双线性映射
双线性映射
文章目录
- 双线性映射
-
- 1 离散对数系统
-
- 1.1 指标
- 1.2 离散对数(DLP)
- 2 双线性映射
- 3 Diffie-Hellman 问题(DHP)
-
- 3.1 Diffie-Hellman 密钥交换
- 3.2 q-Strong Diffie-Hellman(q-SDH)
1 离散对数系统
1.1 指标
定义:设 p p p 是一素数, a a a 是 p p p 的原本根,则 a , a 2 , … , a p − 1 a,a^2,\ldots,a^{p-1} a,a2,…,ap−1 产生出的 1 ∼ p − 1 1\thicksim p-1 1∼p−1 之间所有的值,且每一值只出现一次,即对于 ∀ b ∈ { 1 , … , p − 1 } \forall b \in\{1,\ldots,p-1\} ∀b∈{1,…,p−1} 都唯一存在 i ( 1 ≤ i ≤ p − 1 ) i(1\leq i\leq p-1) i(1≤i≤p−1) ,使得 b ≡ a i m o d p b\equiv a^i\:mod\:p b≡aimodp 。称 i i i 为模 p p p 下以 a a a 为底 b b b 的指标,记作 i = i n d a , p ( b ) i=ind_{a,p}(b) i=inda,p(b) 。
性质:(1) i n d a , p ( 1 ) = 0 {ind}_{a,p}(1) = 0 inda,p(1)=0 ;
(2) i n d a , p ( a ) = 1 {ind}_{a,p}(a) = 1 inda,p(a)=1 。
定理:若 a z ≡ a p m o d p a^z\equiv a^p\:mod\:p az≡apmodp ,其中 p p p 为素数, a a a 为 p p p 的原本根,则有 z ≡ q m o d φ ( p ) z\equiv q\:mod\:\varphi(p) z≡qmodφ(p) 。
性质:(3) i n d a , p ( x y ) = [ i n d a , p ( x ) + i n d a , p ( y ) ] m o d φ ( p ) {ind}_{a,p}(xy)=[{ind}_{a,p}(x)+{ind}_{a,p}(y)]\:mod\:\varphi(p) inda,p(xy)=[inda,p(x)+inda,p(y)]modφ(p) ;
(4) i n d a , p ( y r ) = [ r × i n d a , p ( y ) ] m o d φ ( p ) {ind}_{a,p}(y^r)=[r\times{ind}_{a,p}(y)]\:mod\:\varphi(p) inda,p(yr)=[r×inda,p(y)]modφ(p) 。
1.2 离散对数(DLP)
设 p p p 是一素数, a a a 是 p p p 的原本根,则 a , a 2 , … , a p − 1 a,a^2,\ldots,a^{p-1} a,a2,…,ap−1 产生出的 1 ∼ p − 1 1\thicksim p-1 1∼p−1 之间所有的值,且每一值只出现一次,即对于 ∀ b ∈ { 1 , … , p − 1 } \forall b \in\{1,\ldots,p-1\} ∀b∈{1,…,p−1} 都唯一存在 i ( 1 ≤ i ≤ p − 1 ) i(1\leq i\leq p-1) i(1≤i≤p−1) ,使得 b ≡ a i m o d p b\equiv a^i\:mod\:p b≡aimodp 。称 i i i 为模 p p p 下以 a a a 为底 b b b 的离散对数,记作 i ≡ l o g a ( b ) ( m o d p ) i\equiv {log}_a(b)(mod\:p) i≡loga(b)(modp) 。
当 a 、 p 、 i a、p、i a、p、i 已知时,用快指数算法可以比较容易的=地求出 b b b ,但是如果已知 a 、 b a、b a、b 和 p p p ,求 i i i 则非常困难。目前已知的最快的求离散对数算法的事件复杂度为: O ( e x p ( l n p ) 1 3 l n ( l n p ) 2 3 ) O(exp(ln\:p)^{\frac{1}{3}}ln(ln\:p)^{\frac{2}{3}}) O(exp(lnp)31ln(lnp)32) 所以当 p p p 很大时,该算法也不可行。
2 双线性映射
设 q q q 是一大素数, G 1 \mathbb{G}_1 G1 和 G 2 \mathbb{G}_2 G2 是两个阶为 q q q 的群,其上的运算分别为加法和乘法。 G 1 \mathbb{G}_1 G1 到 G 2 \mathbb{G}_2 G2 的双线性映射 e : G 1 × G 1 → G 2 e:\mathbb{G}_1\times\mathbb{G}_1\rightarrow\mathbb{G}_2 e:G1×G1→G2 ,满足下面的性质:
(1)双线性:如果对任意 P , Q , R ∈ G 1 P,Q,R\in \mathbb{G}_1 P,Q,R∈G1 和 a , b ∈ Z a,b\in Z a,b∈Z ,有 e ( a P , b Q ) = e ( P , Q ) a b e(aP,bQ)=e{(P,Q)}^{ab} e(aP,bQ)=e(P,Q)ab ,或 e ( P + Q , R ) = e ( P , R ) ⋅ ( Q , R ) e(P+Q,R)=e(P,R)\cdot(Q,R) e(P+Q,R)=e(P,R)⋅(Q,R) 和 e ( P , Q + R ) = e ( P , Q ) ⋅ ( P , R ) e(P,Q+R)=e(P,Q)\cdot(P,R) e(P,Q+R)=e(P,Q)⋅(P,R) ,那么就称该映射为双线性映射。
(2)非退化性:映射不把 e : G 1 × G 1 e:\mathbb{G}_1\times\mathbb{G}_1 e:G1×G1 中所有元素对(即序偶)映射到 G 2 \mathbb{G}_2 G2 中的单位元。由于 G 1 、 G 2 \mathbb{G}_1、\mathbb{G}_2 G1、G2 都是阶为素数的群,这意味着:如果 P P P 是 G 1 \mathbb{G}_1 G1 的生成元,那么 e ( P , P ) e(P,P) e(P,P) 就是 G 2 \mathbb{G}_2 G2 的生成元。
(3)可计算性:对任意 P , Q ∈ G 1 P,Q\in \mathbb{G}_1 P,Q∈G1 ,存在一个有效算法计算 e ( P , Q ) e(P,Q) e(P,Q) 。
3 Diffie-Hellman 问题(DHP)
3.1 Diffie-Hellman 密钥交换
Diffie-Hellman 密钥交换过程,其中 p p p 是大素数, a a a 是 p p p 的本原根, p p p 和 a a a 作为公开的全程元素。用户A选择一个保密的随机整数 X A X_A XA ,并将 Y A = a X A m o d p Y_A =a^{X_A}\:mod\:p YA=aXAmodp 发送给用户B。类似的,用户B选择一个保密随机数 X B X_B XB ,并将 Y B = a X B m o d p Y_B =a^{X_B}\:mod\:p YB=aXBmodp 发送给用户A。然后A和B分别由 K = Y B X A m o d p K=Y_B^{X_A}\:mod\:p K=YBXAmodp 和 K = Y A X B m o d p K=Y_A^{X_B}\:mod\:p K=YAXBmodp 计算出的就是共享密钥。
因为 X A , X B X_A,X_B XA,XB 是保密的敌手只能得到 p , a , Y A , Y B p,a,Y_A,Y_B p,a,YA,YB ,想要得到 K K K ,则必须得到 X A , X B X_A,X_B XA,XB 中的一个,这意味着要解离散对数。因此求 K K K 是不可行的。
3.2 q-Strong Diffie-Hellman(q-SDH)
假设 g g g 是 G \mathbb{G} G 的生成元, a ∈ Z p a\in\mathbb{Z}_p a∈Zp ,我们说如果给定 q + 1 q+1 q+1 元组 ( g , g a , g a 2 , … , g a q ) (g,g^a,g^{a^2},\ldots,g^{a^q}) (g,ga,ga2,…,gaq) ,计算一个对 ( g 1 / a + x , x ) x ∈ Z p ∗ (g^{1/{a+x}},x)\qquad x\in\mathbb{Z}_p^* (g1/a+x,x)x∈Zp∗ 是困难的。