Сеттинг, описанный в этой статье, является примером так называемого «спаривания типа II» с эффективным изоморфизмом $G_2\до G_1$. Наиболее эффективными конструкциями спаривания являются «Тип-III», где такого изоморфизма, как полагают, не существует. Итак, если вы возьмете обычную реализацию билинейной группы BLS12, это не сработает: игнорируя повороты, вы действительно можете вычислить карту трассировки, как упоминалось, но $G_2$ подгруппа специально выбрана для отображения в ноль, поэтому она не будет изоморфизмом.
Если быть немного более точным, то построение билинейных пар выглядит так. Начнем с эллиптической кривой $E/\mathbb{F}_q$ так что $р$-торсионная подгруппа $E[p](\mathbb{F}_q)$ (точки порядка, разделяющие $р$ с координатами в $\mathbb{F}_q$) является циклическим порядка $р$, и такое, что, кроме того, над некоторым расширением малой степени $\mathbb{F}_{q^d}$, $Е$ имеет полный $р$-кручение (т.е. $E[p](\mathbb{F}_{q^d})$ изоморфен $(\mathbb{Z}/p\mathbb{Z})^2$: Есть $р^2$ точки с координатами в $\mathbb{F}_{q^d}$ и разделение заказа $р$). Затем мы можем выбрать $E[p](\mathbb{F}_{q^d})$ как $G_1$, и любой другой $р$ подгруппы порядка $р$ из $E[p](\mathbb{F}_{q^d})$ как $G_2$.
Теперь, как описано в статье, карта трассировки является гомоморфизмом $E[p](\mathbb{F}_{q^d})$ на $G_1$, поэтому обычный выбор $G_2$ это взять ядро этой карты. Это позволяет проводить всевозможные оптимизации конструкции, дает возможность хешировать $G_2$ и т.д. и т.п., но это как раз несовместимо с установкой, требуемой в той статье. Что бы вы сделали для этой бумаги, так это выбрали бы один из оставшихся $p-1$ выбор для $G_2$ (или, что более вероятно: изменить конструкцию, чтобы избежать менее эффективной настройки типа II; существуют инструменты автоматического преобразования, которые берут примитив, определенный в одной настройке, и формально создают соответствующий примитив в другой настройке, так что это должно быть возможно здесь, хотя аргумент безопасности, возможно, потребуется адаптировать в обычном порядке).
