Score:2

ขนาดขององค์ประกอบกลุ่มในบริบทแบบทวิเนียร์

ธง cn

ใน ไม่สมมาตร บริบทการจับคู่ซึ่งขนาด (เป็นบิต) ควรมีองค์ประกอบของ $\mathbb{G}_1,\mathbb{G}_2$ และ $\mathbb{G}_T$ ถ้าเราพิจารณาเส้นโค้งวงรีที่มีประสิทธิภาพมากที่สุด?

Score:2
ธง ru

ในการเข้ารหัสแบบอิงตามการจับคู่แบบไม่สมมาตร $\mathbb G_1$ โดยปกติจะเป็นกลุ่มย่อยของเส้นโค้งวงรีเหนือฟิลด์เฉพาะ $\mathbb F_q$. องค์ประกอบของกลุ่มนี้มักจะแสดงเป็นคู่ของตัวเลข $(x,y)\in(\mathbb F_q)^2$. ในการคำนวณ จำเป็นต้องใช้ทั้งสองค่า แต่อย่างเช่น $y$ สามารถกู้คืนได้จาก $x$ องค์ประกอบเครื่องหมายสูงสุดมักจะถูกบีบอัดเป็น $x$ ค่าและบิตเพิ่มเติมสำหรับวัตถุประสงค์ในการส่ง สิ่งนี้ต้องการ $\lceil\lg q\rceil+1$ บิต

$\mathbb G_2$ มักเป็นกลุ่มย่อยของเส้นโค้งวงรีที่มีสมการเดียวกันแต่มีจุด $\mathbb F_{q^k}$ ที่ไหน $k$ เป็นเช่นนั้น $\#\mathbb G_1|(q^k-1)$. โดยทั่วไปเช่น $k$ หายาก แต่มีการก่อสร้างพิเศษหลายอย่างที่เหมาะสม $คิว$ และเส้นโค้งสำหรับค่าเฉพาะของ $k$. มีครอบครัวที่ดีโดยเฉพาะอย่างยิ่งที่พบโดย Barreto และ Nehrig สำหรับ $k=12$ ซึ่งทำให้สามารถใช้กลุ่มเส้นโค้งวงรีทั้งหมดได้ $\mathbb G_1$ซึ่งมีประสิทธิภาพเป็นพิเศษ การก่อสร้างทั่วไปก่อนหน้านี้โดย บาร์เรโต ลินน์ และสก็อตต์ เกือบจะมีประสิทธิภาพเท่ากับ $k=12$ และ $k=48$. ทั้งในกรณี BN และ BLS องค์ประกอบของ $\mathbb G_2$ สามารถแสดงเป็นคู่ $(x,y)\in\mathbb (F_{q^k})^2$. การบีบอัดเป็นไปได้อีกครั้งเพื่อให้เท่านั้น $x$ และต้องมีการส่งสัญญาณบิต สิ่งนี้จะต้องใช้ $k\lceil\lg q\rceil+1$ บิต ในกรณี BLS และ BN เราสามารถเลือกได้ $\mathbb G_2$ ในลักษณะที่ว่า $x$ และ $y$ และสามารถหาได้จากจุดบนเส้นโค้งที่สัมพันธ์กัน $\mathbb F_{q^{k/6}}$. ในสถานการณ์ดังกล่าวก็เพียงพอแล้วที่จะส่งองค์ประกอบเดียวของ $\mathbb F_{q^{k/6}}$ และบิตสัญญาณ สิ่งนี้จะต้องใช้ $\frac k6\lceil\lg q\rceil+1$ บิต อย่างไรก็ตามทางเลือกนี้ของ $\mathbb G_2$ เป็น เข้ากันไม่ได้กับการใช้การเข้ารหัสแบบจับคู่ทั้งหมด.

ด้วยทางเลือกดังกล่าวของ $\mathbb G_1$ และ $\mathbb G_2$ การเข้ารหัสที่จับคู่แผนที่ทั้งหมดกับ $\mathbb G_T$ ซึ่งเป็นกลุ่มย่อยแบบทวีคูณ $\mathbb F_{q^k}$ ของการสั่งซื้อ $\#\mathbb G_1$. องค์ประกอบของกลุ่มนี้สามารถเขียนเป็นองค์ประกอบของ $\mathbb F_{q^k}$ ซึ่งใช้เวลา $k\lceil\lg q\rceil$ บิต

ทางเลือกของ $คิว$ และ $k$ จะขึ้นอยู่กับระดับความปลอดภัยที่คุณต้องการให้ระบบที่ใช้การจับคู่ของคุณมี ขนาดของ $\mathbb G_1$ ต้องใหญ่พอที่จะบล็อก ``การโจมตีแบบรากที่สอง'' และขนาด/โครงสร้างของ $\mathbb G_T$ ต้องเพียงพอที่จะป้องกันการโจมตี TNFS ของ คิมและบาร์บาเลสคู. ก ฉบับร่างปี 2019 จาก IETF แนะนำต่อไปนี้ในหัวข้อที่ 4

ความปลอดภัย (เป็นบิต) ขนาดของ $\mathbb G_1$ (uncomp./comp.) ขนาดของ $\mathbb G_2$ (uncomp./comp./BN-BLS เปรียบเทียบ) ขนาดของ $\mathbb G_T$
100 512/257 6144/3073/513(BN256, $k=12$) 3072
128 924/463 11088/5545/925(BN462, $k=12$) 5544
128 922/462 11064/5533/923 (BLS12-461, $k=12$) 5532
128 762/382 9144/4573/763 (BLS12-381, $k=12$) 4572
256 1162/582 55776/27889/4649 (BLS48-581, $k=48$) 27888

โปรดทราบว่านี่เป็นการประมาณการความปลอดภัยแบบดั้งเดิมเท่านั้น และเช่นเดียวกับระบบการจับคู่ทั้งหมด ระบบเหล่านี้ควรได้รับการพิจารณาว่ามีความเสี่ยงต่อคอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัส

Ievgeni avatar
cn flag
ขอบคุณมาก. ฉันมีคำถามคำศัพท์สุดท้ายเกี่ยวกับ "กรณี BLS และ BN": เป็นประเภทที่ 3 หรือไม่
Daniel S avatar
ru flag
ใช่ฉันเชื่อว่าสิ่งเหล่านี้เรียกว่าประเภท 3

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา