Weil Pairing
以下weil配對介紹摘自2001年Boneh和Franklin提出的第一個基於配對運算的實用IBE的論文第三部分。
1984年shamir就提出基於身份的思想,但是一直沒有好的IBE方案提出,IBS倒是由shamir本人提出了兩個較好的方案。直到2001年數學上取得突破性進展,在橢圓曲線點群上找到這樣好性質的雙線性映射,才使得后續各類IBE方案層出不窮得到長足的發展。
本篇只討論weil配對的性質,關於weil配對的具體如何進行有效計算的細節,在論文詳細版中有給出。
雙線性映射
\(G_1\),\(G_2\)為兩個q階循環群,\(G_1\)是\(F_p\)橢圓曲線上的點群,\(G_2\)是\(F_{p^2}^*\)的子群。因此,可以看到\(G_1\)是加法群,\(G_2\)是乘法群。
一個映射\(e:G_1 \times G_1 → G_2\)如果滿足\(e(aP,bP)=e(P,P)^{ab}\),那么它就是雙線性映射。
\(G_1 \times G_1 → G_2\) 對稱雙線性映射
\(G_1 \times G_2 → G_T\) 雙線性映射
weil配對就是有效可計算,非退化的雙線性映射的一個例子。
weil 配對的性質
下面將由一個具體的超奇異橢圓曲線來介紹weil配對的性質。
p是一個素數,滿足p = 2 mod 3 ,p = 6q - 1 ,E是方程為 \(y^2 = x^3 + 1\) 在\(F_p\)上的橢圓曲線。
性質1:
\(x^3+1\)是 \(F_p\)上的置換多項式,故橢圓曲線點群\(E/F_p\)中有p+1個點,記0為無窮遠點。令P為\(E/F_p\)的q階子群的生成元,記為\(G_q\)。
性質2:
對於任意的\(F_p\)中的\(y_0\),都有唯一的橢圓曲線\(E/F_p\)上的點\((x_0,y_0)\),因此橢圓曲線上的任意一點,除了無窮遠點0點,也都可以對應到一個\(F_p\)上的y,並且這個y在\(F_p\)上是均勻分布的。我們利用這個好性質來簡化安全性證明。
性質3:
屬於\(E/F_p\)的點P,Φ(P)為\(E/F_{p^2}\)上的點,並且必不是\(E/F_p\)上的點,這樣P和Φ(P)是線性無關的。
性質4:
因為P和Φ(P)是線性無關,這樣它們到$Z_q x Z_q \(有一個同構。\)u_q\(是一個\)E/F_{p^2}\(的q階子群。(回顧,\)G_q\(是\)E/F_p\(的q階子群,即\)G_1$)
\(G_q \times G_q = G_1 \times G_1 → G_1 \times Φ(G_1) = G_1 \times G_2 → (Z_q \times Z_q) \times (Z_q \times Z_q) = E[q] \times E[q] → u_q = G_T\)。
由此看來e版的就是非對稱的雙線性映射,\hat{e}是一個對稱雙線性映射。
WDH 假設
因為此類\(G_q\)的存在,CDH似乎依然很難,但是DDH問題卻變得不再困難,對於給定P,aP,bP,cP 屬於\(G_q\),
weil配對很容易就轉化了判斷。 (原本我通過組合只能得到a和b+的形式,而通過雙線性映射可以得到乘的形式。)因此不能使用DDH假設在群\(G_q\)上構建密碼系統。
CDH假設的變體WDH假設:
結語
觀察轉化等式的兩邊,\(G_q\)上的離散對數困難問題(\(E/F_q\))很容易轉化成\(u_q\)上的離散對數困難問題(\(E/F_{q^2}\))。
注意,我們常常說離散對數困難問題,習以為常理所應當的認為它就是困難的,然而實際上它是需要在數值很大的情況下才是困難的,一般來說為了安全性,在\(F_p^*\)上的離散對數問題需要素數p達到1024比特長。