Регистрация Войти
Рейтинг:1
avatar Crypto

Умножение пар против возведения в степень элементов группы

флаг cn
A.Solei

Предположим, что у нас есть пара в виде $e:G_1\times G_2\стрелка вправо G_T$. такой, что $g_1$ и $g_2$ являются генератором $G_1$ и $G_2$ соответственно. В протоколе у ​​меня $A=\prod_{i=1}^n e(H(i),pk_i)$ куда $H(i)\в G_1$ и его дискретный логарифм неизвестен (поскольку это случайный оракул) и $pk_i\in G_2$. Я могу разработать другой протокол, чтобы вычислить целевое значение. $А$ по-другому, т. $A=e(H(l),\prod_i pk_i^{a_i})$ (куда $H(l)\in G_1$ и не зависит от индекса $я$). Группы $G_1,G_2,G_3$ одинаковы в обеих схемах.

Таким образом, пункт, который меня интересует, - это эффективность. Основное различие в этих двух оценках заключается в том, что:

В первой схеме имеем $n$ спаривание и $n$ умножение на $G_T$. В то время как во второй схеме имеем $n$ возведение в степень $G_2$ (представители $a_i$), $n$ умножение в $G_2$ и 1 пара.

Какая из этих схем эффективнее? Не могли бы вы дать мне ссылку и ссылки для точного сравнения. Заметен ли прирост эффективности?

51
0 + 0
флаг kr
Mehdi Tibouchi
Схема 2 почти наверняка будет более эффективной. Это связано с тем, что возведение в степень в $G_2$ почти всегда значительно быстрее, чем спаривание, и, кроме того, в схеме 2 вы можете использовать [множественное возведение в степень](https://link.springer.com/content/pdf/10.1007% 2F3-540-45537-X_13.pdf) для дальнейшего значительного ускорения вычисления $\prod_i \textit{pk}_i^{a_i}$ по сравнению с наивным выполнением возведения в степень и произведения $n$.
2
Ответить
poncho avatar
флаг my
poncho
@MehdiTibouchi: помимо предоставления ссылки (которая, ИМХО, не нужна, учитывая размер разницы в производительности), это, кажется, полностью отвечает на вопрос. Должны ли вы представить его в качестве ответа?
0
Ответить
Daniel S avatar
флаг ru
Daniel S
Существуют эквивалентные ускорения для многократного возведения в степень при оценке произведений пар. В алгоритме Миллера (слева направо) одно возведение в квадрат может использоваться для шага возведения в квадрат в каждой паре компонентов. Более широкая точка зрения состоит в том, что $n$-возведение в степень в $G_2$, вероятно, потребует $(1+n\epsilon)\log\ell$ умножения поля, и даже спаривание Тейта, вероятно, потребует как минимум $(6n+\epsilon)\ Умножение полей log\ell$ по-прежнему делает крайне вероятным победу второго метода. (Оценки висят в воздухе).
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.