超级会员免费看
高效同源证明:通用技术的应用
1. 引言
同源性密码学由Charles、Goren和Lauter提出的CGL哈希函数引入,其核心假设是给定两条同源椭圆曲线,很难找到它们之间的同源性。此后,出现了多个基于同源性的协议,如SIDH、CSIDH、SQI - Sign和pSIDH等。尽管SIDH最近遭遇了密码分析突破,但其他非基于SIDH的密码系统仍未受影响。
在同源性密码系统中,同源行走通常从具有已知自同态环的公共曲线(如j不变量为0或1728的曲线)开始。然而,在一些构造和应用中,需要采样未知自同态环的椭圆曲线,这在计算上是不可行的。最近提出的一个可信设置仪式可以解决这个问题:每个参与方计算从先前曲线到另一条曲线的同源路径,生成证明并公开新曲线和证明,其他参与方进行验证。只要有一个参与方诚实,最终曲线的自同态环就难以恢复。
但生成同源路径的零知识证明并非易事。在群作用领域相对容易实现,但在群作用之外,要实现可靠性或统计零知识较为困难,一些协议还需要特殊的安全假设。目前的先进方法仍有改进空间,例如300个参与者在普通机器上单线程运行该仪式,对于λ = 128大约需要一小时,对于λ = 256则需要13小时。
历史上,人们认为针对同源关系定制的证明系统比通用证明系统更有效。然而,近年来通用证明系统(如zkSNARKs)发展迅速,它能让证明者以零知识和非交互的方式生成公开可验证的证明,证明大小简洁,验证时间远短于生成时间。但将通用证明系统应用于同源性密码学并不常见,由于同源计算的复杂性、操作域的大小和结构等因素,人们认为这些证明系统在同源性协议中扩展性不佳。因此,通用证明系统能否成为同源性密码学的实用工具存在很大争议。
订阅专栏 解锁全文
扫一扫
5万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
