前言
上一篇文章中,我们在"F_101"上找到了17个点满足椭圆曲线方程,他们构成一个循环。那么在"F_101"中元素作为坐标的点中还有没有其他的点也满足方程呢?换句话说,上篇文章列出的17个点是不是就是满足方程的全部的解呢?并非如此,比如可以验证(3,38)也满足椭圆曲线的方程,但是他不是上面17个点中的一个。另一个子群
实际上,我们甚至可以通过将(6,44)作为生成元来得到一个102个元素的循环群,这个循环群涵盖了曲线在"F_101"上的全部点。但是,曲线在"F_101"上的循环周期为17的循环群却只有中篇列出的一个,也就是说在"F_101"上讨论的话,循环周期为17的点已经被我们全部找到了。
在中篇中,我们也提到数域的扩张会直接影响我们需要讨论的点的多少,那么如果我们对"F_101"进行扩张,是否能够得到更多的循环周期为17的点呢?METASTATE的博客中给出这样一个例子,我们将用这个例子说明这个命题的真假。首先我们选择满足j^2mod17=15的j用于对"F_101"的扩张,过程就像我们上一篇文章中进行的那样,扩张后的域记为“F_101的二次扩域”。在这个扩张下,我们可以找到另一个循环周期为17的群,下面的表格列出这个群的全部元素:
北京丰台:提高加密等数字货币关键密码技术研发,探索数字金融沙盒实验:金色财经报道,北京市丰台区人民政府印发《“十四五”时期丰台区高精尖产业发展规划》,在金融科技(数字金融)方面,支持中国人民银行数字货币研究所加强技术研发投入,稳妥推进数字人民币试点应用场景建设,提高对称、非对称密码算法、认证和加密等数字货币关键密码技术研发能力,支持数字货币及相关底层平台软硬件系统的架构设计和开发。加强区块链等技术发展,研究网络模型、分布式存储、零知识证明、链上链下协同、监管科技等技术,以应用场景开放推动区块链技术在更大规模的商业场景中落地。探索数字金融沙盒实验等业务监管新模式。[2022/2/19 10:02:38]
我们随机选择(66,0+23j)这个元素来验证其满足曲线方程:
声音 | Peter Schiff:错把PIN当成密码 因此导致钱包被注销:黄金支持者Peter Schiff发推称,我的比特币之谜解开了。我把我的PIN错当成密码了,当区块链更新他们的应用程序时,我被注销了。我试着用我唯一知道的“密码”PIN重新登录。我也从来没有我的seed的副本,这是代价高昂的错误!据悉,Peter Schiff此前表示他失去了所有的BTC,他的钱包不知何故损坏,并且密码不再有效。[2020/1/23]
左侧:y^2mod101=^2mod101=23×15mod101=42
右侧:x^3+3mod101=41^3=3mod101=42
左侧等于右侧,验证完毕。
在发现通过域扩张后还能找到更多的17阶点后,我们不禁会想:
继续对”F_101的二次扩域”进行扩张,能否找到更多的17阶点呢?
或者是:为了找到全部的17阶点,我们需要对F_101进行几次扩张呢?
嵌入度其实就是描述这个问题的一个概念。E是定义在F_101上的椭圆曲线,我们已经有一个包含n=17个点的子群,我们称这个子群的嵌入度是满足17整除q^k-1的最小的k。在这个例子中,k=2。计算嵌入度的价值在于事实证明,当对F_101进行扩张以期其上的椭圆曲线包含全部17阶点时,最小的扩张次数就等于嵌入度。也就是说在”F_101的二次扩域”上,我们已经找到全部的17阶元素。
动态 | 广东省成立“粤港澳可信数字身份密码区块链智库”:据证券日报消息,日前,广东省可信数字身份与密码区块链应用联盟在广州市黄埔区黄埔链谷成功举办“粤港澳可信数字身份密码区块链智库”成立与应用研讨会。据了解,智库主要由国内和粤港澳地区从事“可信数字身份、密码、区块链”专家、粤港澳地区的教育管理部门、高等院校、科研院所、以及企业界等相关领域的专家组成。[2020/1/4]
Millier循环
下面给出计算双线性映射的Millier算法,当计算e(P,Q)时,该算法根据P的坐标创建一个二元多项式,然后将P坐标的x和y分量带入求值:
METASTATE的博客中作者已经计算了e((1,2),(90,82u))点的结果为97+89j。我们给出另外一个计算的例子,并且稍后通过对比这两个例子的结果说明双线性对的一些属性。
动态 | 数字认证:基于所掌握的密码技术,积极研发在区块链的解决方案:数字认证(300579)在互动平台回复投资者提问表示,公司基于所掌握的密码技术,积极研发在区块链的解决方案。我公司是“区块链密码创新联盟”的创始发起单位暨首届理事会成员,区块链密码创新联盟旨在基于符合国家密码管理要求的密码算法,确立安全可靠的区块链协议族;构建开源的安全可靠区块链底层技术和基础支撑平台,为各类区块链应用提供安全可靠的支持。[2019/4/9]
其中f_17是二元的多项式,通过一个称为Millier循环的过程我们可以生成该多项式,这个过程类似于计算指数运算时的mul-and-square操作。但是为了更直观的展示原理,我们选择根据上文定义直接展开计算f_17,这会增加一些计算量。
红烧肉在上海交大的密码学及计算机安全实验室发布了抗量子攻击纲要:红烧肉(HSR)在上海交大的密码学及计算机安全实验室发布了抗量子攻击纲要 。[2017/12/19]
因此我们需要计算
的表达式。通过查询上一篇文章的列表我们可以找出P,±2P,±4P,±8P,±16P的值,其中P=(12,32)=5G:
接下来我们来计算这些直线的方程:
这样我们已经可以计算f_17的结果:
最后我们计算(81+52j)^600
完全解决curve101配对问题
实际上,我们可以计算出GT的生成元e(G1,G2),也就是e((1,2),(36,31j)),其值为7+28j。这样我们能够完全掌握GT中全部的元素:
可以看到GT也是一个循环群,他其实是在“F_101的二次扩域”上满足方程x^17=1的17个根。根据该表我们不加以计算就可以知道这个配对的任何一个计算结果,例如e((12,32),(36,31u))=e(5G1,G2),因此其值就是上表的第5个元素:93+25j。我们之所以能够完全解决curve101的配对问题,是因为curve101的一系列参数决定其足够简单,而实际零知识证明算法中使用的配对就要复杂很多。例如一些标准中要求其配对曲线的嵌入度至少为12,这意味着GT的元素至少是基础素域的12次扩张!如果其素域特征为常见的256位,那么为了表示一个GT元素就需要256*12/8=384字节的大小。对于任何一个实际使用的曲线,其计算复杂度和规模都使我们当前绝无可能计算出其映射表,这也是离散对数问题困难的所在。
通过系列文章,我们计算了一个简单的配对曲线,加深了对双线性映射的理解。后续,我们继续使用这个配对曲线来讲解和演示零知识证明中Groth16算法的过程和原理,敬请期待。
乔沛杨趣链科技基础平台区块链底层密码学小组
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。