14、基于配对的密码学：原理、假设与应用

基于配对的密码学：原理、假设与应用

1. 配对类型

在基于配对的密码学中，存在三种主要的配对类型：
- 类型 I ：当 $G_1 = G_2$ 且 $g_1 = g_2$ 时，这些群被称为对称群，可简化表示为 $(p, G, G_T, e, g)$。这种情况常基于决策线性（DLin）假设产生问题。
- 类型 II ：若存在从 $G_2$ 到 $G_1$ 的高效同态，但不存在从 $G_1$ 到 $G_2$ 的同态。此情况常基于外部 Diffie - Hellman（XDH）假设产生问题。
- 类型 III ：若两种方向都不存在高效同态。这种情况常基于对称外部 Diffie - Hellman（SXDH）假设产生问题。

需要注意的是，在相同阶的循环群之间总是存在同态，但在类型 II 和 III 中，假设这种同态的计算难度与计算离散对数相当，所以强调“高效”一词。

2. 配对的起源与应用

配对最初的动机有两个方面。一方面，能够计算 $e(g, g^a)$ 可以将曲线上的离散对数问题（在 $g$ 和 $g^a$ 之间）转化为有限域上的离散对数问题（在 $e(g, g)$ 和 $e(g, g)^a$ 之间），在有限域上可以应用次指数算法。这是 MOV 攻击的核心，但在这些情况下，配对的存在被视为安全方面的不利因素，因为它使构建基于安全离散对数的协议变得更加困难。

另一方面，人们试图找到一种方法，将 Diffie - Hellman 密钥交换安全地扩展到三方协议。与传统技术相比，配对提供了一种异步、单轮完成