BLS embedded curves族

1. 引言

以太坊基金会Antonio Sanso 2023年论文 Family of embedded curves for BLS中，展示了源自BLS椭圆曲线的embedded curves。

pairing-friendly curve $E$具有bilinear map $e:{\mathbb{G}}_1\times {\mathbb{G}}_2\to {\mathbb{G}}_T$，其中${\mathbb{G}}_1,{\mathbb{G}}_2$为$E$的distinct prime-order $r$ subgroups，${\mathbb{G}}_T\subset {\mathbb{F}}_{p^k}$并具有相同的order $r$。

当前效率最高的pairing-friendly椭圆曲线为以Barreto、Lynn和Scott命名的BLS曲线[BLS03]。

为减轻ZKP系统中椭圆曲线运算压力，策略之一是选择embedded curves：

• 其base field为pairing曲线的group order，从而对应运算域中的模。
• embedded curves可优化证明生成过程中的运算操作。
• 在 CØCØ [KZM+15]论文中，创建了一种新的（embedded）椭圆曲线——可高效实现密钥交换中所必须的scalar multiplication运算。

BLS12-381[Bow17]由Sean Bowe于2017年引入的pairing-friendly曲线，目前正在由IRTF加密论坛研究小组领导的标准化过程中。BLS12-381曲线广泛用于数字签名和ZKP系统中，包括但不限于：

• ZCash
• Ethereum 2.0
• Anoma
• Skale
• Algorand
• Dfinity
• Chia 等等

当前BLS12-381的embedded curves有：

• Jubjub[ZCa]为由ZCash团队设计的，基于BLS12-381 scalar域${\mathbb{F}}_r$而设计的椭圆曲线。
• 2021年Masson等人[MSZ21]也设计了一种基于BLS12-381 scalar域的椭圆曲线——Bandersnatch。Bandersnatch具有高效endomorphism，支持一种快速scalar multiplication算法——GLV[GLV01]技术。与Jubjub相比，其scalar multiplication运算速度要快42%。

Bandersnatch基于BLS12-381 scalar域${\mathbb{F}}_r$，其seed为$u=-0xd201000000010000=-1\cdot 2^{16}\cdot 906349\cdot 254760293$。

参考资料

[1] Antonio Sanso 2023年论文 Family of embedded curves for BLS