椭圆曲线加密概览
椭圆曲线配对是各种构造背后的关键密码原语之一,包括确定性阈值签名,zk-SNARK和其他更简单形式的零知识证明。 椭圆曲线配对(或“双线性图”)是使用椭圆曲线进行加密应用(包括加密和数字签名)已有30年历史的最新成果。 配对引入了一种“加密乘法”形式,极大地扩展了基于椭圆曲线的协议的功能。 本文的目的是详细介绍椭圆曲线配对,并解释其工作原理的概述。
基础概念
椭圆曲线本身是一个不容易理解的话题,本文通常假定您知道它们是如何工作的。 如果您不这样做。 作为简要的总结,椭圆曲线密码学涉及称为“点”的数学对象(这些点是具有(x,y)坐标的文字二维点),并具有用于添加和减去它们的特殊公式(即,用于计算R = P + Q),您也可以将一个点乘以整数(即P * n = P + P +…+ P,但是如果n大的话,有一种更快的计算方法)。
存在一个特殊的点,称为“无穷大点”(O),在点算术中等于零。 P + O = P总是这样。此外,曲线具有“顺序”;存在一个数字n,使得任何P都为P * n = O(当然,P *(n + 1)= P,P *(7 * n + 5)= P * 5,依此类推)。也有一些公认的“生成点” G,从某种意义上说,生成点G代表数字1。理论上,曲线上的任何点(O除外)都可以是G;重要的是G是标准化的。
配对更进一步,它们使您可以检查椭圆曲线点上某些更复杂的方程式-例如,如果P = G * p,Q = G * q和R = G * r,则可以检查是否或不是p * q = r,只有P,Q和R作为输入。似乎椭圆曲线的基本安全保证已被破坏,因为关于p的信息只是从知道P而泄漏的,但事实证明泄漏是高度包含的-特别是,决策Diffie Hellman问题很容易,但是计算Diffie Hellman问题(在上面的示例中知道P和Q,计算R = G * p * q)和离散对数问题(从P中恢复p)在计算上仍然不可行(至少在之前是这样)。
查看配对功能的第三种方法,也许对于我们所使用的大多数用例来说,最能说明问题的是,如果您将椭圆曲线点视为单向加密数字(即,encrypt(p) = p * G = P),则传统的椭圆曲线数学使您可以检查数字的线性约束(例如,如果P = G * p,Q = G * q和R = G * r,则检查5 * P + 7 * Q = 11 * R实际上是在检查5 * p + 7 * q = 11 * r),配对使您可以检查二次约束(例如,检查e(P,Q)* e(G,G * 5)= 1确实在检查p * q + 5 = 0)。上升到二次就足以让我们使用确定性阈值签名,二次算术程序和所有其他好东西。
特性扩展
现在,我们上面介绍的这个有趣的e(P,Q)运算符是什么?这是配对。数学家有时也称它为双线性图。这里的“双线性”一词基本上意味着它满足约束条件:
e(P, Q + R) = e(P, Q) * e(P, R)
e(P + S, Q) = e(P, Q) * e(S, Q)
注意+和可以是任意运算符; 当您创建新颖的新型数学对象时,抽象代数并不关心+和的定义,只要它们以通常的方式保持一致即可。 a + b = b + a,(a * b)* c = a (b * c)和(a * c)+(b * c)=(a + b) c。
如果P,Q,R和S是简单数字,那么进行简单配对很容易:我们可以做e(x,y)= 2 ^ xy。 然后,我们可以看到:
e(3, 4+ 5) = 2^(3 * 9) = 2²⁷
e(3, 4) * e(3, 5) = 2^(3 * 4) * 2^(3 * 5) = 2¹² * 2¹⁵ = 2²⁷
但是,这种简单的配对不适合密码术,因为它们处理的对象是简单的整数,并且太容易分析。 整数使除法,计算对数以及进行其他各种计算变得容易。 简单整数没有“公钥”或“单向函数”的概念。 此外,使用上述配对,您可以倒退-知道x和知道e(x,y),您可以简单地计算除法和对数来确定y。 我们希望数学对象尽可能接近“黑匣子”,您可以在其中加,减,乘和除,而无其他操作。 这是椭圆曲线和椭圆曲线配对出现的地方。
事实证明,可以在椭圆曲线点上绘制双线性图,即得出一个函数e(P,Q),其中输入P和Q是椭圆曲线点,而输出就是所谓的F_p²²元素(至少在特定情况下,我们将在此处进行介绍;具体细节取决于曲线的细节,稍后将对此进行详细说明),但是这样做的背后的数学运算非常复杂。
首先,让我们介绍主要字段和扩展字段。如果您假设曲线方程式是使用规则的实数定义的,则本文前面图片中的漂亮椭圆曲线看起来就是这样。但是,如果我们实际上在密码学中使用规则的实数,则可以使用对数“倒退”,并且一切都会中断。此外,实际存储和表示数字所需的空间量可以任意增加。因此,我们改为在质数字段中使用数字。
素数字段由数字集0、1、2 … p-1组成,其中p是素数,各种运算定义如下:
a + b: (a + b) % p
a * b: (a * b) % p
a - b: (a - b) % p
a / b: (a * b^(p-2)) % p
基本上,所有数学运算都是以p为模的(有关模块化数学的介绍,请参见此处)。 除法是一种特殊情况; 通常,3/2不是整数,在这里我们只想处理整数,因此我们尝试查找x使得x * 2 = 3,其中*当然是指上面定义的模乘。 由于费马定理,上面显示的幂运算可以完成这项工作,但是使用扩展的欧几里得算法还有一种更快的方法。 假设p = 7; 这里有一些例子:
2 + 3 = 5 % 7 = 5
4 + 6 = 10 % 7 = 3
2 - 5 = -3 % 7 = 4
6 * 3 = 18 % 7 = 4
3 / 2 = (3 * 2^5) % 7 = 5
5 * 2 = 10 % 7 = 3
如果您进行这种数学运算,您会发现它是完全一致的,并且满足所有常规规则。上面的最后两个示例显示(a / b)* b = a;您还可以看到(a + b)+ c = a +(b + c),(a + b)* c = a * c + b * c,并且您知道并热爱的所有其他高中代数身份也是如此。实际上,在椭圆曲线中,通常在质数域中计算点和方程。
现在,让我们谈谈扩展字段。您可能之前已经看过扩展字段。在数学教科书中遇到的最常见的示例是复数字段,其中实数字段被“扩展”并带有附加元素sqrt(-1)= i。基本上,扩展字段的工作方式是采用一个现有字段,然后“发明”一个新元素并定义该元素与现有元素之间的关系(在这种情况下,i²+ 1 = 0),请确保该等式对于原始字段中的任何数字,并查看原始字段元素和刚刚创建的新元素的所有线性组合的集合。
我们也可以扩展素数字段。 例如,我们可以用i扩展我们上面描述的素数场mod 7,然后我们可以这样做:
(2 + 3i) + (4 + 2i) = 6 + 5i
(5 + 2i) + 3 = 1 + 2i
(6 + 2i) * 2 = 5 + 4i
4i * (2 + i) = 3 + i
最后的结果可能很难确定。 发生的事情是,我们首先将乘积分解为4i * 2 + 4i * i,得到8i-4,然后因为我们正在用mod 7运算而成为i + 3,因此,除法:
a / b: (a * b^(p^2-2)) % p
请注意,费马定理的指数现在是p²而不是p,但是如果我们再次想提高效率,也可以扩展扩展欧几里得算法来完成这项工作。请注意,对于该字段中的任何x,x ^(p²-1)= 1,因此我们将p²-1称为“该字段中乘法组的阶”。
对于实数,代数基本定理可确保我们称为复数的二次扩展是“完整的”-您不能进一步扩展它,因为对于任何数学关系(至少是由代数公式定义的任何数学关系),您可以在一些新元素j和现有的复数之间得出一个结论,有可能至少提出一个已经满足该关系的复数。但是,对于素数场,我们没有这个问题,因此我们可以进一步进行三次扩展(其中一些新元素w与现有场元素之间的数学关系是三次方程,因此1,w和w²都是线性地彼此独立),高阶扩展,扩展的扩展等。椭圆曲线对正是基于这些增压的模复数。