Рейтинг:2

Размер групповых элементов в билинейном контексте

флаг cn

В асимметричный контекст сопряжения, размер которого (в битах) должен иметь элементы $\mathbb{G}_1,\mathbb{G}_2$ и $\mathbb{G}_T$ если мы рассмотрим наиболее эффективные эллиптические кривые?

Рейтинг:2
флаг ru

В асимметричной криптографии на основе пар $\mathbb G_1$ обычно является подгруппой эллиптической кривой над простым полем $\mathbb F_q$. Элементы этой группы обычно выражаются парой чисел $(х,у)\в(\mathbb F_q)^2$. В вычислительном отношении необходимы оба значения, но поскольку $у$ можно восстановить из $х$ элементы до знака часто сжимаются до $х$ значение и дополнительный бит для целей передачи. Это требует $\lceil\lgq\rceil+1$ биты.

$\mathbb G_2$ обычно является подгруппой эллиптической кривой с тем же уравнением, но с точками $\mathbb F_{q^k}$ куда $к$ таков, что $\#\mathbb G_1|(q^k-1)$. Как правило, такие $к$ трудно найти, но существуют различные специальные конструкции, параметризующие подходящие $q$ и кривые для конкретных значений $к$. Есть особенно милая семья, найденная Баррето и Нериг за $к=12$ что позволяет использовать всю группу эллиптических кривых для $\mathbb G_1$, что особенно эффективно. Более ранняя более общая конструкция Баррето, Линн и Скотт почти так же эффективен с $к=12$ и $к=48$. Как в случае BN, так и в случае BLS элементы $\mathbb G_2$ можно выразить парой $(х,у)\в\mathbb (F_{q^k})^2$. Снова возможно сжатие, так что только $х$ и бит знака должен быть передан. Это потребует $k\lceil\lgq\rceil+1$ биты. В случаях BLS и BN мы можем выбрать $\mathbb G_2$ таким образом, что $х$ и $у$ и может быть получен из точки на связанной кривой над $\mathbb F_{q^{k/6}}$. В таких обстоятельствах достаточно передать один элемент $\mathbb F_{q^{k/6}}$ и знаковый бит. Это потребует $\frac k6\lceil\lgq\rceil+1$ биты. Однако этот выбор $\mathbb G_2$ является не совместим со всеми видами использования криптографии на основе сопряжения.

При таком выборе $\mathbb G_1$ и $\mathbb G_2$ различные криптографические пары все сопоставляются с $\mathbb G_T$ которая является мультипликативной подгруппой $\mathbb F_{q^k}$ порядка $\#\mathbb G_1$. Элементы этой группы можно записать как элементы $\mathbb F_{q^k}$ который занимает $k\lceil\lgq\rceil$ биты.

Выбор $q$ и $к$ будет зависеть от уровня безопасности, который вы хотите иметь в своей системе на основе сопряжения. Размер $\mathbb G_1$ должен быть достаточно большим, чтобы блокировать типичные ``атаки с квадратным корнем'', а размер/структура $\mathbb G_T$ должно быть достаточно, чтобы заблокировать атаку TNFS Ким и Барбалеску. А Проект 2019 года от IETF предлагает следующее в разделе 4.

Безопасность (в битах) Размер $\mathbb G_1$ (некомп./комп.) Размер $\mathbb G_2$ (некомп./комп./BN-BLS комп.) Размер $\mathbb G_T$
100 512/257 6144/3073/513 (БН256, $к=12$) 3072
128 924/463 11088/5545/925 (БН462, $к=12$) 5544
128 922/462 11064/5533/923 (БЛС12-461, $к=12$) 5532
128 762/382 9144/4573/763 (БЛС12-381, $к=12$) 4572
256 1162/582 55776/27889/4649 (БЛС48-581, $к=48$) 27888

Обратите внимание, что это чисто классическая оценка безопасности, и, как и все системы сопряжения, их следует считать уязвимыми для криптоаналитически релевантного квантового компьютера.

Ievgeni avatar
флаг cn
Большое спасибо. У меня последний лексический вопрос о "случаях BLS и BN": это тип 3?
Daniel S avatar
флаг ru
Да, я считаю, что они относятся к типу 3.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.