В криптография на основе пар, билинейные пары обычно определяются следующим образом:
Позволять $G_1, G_2, G$ — конечные циклические группы одного порядка. Тогда билинейное спаривание является картой $e : G_1 \times G_2 \стрелка вправо G$ билинейный, то есть:
$$
е (р ^ а, д ^ б) = е (р, д) ^ {аб}
$$
Часто также подразумевается или требуется, чтобы:
- $е$ не является тривиальной парой, которая отображает все входы в нейтральный элемент $G$
- У нас есть способ вычислить $е$ 'эффективно'
- если $g_1$ является генератором $G_1$, и $g_2$ из $G_2$, тогда $е(г_1, г_2)$ является генератором $G$
- В некоторых контекстах $G_1 = G_2$ используется, то есть $е$ будет иметь вид $e : G_1 \times G_1 \стрелка вправо G$.
Таким образом, неформально билинейное спаривание позволяет «вытащить» показатели (при условии мультипликативной записи) своих входов.
Доказательство правильности, которое вы цитируете, прямолинейно, тогда:
$$
\начать{выравнивать}
e(g^r,H(id)^x) & = e(g, H(id))^{rx} & \text{билинейность} \
& = e(g, H(id))^{xr} & \text{ коммутативность} \
& = e(g^x, H(id)^r) & \text{билинейность}
\end{выравнивание}
$$
Вы можете найти приличное (как мне кажется) введение в криптографию на основе пар в эти слайды лекций Джона Бетанкура.
