16、加速 XTR：提升性能与简化实现

加速 XTR：提升性能与简化实现

1. 引言

XTR 公钥系统自 2000 年推出以来，凭借其独特的元素表示和计算方式，在安全性和计算效率上展现出显著优势。与传统表示方法相比，XTR 在计算和通信方面具有明显的优势，其安全等级与 1024 位 RSA 相当，速度也能与同等安全级别的随机椭圆曲线密码系统（ECC）相媲美。而且，XTR 的参数初始化所需的计算时间极少，这是它相较于 RSA 和 ECC 的一大亮点。

本文聚焦于 XTR 的性能优化，通过改进域算术和引入新的指数运算方法，显著提升了 XTR 的计算速度，同时简化了其实现过程。具体而言，新的双指数运算方法平均比旧方法快 60%以上，单指数运算方法也有不同程度的提速，这使得 XTR 签名应用的运行时间大幅缩短，Diffie - Hellman 密钥交换和 ElGamal 加密解密的效率也得到显著提升。

2. XTR 背景知识

在深入探讨优化方法之前，我们先了解一下 XTR 的基本概念。设 $p$ 和 $q$ 为素数，其中 $p \equiv 2 \mod 3$，$q$ 整除 $p^2 - p + 1$，$g$ 是 $F_{p^6}^ $ 中阶为 $q$ 的子群的生成元。对于 $h \in F_{p^6}^ $，其在 $F_{p^2}$ 上的迹 $Tr(h)$ 定义为：
$Tr(h) = h + h^{p^2} + h^{p^4} \in F_{p^2}$

由于 $h$ 的阶整除 $p^6 - 1$，所以 $Tr(h) = Tr(h^{p^2}) = Tr(h^{p^4})$。当 $h \in \langle g \rangle$ 时，其阶整除 $p^2