Score:4

พารามิเตอร์การจับคู่บิลิเนียร์เส้นโค้งวงรีสำหรับระดับความปลอดภัย 80 บิต

ธง us

ฉันกำลังอ่านบทความเกี่ยวกับกลุ่มการจับคู่บิลิเนียร์เส้นโค้งวงรี ผู้เขียนได้กำหนดขนาดของรหัสส่วนตัว กุญแจสาธารณะ ฯลฯ ในแง่ของ $|\mathbb{G}_1|, |\mathbb{G}_2|$ และ $|\mathbb{G}_T|$.

สำหรับระดับความปลอดภัย 80 บิตมีขนาดเท่าใด $|\mathbb{G}_1|, |\mathbb{G}_2|$ และ $|\mathbb{G}_T|$ เป็นบิต? ฉันต้องการคำนวณขนาดจริงของคีย์

ขอขอบคุณ.

Aman Grewal avatar
gb flag
@DannyNiu นั่นไม่ถูกต้อง มีการโจมตีที่แรงกว่ากลุ่มเป้าหมาย ($\mathbb{G}_T$) โดยใช้ตะแกรงฟิลด์ตัวเลข ดังนั้นคุณต้องใช้เส้นโค้งที่ใหญ่ขึ้น ขนาดของ $\mathbb{G}_2$ และ $\mathbb{G}_T$ อาจแตกต่างกันไป แต่โดยทั่วไปแล้ว (iirc) $\mathbb{G}_2$ มีรูปแบบที่กะทัดรัดซึ่งใช้บิตมากเป็นสองเท่าขององค์ประกอบ ใน $\mathbb{G}_1$ และ $\mathbb{G}_T$ จะใช้เวลา 12 เท่าของจำนวนบิตขององค์ประกอบใน $\mathbb{G}_1$
DannyNiu avatar
vu flag
ความรู้เรื่องการจับคู่ของฉันมีจำกัด และฉันก็ยินดีที่ได้รู้เพิ่มเติม พิจารณาโพสต์คำตอบแบบเต็ม
Shweta Aggrawal avatar
us flag
@AmanGrewal คุณช่วยโพสต์คำตอบแบบเต็มหรือระบุข้อมูลอ้างอิงสำหรับข้อความที่ G2 มีการนำเสนอแบบกะทัดรัดที่ใช้บิตมากเป็นสองเท่าขององค์ประกอบใน G1 และ GT จะใช้เวลาบิตมากกว่าองค์ประกอบใน G1 ถึง 12 เท่า มันจะใจดีเกินไปสำหรับคุณ
Aman Grewal avatar
gb flag
น่าเสียดายที่ความรู้ของฉันมีจำกัดเช่นกัน ฉันจะต้องค้นหาขนาดที่เหมาะสมสำหรับความปลอดภัย 80 บิต 2x และ 12x สำหรับ $\mathbb{G}_2$ และ $\mathbb{G}_T$ ไม่ใช่กฎตายตัวมีค่าที่ถูกต้องอื่น ๆ แต่ค่าเหล่านี้เป็นค่าทั่วไปที่เกิดขึ้นเพื่อสร้างความสมดุลให้กับการโจมตีในทั้งสามกลุ่ม ฉันจะค้นหาข้อมูลอ้างอิงและโพสต์ในเร็วๆ นี้
Score:5
ธง gb

ขนาดองค์ประกอบ

เมื่อเลือกพารามิเตอร์เส้นโค้งวงรี มีอิสระมากมาย สำหรับขนาดขององค์ประกอบ พารามิเตอร์สองตัวที่ควรค่าแก่การสังเกตคือค่าเฉพาะ $p$และระดับการฝัง $k$.

ถ้า $\mathbb{G}_1$ เป็นเส้นโค้งวงรี $F_p$,1 แล้ว $\mathbb{G}_2$ เป็นเส้นโค้งวงรี $F_{p^k}$, และ $\mathbb{G}_T$ เป็นกลุ่มย่อยของ $F_{p^k}$.

ดังนั้นองค์ประกอบของ $\mathbb{G}_2$ และ $\mathbb{G}_T$ จำเป็นต้อง $k$ เท่าของจำนวนพื้นที่เก็บข้อมูลที่เป็นองค์ประกอบของ $\mathbb{G}_1$.

อย่างไรก็ตาม เส้นโค้งทั้งหมดอนุญาตให้มีการแสดงแบบกะทัดรัดของ $\mathbb{G}_2$โดยใช้การบิดของเส้นโค้งเพื่อให้องค์ประกอบของ $\mathbb{G}_2$ สามารถแสดงด้วยจุดบน $E'\left(F_{p^\frac{k}{d}}\right)$, ที่ไหน $d$ คือ 2, 3, 4 หรือ 6 รองรับเส้นโค้งทั้งหมด $d=2$. เส้นโค้งที่ใช้สำหรับการดำเนินการเข้ารหัสจะรองรับขนาดใหญ่ขึ้น $d$ เนื่องจากค่าใช้จ่ายในการแปลงระหว่างตัวแทนมีราคาถูก

ขนาดคีย์และขนาดลายเซ็น

ลายเซ็น BLS ขึ้นอยู่กับฟังก์ชันการจับคู่ $e: \mathbb{G}_1 \times \mathbb{G}_2 \rightarrow \mathbb{G}_T$.

อนุญาต $G_1$ เป็นเครื่องกำเนิดสำหรับ $\mathbb{G}_1$ และ $G_2$ เครื่องกำเนิดไฟฟ้าสำหรับ $\mathbb{G}_2$.

คีย์ส่วนตัว, $x$เป็นเพียงจำนวนเต็มระหว่าง $0$ และ $|\mathbb{G}_1|$ซึ่งเท่ากับ $|\mathbb{G}_2|$. กุญแจสาธารณะ, $X$, เป็นองค์ประกอบของ $\mathbb{G}_1$ หรือ $\mathbb{G}_2$. ในการลงนามข้อความ ข้อความจะถูกแฮชเป็นองค์ประกอบของกลุ่มอื่น คูณด้วยคีย์ส่วนตัว และจับคู่กับตัวสร้าง เช่น $\sigma = e(G_1, xH(m))$. ลายเซ็น, $\sigma$, เป็นองค์ประกอบใน $\mathbb{G}_T$. ตัวตรวจสอบจะคำนวณการจับคู่ของแฮชของข้อความกับรหัสสาธารณะเป็น $e(X, H(ม.))$. ถ้าเท่านี้ $\sigma$ลายเซ็นนั้นถูกต้อง

อีกทางหนึ่งคือจำนวนข้อมูลที่ส่งสามารถลดลงและปริมาณงานที่ผู้ลงนามสามารถลดลงได้โดยที่ผู้ตรวจสอบต้องทำงานมากขึ้น แทนการส่ง $\sigma$, ผู้ลงนามเพียงส่ง $xH(ม.)$และผู้ตรวจสอบจะคำนวณการจับคู่ทั้งสอง

ตัวเลือกคีย์สาธารณะ

รหัสสาธารณะสามารถเป็นได้ทั้ง $\mathbb{G}_1$ หรือ $\mathbb{G}_2$. องค์ประกอบใน $\mathbb{G}_1$ มีขนาดเล็กกว่า การดำเนินงานใน $\mathbb{G}_2$ มีราคาแพงกว่า

ตัวอย่าง

ใช้ BLS12-3812ซึ่งมักถูกอ้างถึงว่ามีความปลอดภัย 128 บิต $p$ เป็น 381 บิต ระดับการฝัง, $k$, คือ 12, ทำให้ $p^k$ มี 4569 บิต องค์ประกอบใน $\mathbb{G}_1$ ใช้เวลา 382 บิตในการแสดง (381 บิตสำหรับ 1 พิกัดบวก 1 บิตสำหรับเครื่องหมาย) องค์ประกอบใน $\mathbb{G}_2$ ใช้เวลา 762 บิตในการแสดงเนื่องจากมีการแทนค่าที่กะทัดรัด องค์ประกอบใน $\mathbb{G}_T$ ใช้เวลา 4596 บิตในการแสดง

จากหน้าเดียวกันนั้น2, MNT4-298 มีความปลอดภัยประมาณ 77 บิต สำหรับเส้นโค้งนั้น องค์ประกอบใน $\mathbb{G}_1$ ต้องการ 299 บิต; ใน $\mathbb{G}_T$, 1192 บิต


1 ในทางเทคนิคแล้ว $\mathbb{G}_1$ ถูกกำหนดขึ้นด้วย $F_{p^k}$, แต่ตั้งแต่ $E(F_p)$ เป็นกลุ่มย่อยของ $E(F_{p^k})$มันไม่สำคัญเลย

2 ตัวเลขเหล่านี้มาจาก https://members.loria.fr/AGuillevic/pairing-friendly-curves/. มีคำอธิบายชื่อคอลัมน์บางส่วนด้านล่าง

ชื่อคอลัมน์

$k$ คือ ระดับการฝัง.
$D$ เป็นการเลือกปฏิบัติการคูณที่ซับซ้อน (ฉันคิดว่า)
$u$ มีความซับซ้อนมากขึ้น ฉันไม่แน่ใจว่าถูกต้องหรือไม่ แต่ละตระกูลเส้นโค้งเหล่านี้ (เช่น BLS หรือ BN) เกี่ยวข้องกัน $p$, $r$และอื่น ๆ ให้กับพารามิเตอร์ "seed" $u$.
$p$ คือขนาดของคุณลักษณะของฟิลด์และขนาดขององค์ประกอบใน $\mathbb{G}_1$.
$r$ คือขนาดของลำดับของเส้นโค้ง
$p^\frac{k}{d}$ คือขนาดที่เล็กกะทัดรัดขององค์ประกอบใน $\mathbb{G}_2$
$p^k$ คือขนาดขององค์ประกอบใน $\mathbb{G}_T$.

fgrieu avatar
ng flag
คำตอบที่ดีนี้จะมีประโยชน์มากยิ่งขึ้นหากอธิบายว่า $r$ คืออะไร; และอะไรกำหนดขนาดของลายเซ็น คีย์สาธารณะ และคีย์ส่วนตัว (ธรรมชาติ) ในแอปพลิเคชันอ้างอิง: ลายเซ็น BLS
Aman Grewal avatar
gb flag
ฉันสามารถเพิ่มขนาดลายเซ็นและอื่นๆ ได้ คุณหมายถึงอะไรโดย $r$?
fgrieu avatar
ng flag
ฉันหวังว่าฉันจะรู้! ฉันกำลังอ้างถึงสิ่งที่มีขนาดเป็นบิตทางด้านขวาของสิ่งนั้นในราคา $p$ ในหลายๆ ตารางของ[ข้อมูลอ้างอิงของคุณ](https://members.loria.fr/AGuillevic/pairing-friendly-curves/)
Aman Grewal avatar
gb flag
เข้าใจแล้ว. ฉันค่อนข้างแน่ใจว่านั่นคือลำดับของเส้นโค้ง แต่ฉันจะตรวจสอบอีกครั้ง
Aman Grewal avatar
gb flag
เพิ่มข้อมูลเพิ่มเติม ฉันยังต้องการตรวจสอบอีกครั้งว่า $D$ และ $u$ คืออะไร และฉันต้องการเพิ่มต้นทุน/ประโยชน์ของคีย์สาธารณะในกลุ่มใด
Shweta Aggrawal avatar
us flag
กฎเหล่านี้ใช้เมื่อเราจับคู่ประเภท $G_1\times G_1 \rightarrow G_1$ หรือไม่
Aman Grewal avatar
gb flag
@ShwetaAggrawal ไม่ใช่สำหรับการจับคู่ประเภท 3 การจับคู่แบบที่ 1 ($\mathbb{G}_1\times\mathbb{G}_1 \to \mathbb{G}_T$) ต้องใช้เส้นโค้งเหนือเอกพจน์ ดังนั้นองค์ประกอบใน $\mathbb{G}_T$ จึงมีขนาดใหญ่เป็นสองเท่า องค์ประกอบใน $\mathbb{G}_1$ ฉันไม่รู้ว่าต้องใช้คีย์ขนาดใดจึงจะปลอดภัย
Shweta Aggrawal avatar
us flag
@AmanGrewal ขอบคุณคงจะใจดีเกินไปหากคุณสามารถอ้างแหล่งที่มาของข้อเท็จจริงที่ว่าขนาดขององค์ประกอบในกลุ่มเป้าหมายนั้นใหญ่กว่าองค์ประกอบใน G1 ถึงสองเท่า
Aman Grewal avatar
gb flag
การจับคู่สำหรับผู้เริ่มต้นโดย Craig Costello https://static1.squarespace.com/static/5fdbb09f31d71c1227082339/t/5ff394720493bd28278889c6/1609798774687/PairingsForBeginners.pdf ส่วนที่ 4.2 และ 6.2 มีความเกี่ยวข้องมากที่สุดสำหรับการอ้างสิทธิ์ครั้งล่าสุดนั้น

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา