熊出没之小素数域大集锦
1. 引言
近年来,密码学,特别是零知识证明(ZK证明)领域的进展,极大地推动了对小素数域(≤ 64位素数)的兴趣,因为它们在高效算术和实现方面具有良好的特性。著名的例子包括:
- 广泛使用的Mersenne-31(M31):详情见:
- Polygon团队2023年6月论文《Reed-Solomon codes over the circle group》。
- Goldilocks:详情见:
- NCC Group团队2022年2月论文《EcGFp5: a Specialized Elliptic Curve》。
- Baby Bear:详情见:
- 2023年8月RISC0 zkVM技术白皮书《RISC Zero zkVM: Scalable, Transparent Arguments of RISC-V Integrity》。
- 以及最近引入的Koala Bear:详情见:
- Plonky3库2024年4月PR KoalaBear, a possible alternative to BabyBear (#329)
- 2024年4月hackmd Efficient Prime Fields for Zero-knowledge proof
这些素数表达式如下:
p M 31 = 2 31 − 1 (1.1) p_{M31} = 2^{31} - 1 \tag{1.1} pM31=231−1(1.1)
p G = 2 64 − 2 32 + 1 (1.2) p_G = 2^{64} - 2^{32} + 1 \tag{1.2} pG=264−232+1(1.2)
p B B = 2 31 − 2 27 + 1 (1.3) p_{BB} = 2^{31} - 2^{27} + 1 \tag{1.3} pBB=231−227+1(1.3)
p K B = 2 31 − 2 24 + 1 (1.4) p_{KB} = 2^{31} - 2^{24} + 1 \tag{1.4} pKB=231−224+1(1.4)
它们都属于Solinas素数家族。这些素数因其在性能和结构上的平衡而特别具有吸引力,提供了以下主要优势:
- 1)高 2-adicity。有限域 F q F_q Fq 的2-adicity是能够整除 q − 1 q-1 q−1 的最大2的幂,后者是其乘法群的阶数。在上述素数中:
- Goldilocks具有最高的2-adicity,为 2 32 2^{32} 232 ,
- 而 Koala Bear则具有最低的2-adicity,为 2 24 2^{24} 224 。
- 例外的是M31,只有在扩展到 F p M 31 2 F_{p^2_{M31}} FpM312 并使用阶为 p M 31 + 1 p_{M31} + 1 pM31+1 的circle group时,才能达到实用的2-adicity 2 31 2^{31} 231 。
- 2)现代计算架构偏好适合常见字长(16位、32位或64位)的素数,以实现高效算术。与椭圆曲线密码学或RSA中使用的大素数(通常在数百位之间)相比,小素数显著降低了计算成本。具体来说:
- Baby Bear和Koala Bear被视为32位域,
- 而M31的circle group也是32位,
- 而Goldilocks则是64位域。
- 3)Modular reduction 模约简是域算术的基石,这一操作的效率在不同素数之间有显著差异。
- M31因其无与伦比的效率而脱颖而出,仅需要一次加法即可完成模约简。
- Goldilocks紧随其后,通过使用24-bit limbs 优化得到好处,
- 而Koala Bear和Baby Bear则根据实现策略在效率上有所不同。
虽然这些素数已经得到了广泛的研究和应用,但在选择平衡这些属性的小素数方面仍然有创新的空间。
Ingonyama团队Tomer Solberg 2024年11月论文 《New Bears at the Bear Market: Introducing Polar Bear and Teddy Bear Prime Fields》中提出了两种新的素数:
- 1)Polar Bear
- 2)Teddy Bear
尽管它们在零知识社区中至今鲜有关注,但在2-adicity、小巧性和模算术效率方面展现出强大的潜力,可能会与现有选项竞争或超越它们。
2. Polar Bear
称 p P B = 2 40 − 2 32 + 1 p_{PB} = 2^{40} - 2^{32} + 1 pPB=240−232+1 为Polar Bear素数。它具有高达 2 32 2^{32} 232 的2-adicity,并且仅占用40位(在实现中可能是48位)。
关于算术运算效率的建议,提出了以下的模约简过程:
给定一个数 r r r ,假设它是通过乘两个40位数得到的(因此最大为80位),将它拆分为五个16位的部分:
r = a + 2 16 b + 2 32 c + 2 48 d + 2 64 e (2.1) r = a + 2^{16}b + 2^{32}c + 2^{48}d + 2^{64}e \tag{2.1} r=a+216b+232c+248d+264e(2.1)
注意:
2 48 ≡ 2 8 ( 2 32 − 1 ) ≡ 2 32 − 2 8 − 1 ( mod p P B ) (2.2) 2^{48} \equiv 2^{8}(2^{32} - 1) \equiv 2^{32} - 2^{8} - 1 \ (\text{mod} \ p_{PB}) \tag{2.2} 248≡28(232−1)≡232−28−1 (mod pPB)(2.2)
2 64 ≡ 2 32 − 2 24 − 2 16 − 2 8 − 1 ( mod p P B ) (2.3) 2^{64} \equiv 2^{32} - 2^{24} - 2^{16} - 2^{8} - 1 \ (\text{mod} \ p_{PB}) \tag{2.3} 264≡232−224−216−28−1 (mod pPB)(2.3)
因此可写为:
r = a + 2 8 ( − d − e ) + 2 16 ( b − e ) + 2 24 ( − e ) + 2 32 ( c + d + e ) (2.4) r = a + 2^{8}(-d - e) + 2^{16}(b - e) + 2^{24}(-e) + 2^{32}(c + d + e) \tag{2.4} r=a+28(−d−e)+216(b−e)+224(−e)+232(c+d+e)(2.4)
通过将 c c c 、 d d d 、 e e e 拆分为8位 sublimbs,可以进一步压缩表达式,使得 x = 2 8 x h + x l x = 2^8 x_h + x_l x=28xh+xl ,其中 x = c , d , e x = c, d, e x=c,d,e ,并定义一个8位rotation x r = 2 8 x l + x h x_r = 2^8 x_l + x_h xr=28xl+xh 。然后可写成:
r = ( a − c h − d r − e r ) + 2 16 ( b − e − d h − e r ) + 2 32 ( c l + d l + e l − e h ) (2.5) r = (a - c_h - d_r - e_r) + 2^{16}(b - e - d_h - e_r) + 2^{32}(c_l + d_l + e_l - e_h) \tag{2.5} r=(a−ch−dr−er)+216(b−e−dh−er)+232(cl+dl+el−eh)(2.5)
= r 0 + r 1 2 16 + r 2 2 32 (2.6) = r_0 + r_1 2^{16} + r_2 2^{32} \tag{2.6} =r0+r1216+r2232(2.6)
当然,加法和减法在进行时必须考虑进位,以确保 r 0 r_0 r0 和 r 1 r_1 r1 在区间 [ 2 16 2^{16} 216 ] 内,而 r 2 r_2 r2 在区间 [ 2 8 2^8 28 ] 内。最后,需要执行条件减法,确保结果确实在 [ p P B p_{PB} pPB ] 区间内。
注意:
- 对于安全的域扩展,只需使用立方扩展(给出120位),尽管略低于M31、BabyBear和Koala Bear的四次扩展(124位),但对于大多数需求而言仍能提供足够的安全性。
- 建议使用 F p P B [ x ] / ( x 3 − 3 ) F_{p_{PB}}[x]/(x^3 - 3) FpPB[x]/(x3−3) 作为一种高效且安全的域扩展。
3. Teddy Bear
称 p T B = 2 32 − 2 30 + 1 p_{TB} = 2^{32} - 2^{30} + 1 pTB=232−230+1 为Teddy Bear素数。也可以写成 p T B = 2 31 + 2 30 + 1 = 3 ⋅ 2 30 + 1 p_{TB} = 2^{31} + 2^{30} + 1 = 3 \cdot 2^{30} + 1 pTB=231+230+1=3⋅230+1 。该素数在Hab"ock等人2023年6月论文《Reed-Solomon codes over the circle group》的研究中有所提及,但未能找到其他的提及或应用。很容易看出,这个素数与Baby Bear类似,只是具有更高的2-adicity。
对于高效的域操作,提出了一种新的表示法:
- 将一个数 x ∈ F p T B x \in F_{p_{TB}} x∈FpTB 表示为 x = 3 x 1 + x 0 x = 3x_1 + x_0 x=3x1+x0 ,其中 x 0 ∈ { 0 , 1 , 2 } x_0 \in \{0, 1, 2\} x0∈{0,1,2} 且 x 1 ∈ [ 2 30 ] x_1 \in [2^{30}] x1∈[230] 。
- 注意,这可以用来表示 F p T B F_{p_{TB}} FpTB 中的任何数,除了 -1,因为-1有唯一的表示形式 x 1 = 2 30 − 1 x_1 = 2^{30} - 1 x1=230−1 , x 0 = 3 x_0 = 3 x0=3 (即“全1”)。
在这种表示下的模乘法可以按如下方式进行。给定两个数 x , y ∈ F p T B ∖ { − 1 } x, y \in F_{p_{TB}} \setminus \{-1\} x,y∈FpTB∖{−1} (当然,乘以 -1 的数可以通过简单地从 p T B p_{TB} pTB 中减去它来完成),可以写成:
r = x y = 3 ⋅ ( 3 x 1 y 1 ) + 3 ⋅ ( x 0 y 1 + x 1 y 0 ) + x 0 y 0 (3.1) r = xy = 3 \cdot (3x_1y_1) + 3 \cdot (x_0y_1 + x_1y_0) + x_0y_0 \tag{3.1} r=xy=3⋅(3x1y1)+3⋅(x0y1+x1y0)+x0y0(3.1)
注意:
- 由于 x 0 , y 0 ∈ { 0 , 1 , 2 } x_0, y_0 \in \{0, 1, 2\} x0,y0∈{0,1,2} ,计算 x 0 y 1 x_0y_1 x0y1 、 x 1 y 0 x_1y_0 x1y0 、 x 0 y 0 x_0y_0 x0y0 不需要乘法,甚至不需要加法,只需要进行条件位移。
- 只需要一次乘法来计算 x 1 y 1 x_1y_1 x1y1 。
- 这通过完整的整数乘法完成,得到的60位结果随后被拆分为30位的部分 x 1 y 1 = z 0 + 2 30 z 1 x_1y_1 = z_0 + 2^{30}z_1 x1y1=z0+230z1 。
- 然后有 3 x 1 y 1 = 3 z 0 − z 1 3x_1y_1 = 3z_0 - z_1 3x1y1=3z0−z1 。
- 最终结果可以写成:
r = 3 r 1 + r 0 其中 r 0 = x 0 y 0 ( mod 3 ) (3.2) r = 3r_1 + r_0 \quad \text{其中} \quad r_0 = x_0y_0 \ (\text{mod} \ 3) \tag{3.2} r=3r1+r0其中r0=x0y0 (mod 3)(3.2)
r 1 = 3 z 0 − z 1 + x 0 y 1 + x 1 y 0 + ⌊ x 0 y 0 3 ⌋ (3.3) r_1 = 3z_0 - z_1 + x_0y_1 + x_1y_0 + \left\lfloor \frac{x_0y_0}{3} \right\rfloor \tag{3.3} r1=3z0−z1+x0y1+x1y0+⌊3x0y0⌋(3.3) - 最后,必须执行条件减法,以确保 r 1 ∈ [ 2 30 ] r_1 \in [2^{30}] r1∈[230] 。
注意:
- 这种方法需要较多的逻辑运算与算术运算,因此在GPU上可能不是最优的。然而,对于CPU或ASIC,这种方法可能非常高效。
参考资料
[1] Ingonyama团队Tomer Solberg 2024年11月论文 《New Bears at the Bear Market: Introducing Polar Bear and Teddy Bear Prime Fields》