超级会员免费看
特殊韦尔斯特拉斯曲线上的快速配对与G2快速哈希
1. 引言
在椭圆曲线配对的应用中,通常需要将身份哈希到配对涉及的两个椭圆曲线组的点上。第一个组$G_1$由定义在基域$F_p$上的配对友好椭圆曲线$E$上的点组成,而第二个组$G_2$则是扭曲曲线$E’$上坐标在某个扩展域$F_{pd}$中的点集,其中$d$整除嵌入度$k$。
对于Tate配对及其变体,只需要一个输入点为素数阶,而Weil配对则要求两个输入点都为素数阶。目前最有效的配对是ate和R - ate配对,它们都需要$G_2$中的素数阶点。然而,将哈希值映射到$G_1$中的素数阶点相对容易,而映射到$G_2$中的素数阶点则需要乘以一个大余因子,这增加了计算成本。因此,降低哈希到$G_2$中素数阶点的成本是一个重要问题。
2. 扩展域上的椭圆曲线
设$E$是定义在有限域$F_p$上的椭圆曲线,对于素数$r$具有嵌入度$k > 1$,即$r$整除$#E(F_p)$,且$k$是使得$r$整除$p^k - 1$的最小正整数。设$E’$是$E$的一个扭曲曲线,使得$r$整除$#E’(F_{pd})$,其中$d$整除$k$。
- 若$d < k$,则$G_2$定义为$E’(F_{pd})$上唯一的阶为$r$的子群。
- 若$d = k$,则$G_2$定义为$E[r]$上$E$的$p$ - 幂弗罗贝尼乌斯作用为乘以$p$的循环子群。
当$k$为偶数时,扩展域$F_{pd}$的次数$d$可以取$k/2$。若椭圆曲线具有复乘法(CM)判别式为 - 3且$6$整除$k$,则可选择$d = k/6$;若CM判别式为 - 4且$4$整除$k$,则可选择$d = k/4$。
订阅专栏 解锁全文
扫一扫
3
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
