慢,但簽名應該更快。
  • 他們提出了 PBC 計劃中的萬能鑰匙問題。這是真的,但僅適用於基於 ID 的加密,並且從一開始就為人所知。

配對仍然是相關的,因為某些方案只能使用它們有效地實現。Zcash 使用配對來實現零知識協議TPM 晶片使用配對來實現直接匿名證明;例如。

引用自:https://crypto.stackexchange.com/questions/79982