标签：椭圆 映射 什么 曲线 weil 双线性 配对

Weil Pairing

​ 以下weil配对介绍摘自2001年Boneh和Franklin提出的第一个基于配对运算的实用IBE的论文第三部分。

​ 1984年shamir就提出基于身份的思想，但是一直没有好的IBE方案提出，IBS倒是由shamir本人提出了两个较好的方案。直到2001年数学上取得突破性进展，在椭圆曲线点群上找到这样好性质的双线性映射，才使得后续各类IBE方案层出不穷得到长足的发展。

​ 本篇只讨论weil配对的性质，关于weil配对的具体如何进行有效计算的细节，在论文详细版中有给出。

双线性映射

G_1，G_2为两个q阶循环群，G_1是F_p椭圆曲线上的点群，G_2是F_{p^2}*的子群。因此，可以看到G_1是加法群，G_2是乘法群。
一个映射e:G1 X G1 → G2 如果满足e(aP,bP)=e(P,P)^{ab}，那么它就是双线性映射。

G_1 x G_1 → G_2 对称双线性映射

G_1 x G_2 → G_T 双线性映射

weil配对就是有效可计算，非退化的双线性映射的一个例子。

weil 配对的性质

​ 下面将由一个具体的超奇异椭圆曲线来介绍weil配对的性质。

​ p是一个素数，满足p = 2 mod 3 ，p = 6q - 1 ，E是方程为 y^2 = x^3 + 1 在F_p上的椭圆曲线。

​ 性质1：

x^3+1是 F_p上的置换多项式，故椭圆曲线点群E/F_p中有p+1个点，记0为无穷远点。令P为E/F_p的q阶子群的生成元，记为G_q。

​ 性质2：

对于任意的F_p中的y_0，都有唯一的椭圆曲线E/F_p上的点（x_0，y_0），因此椭圆曲线上的任意一点，除了无穷远点0点，也都可以对应到一个F_p上的y，并且这个y在F_p上是均匀分布的。我们利用这个好性质来简化安全性证明。

​ 性质3：

属于E/F_p的点P，Φ(P)为E/F_{p^2}上的点，并且必不是E/F_p上的点，这样P和Φ(P)是线性无关的。

​ 性质4：

因为P和Φ(P)是线性无关，这样它们到Z_q x Z_q 有一个同构。u_q是一个E/F_{p^2}的q阶子群。（回顾，G_q是E/F_p的q阶子群，即G_1）

G_q x G_q = G_1 x G_1 → G_1 x Φ(G_1) = G_1 x G_2 → (Z_q x Z_q) x (Z_q x Z_q) = E[q] x E[q] → u_q = G_T。

由此看来e版的就是非对称的双线性映射，\hat{e}是一个对称双线性映射。

WDH 假设

因为此类G_q的存在，CDH似乎依然很难，但是DDH问题却变得不再困难，对于给定P，aP，bP，cP 属于G_q，

weil配对很容易就转化了判断。 （原本我通过组合只能得到a和b+的形式，而通过双线性映射可以得到乘的形式。）因此不能使用DDH假设在群G_q上构建密码系统。

CDH假设的变体WDH假设：

结语

观察转化等式的两边，G_q上的离散对数困难问题（E/F_q）很容易转化成u_q上的离散对数困难问题（E/F_{q^2}）。

注意，我们常常说离散对数困难问题，习以为常理所应当的认为它就是困难的，然而实际上它是需要在数值很大的情况下才是困难的，一般来说为了安全性，在F_p^*上的离散对数问题需要素数p达到1024比特长。

标签：椭圆,映射,什么,曲线,weil,双线性,配对
来源： https://www.cnblogs.com/qs3c/p/16034034.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。