31、巴雷托 - 内赫里格曲线上密码配对的快速 Fp 算术

巴雷托 - 内赫里格曲线上密码配对的快速 Fp 算术

1. 引言

双线性配对是一种从 $G1 × G2$ 到 $GT$ 的映射，其中 $G1$ 和 $G2$ 通常是加法群，$GT$ 是乘法群，并且该映射在每个分量上都是线性的。在密码学中，许多配对（如 Tate 配对、ate 配对和 R - ate 配对）会选择 $G1$ 和 $G2$ 作为 $E(F_{pk})$ 的特定循环子群，$GT$ 作为 $F_{pk}^*$ 的子群。

参数的选择对配对的安全性和性能有重大影响。例如，底层域、曲线类型以及 $G1$、$G2$ 和 $GT$ 的阶都需要仔细选择，以确保足够的安全性，同时保证计算效率。本文主要关注巴雷托 - 内赫里格（BN）曲线上配对的高效实现。BN 曲线定义在 $F_p$ 上，其中 $p = 36\overline{t}^4 + 36\overline{t}^3 + 24\overline{t}^2 + 6\overline{t} + 1$，且 $\overline{t} \in Z$ 使得 $p$ 为素数。本文提出了一种新的 BN 曲线模乘算法，当选择 $\overline{t} = 2^m + s$（$s$ 为较小的数）时，$F_p$ 中的模乘效率可大幅提高。

2. 相关工作

2.1 双线性配对

设 $F_p$ 为有限域，$E(F_p)$ 为定义在 $F_p$ 上的椭圆曲线，$r$ 为整除 $#E(F_p)$ 的大素数，$k$ 为 $E(F_p)$ 关于 $r$ 的嵌入度，即满足 $r|p^k - 1$ 的最小正整数 $k$。对于任意有限域 $K$，用 $E(K)[r]$ 表示曲线的 $K$ - 有理 $r$ - 挠群。对于