19、构造友好配对椭圆曲线与阿贝尔簇的算法研究

构造友好配对椭圆曲线与阿贝尔簇的算法研究

1. 背景与问题提出

在当今的密码学领域，基于双线性映射（配对）的密码协议具有重要地位。这些协议需要在有限群之间实现易于计算且非退化的配对，而目前已知满足这些特性的配对主要是有限域上阿贝尔簇的Weil和Tate配对。这些配对将定义在域$F_q$上的阿贝尔簇上的点作为输入，输出为扩展域$F_{q^k}$中的元素，其中$k$被称为嵌入度。

对于基于阿贝尔簇$A/F_q$的配对密码系统，为了确保安全性和实用性，$A(F_q)$的有理点群应包含一个大素数阶$r$的子群，并且嵌入度$k$需要足够大，以使$A[r]$和$F_{q^k}^×$中的离散对数问题难度大致相当，同时又要足够小，以便高效计算配对。然而，随机选择的阿贝尔簇在密码学规模的域上的嵌入度通常非常大，因此构造“友好配对”的阿贝尔簇（即相对于大素数阶子群具有小嵌入度的阿贝尔簇）是一个具有挑战性的问题。

构造友好配对椭圆曲线（一维阿贝尔簇）的问题已经得到了广泛研究，但在高维情况下，相关研究相对较少。目前已知的高维友好配对非超奇异阿贝尔簇的构造方法有限，且已有的构造在某些指标上存在改进空间。例如，在维度$g = 2$和$g = 3$的情况下，已有的构造所得到的$\rho$值（衡量阿贝尔簇所需带宽与安全级别的比值）还不够理想。

2. 友好配对阿贝尔簇的条件与Brezing - Weng方法

2.1 友好配对阿贝尔簇的条件

设$A$是定义在有限域$F_q$上的$g$维阿贝尔簇。若$A(F_q)$的有理点群有一个阶为$r$且$\gcd(r, q) = 1$的循环子群，则$A$相对于$r$的嵌入度$k$是使得域$F_{q^k}$包含所