ในการเข้ารหัสแบบอิงตามการจับคู่แบบไม่สมมาตร $\mathbb G_1$ โดยปกติจะเป็นกลุ่มย่อยของเส้นโค้งวงรีเหนือฟิลด์เฉพาะ $\mathbb F_q$. องค์ประกอบของกลุ่มนี้มักจะแสดงเป็นคู่ของตัวเลข $(x,y)\in(\mathbb F_q)^2$. ในการคำนวณ จำเป็นต้องใช้ทั้งสองค่า แต่อย่างเช่น $y$ สามารถกู้คืนได้จาก $x$ องค์ประกอบเครื่องหมายสูงสุดมักจะถูกบีบอัดเป็น $x$ ค่าและบิตเพิ่มเติมสำหรับวัตถุประสงค์ในการส่ง สิ่งนี้ต้องการ $\lceil\lg q\rceil+1$ บิต
$\mathbb G_2$ มักเป็นกลุ่มย่อยของเส้นโค้งวงรีที่มีสมการเดียวกันแต่มีจุด $\mathbb F_{q^k}$ ที่ไหน $k$ เป็นเช่นนั้น $\#\mathbb G_1|(q^k-1)$. โดยทั่วไปเช่น $k$ หายาก แต่มีการก่อสร้างพิเศษหลายอย่างที่เหมาะสม $คิว$ และเส้นโค้งสำหรับค่าเฉพาะของ $k$. มีครอบครัวที่ดีโดยเฉพาะอย่างยิ่งที่พบโดย Barreto และ Nehrig สำหรับ $k=12$ ซึ่งทำให้สามารถใช้กลุ่มเส้นโค้งวงรีทั้งหมดได้ $\mathbb G_1$ซึ่งมีประสิทธิภาพเป็นพิเศษ การก่อสร้างทั่วไปก่อนหน้านี้โดย บาร์เรโต ลินน์ และสก็อตต์ เกือบจะมีประสิทธิภาพเท่ากับ $k=12$ และ $k=48$. ทั้งในกรณี BN และ BLS องค์ประกอบของ $\mathbb G_2$ สามารถแสดงเป็นคู่ $(x,y)\in\mathbb (F_{q^k})^2$. การบีบอัดเป็นไปได้อีกครั้งเพื่อให้เท่านั้น $x$ และต้องมีการส่งสัญญาณบิต สิ่งนี้จะต้องใช้ $k\lceil\lg q\rceil+1$ บิต ในกรณี BLS และ BN เราสามารถเลือกได้ $\mathbb G_2$ ในลักษณะที่ว่า $x$ และ $y$ และสามารถหาได้จากจุดบนเส้นโค้งที่สัมพันธ์กัน $\mathbb F_{q^{k/6}}$. ในสถานการณ์ดังกล่าวก็เพียงพอแล้วที่จะส่งองค์ประกอบเดียวของ $\mathbb F_{q^{k/6}}$ และบิตสัญญาณ สิ่งนี้จะต้องใช้ $\frac k6\lceil\lg q\rceil+1$ บิต อย่างไรก็ตามทางเลือกนี้ของ $\mathbb G_2$ เป็น เข้ากันไม่ได้กับการใช้การเข้ารหัสแบบจับคู่ทั้งหมด.
ด้วยทางเลือกดังกล่าวของ $\mathbb G_1$ และ $\mathbb G_2$ การเข้ารหัสที่จับคู่แผนที่ทั้งหมดกับ $\mathbb G_T$ ซึ่งเป็นกลุ่มย่อยแบบทวีคูณ $\mathbb F_{q^k}$ ของการสั่งซื้อ $\#\mathbb G_1$. องค์ประกอบของกลุ่มนี้สามารถเขียนเป็นองค์ประกอบของ $\mathbb F_{q^k}$ ซึ่งใช้เวลา $k\lceil\lg q\rceil$ บิต
ทางเลือกของ $คิว$ และ $k$ จะขึ้นอยู่กับระดับความปลอดภัยที่คุณต้องการให้ระบบที่ใช้การจับคู่ของคุณมี ขนาดของ $\mathbb G_1$ ต้องใหญ่พอที่จะบล็อก ``การโจมตีแบบรากที่สอง'' และขนาด/โครงสร้างของ $\mathbb G_T$ ต้องเพียงพอที่จะป้องกันการโจมตี TNFS ของ คิมและบาร์บาเลสคู. ก ฉบับร่างปี 2019 จาก IETF แนะนำต่อไปนี้ในหัวข้อที่ 4
ความปลอดภัย (เป็นบิต) |
ขนาดของ $\mathbb G_1$ (uncomp./comp.) |
ขนาดของ $\mathbb G_2$ (uncomp./comp./BN-BLS เปรียบเทียบ) |
ขนาดของ $\mathbb G_T$ |
100 |
512/257 |
6144/3073/513(BN256, $k=12$) |
3072 |
128 |
924/463 |
11088/5545/925(BN462, $k=12$) |
5544 |
128 |
922/462 |
11064/5533/923 (BLS12-461, $k=12$) |
5532 |
128 |
762/382 |
9144/4573/763 (BLS12-381, $k=12$) |
4572 |
256 |
1162/582 |
55776/27889/4649 (BLS48-581, $k=48$) |
27888 |
โปรดทราบว่านี่เป็นการประมาณการความปลอดภัยแบบดั้งเดิมเท่านั้น และเช่นเดียวกับระบบการจับคู่ทั้งหมด ระบบเหล่านี้ควรได้รับการพิจารณาว่ามีความเสี่ยงต่อคอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัส