24、192 位安全级别的配对实现

192 位安全级别的配对实现

1. 引言

自基于配对的密码学出现以来，研究人员一直在设计构建和高效实现双线性配对的方法。早期工作主要集中在实现约 80 位安全级别的配对。后来发现的 Barreto - Naehrig (BN) 椭圆曲线非常适合实现 128 位安全级别的配对。

近年来，研究人员开始考虑在更高安全级别实现配对。有研究认为嵌入度 k = 24 的 Barreto - Lynn - Scott (BLS24) 椭圆曲线适合 192、224、256、288 和 320 位安全级别。

本文聚焦于 192 位安全级别的单配对快速实现。选择 192 位级别是因为它是国家安全局 Suite B 密码标准中用于公钥操作的较高安全级别之一。我们研究了嵌入度 k = 12 的 BLS12 曲线，发现它在 192 位安全级别上优于 KSS、BN 和 BLS24 曲线。同时，我们还提出了一种推导 β Weil 配对类似物的通用框架，该配对适合在多处理器机器上计算单配对。

2. 适合配对的椭圆曲线

设 p 为素数，E 是定义在有限域 Fp 上的椭圆曲线。设 r 是素数，满足 r | #E(Fp) 且 gcd(r, p) = 1。余因子 ρ = log p / log r，嵌入度 k 是满足 r | (pk - 1) 的最小正整数。假设 k 为偶数，则 k > 1 且 E[r] ⊆ E(Fpk)。

相关参数如下表所示：
| 曲线类型 | 嵌入度 k | 余因子 ρ | p(z) | r(z) | t(z) |
| — | — | — | — | — | — |
| KSS 曲线 | 18 | ≈