Pairing friendly curve

2023-10-27 21:02:46

作者：咕噜咕噜
链接：https://zhuanlan.zhihu.com/p/350346362
来源：知乎
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

Pairing在椭圆曲线密码中起着很大的作用，它是许多密码协议的基础。本文的目的是：介绍pairing的基本数学原理，以及实现时应注意的问题。为了方便，我们针对国密算法SM9所指定的曲线（BN曲线）来说明，有关SM9算法的具体描述，可参考SM9标准。首先，从宏观上来看双线性对，它就是这样的一个双线性映射：

$e:\mathbb{G}_1\times\mathbb{G}_2\rightarrow\mathbb{G}_T$ ，其中 $\mathbb{G}_1,\mathbb{G}_2,\mathbb{G}_T$ 是三个群， $\mathbb{G}_1,\mathbb{G}_2$ 是椭圆曲线上的两个子群，而 $\mathbb{G}_T$ 是有限域中的一个乘法子群。所谓“双线性”是指，对于 $g\in\mathbb{G}_1,h\in\mathbb{G}_2，a,b\in\mathbb{Z}$ ，有

$e(g^a,h^b)=e(g,h)^{ab}$ ，这里将 $\mathbb{G}_1,\mathbb{G}_2$ 视为乘法群，当然也可以将其视为加法群，即 $e(ag,bh)=e(g,h)^{ab}$ 。

配对类型：

$\mathbb{G}_1=\mathbb{G}_2$
$\mathbb{G}_1\neq \mathbb{G}_2$ ，但这两个群之间有着一个可以高效计算的同构映射
$\mathbb{G}_1\neq\mathbb{G}_2$ ，不存在可以高效计算的同构映射

首先，我们先来介绍一个定理，它是搞清楚椭圆曲线群结构的基础：

定理：设 $K_0=\mathbb{F}_q$ ， $E：y^2=x^3+ax+b$ ，设 $r$ 是一个素数，且 $r|| \#E(K_0)$ ，定义 $E(K_0)[r]=\{P: rP=\mathcal{O}, P\in E(K_0)\}$ ，易证 $E(K_0)[r]$ 是 $E(K_0)$ 的阶为 $r$ 的子群。假设 $k$ 是满足 $r|q^k-1$ 的最小的正整数（ $k$ 称为是关于 $r$ 的嵌入次数），令 $K=\mathbb{F}_{q^k}$ ，那么 $E(K)[r]$ 是一个 $r^2$ 的子群，而且它同构于两个 $r$ 阶循环群的直积。

这个定理说明了，在基域上所有 $r$ 阶点和 $\mathcal{O}$ 构成 $r$ 阶循环群，然后将域扩张到满足定理中的 $r|q^k-1$ 这个条件，那么这时在扩域上，所有 $r$ 阶点和 $\mathcal{O}$ 构成了一个 $r^2$ 阶的群。而且这个 $r^2$ 阶群是两个循环群的直积，进一步，由于这个群中所有元素的阶（除单位元）都是 $r$ ，我们在这个群中随意找一个 $r$ 阶元 $P_1$ ，由它可生成一个 $r$ 阶子群，然后在这个子群之外再随意找一个 $r$ 阶元 $P_2$ ，那么显然 $P_2$ 也生成了一个 $r$ 阶子群，而且 $P_1,P_2$ 各自生成的子群的交就是单位元，因此，我们按照这个方法继续找 $P_3,P_4,\cdots$ ，这样，我们把 $r^2$ 阶群写成了 $r+1$ 个 $r$ 阶子群的并集，这些 $r$ 阶群的交集是单位元。

A toy example：设 $q=11$ ， $E:y^2=x^3+7x+2$ ，这时可以计算出 $\#E(\mathbb{F}_q)=7$ ，令 $r=7$ ，那么显然 $E(\mathbb{F}_q)[r]$ 是7阶循环群。由于 $r|q^3-1$ ，因此嵌入次数 $k=3$ ，我们利用 $\mathbb{F}_q$ 上的不可约多项式 $f(u)=u^3+u+4$ ，将基域扩张为 $\mathbb{F}_{q^3}=\mathbb{F}_q(u)$ ，根据上面的定理， $\#E(\mathbb{F}_{q^3})[r]=49$ ，而且它可以分成8个7阶循环群的并集，如下图：

在上图中，我们观察，左上角的那个子群中的点的坐标都是在基域上的，而其他子群的点的坐标都是在扩域上的，实际上这个群就是我们在pairing中的 $\mathbb{G}_1$ ，但是 $\mathbb{G}_2$ 是哪个群呢？到目前为止还无法说清楚，见后续哟。

续接上文，本节的主要目的是搞清楚pairing中群 $\mathbb{G}_2$ 是哪个群，上文中说到， $\mathbb{G}_1$ 就是在坐标在基域上的点构成的 $r$ 阶循环子群。

首先，我们先对 $E(K)=E(F_{q^k})$ 中的元素定义以下三个映射：

Frobenius map $\pi_q$ ： $(x,y)\rightarrow (x^q,y^q)$
Trace $Tr$ : $(x,y)\rightarrow (x,y)+(x^q,y^q)+\cdots +(x^{q^{k-1}},y^{q^{k-1}})$
anti-Trace $aTr$ : $P\rightarrow [k]P-Tr(P)$ ，其中 $[k]P$ 表示点乘运算。

现在，我们来看 $\mathbb{G}_1$ 中的点在这些映射下是怎样变化的，首先由于 $\mathbb{G}_1$ 中的点的坐标都是基域 $\mathbb{F}_q$ 上的，因此，在Frobenius映射 $\pi_q$ 下，其中的点都是不动的，即 $\pi_q$ 在 $\mathbb{G}_1$ 上是恒同变换。对于 $P\in E(\mathbb{F}_{q^k})[r]$ ， $Tr(P)=P+\pi_q(P)+\cdots + \pi_q^{k-1}(P)$ ，由于 $\pi(Tr(P))=Tr(P)$ ，这说明 $Tr(P)$ 在 $\pi_q$ 的作用下是不动的，因此， $Tr(P)\in E(\mathbb{F}_q)$ 。又因为 $[r]Tr(P)=\mathcal{O}$ ，因此， $Tr$ 将 $E(\mathbb{F}_{q^k})[r]$ 中所有的点都映射到 $\mathbb{G}_1$ 。到此，我们可以将 $\mathbb{G}_1$ 写为：

$\mathbb{G}_1=E(\mathbb{F}_{q^k})[r]\cap (\text{Ker}(\pi_q-[1]))$

上面定义的Frobenius map在 $\mathbb{G}_1$ 上是恒同映射，但在 $E(\mathbb{F}_{q^k})[r]$ 中的另一个 $r$ 阶子群上，有 $\pi_q(P)=[q]P$ （暂不证明），我们记这个子群为 $\mathcal{G}_2$ ，因此类比于 $\mathbb{G}_1$ 的写法，我们可以将 $\mathcal{G}_2$ 写为：

$\mathcal{G}_2=E(\mathbb{F}_{q^k})[r]\cap (\text{Ker}(\pi_q-[q]))$

而且可以证明，对于 $Q\in \mathcal{G}_2，Tr(Q)=\mathcal{O}$ 。因此在 $E(\mathbb{F}_{q^k})[r]$ 的 $r+1$ 个“花瓣”中，我们找到了两个比较特殊的： $\mathbb{G}_1,\mathcal{G}_2$ ，它们的特殊性体现在上述映射下的性质。上面的讨论可以总结为下图：

其中还有关于anti-Trace的性质，可参考上图，这里先不证明。

到此，我们已经找到了 $E(\mathbb{F}_{q^k})[r]$ 中两个特殊的群，其实这两个群就是pairing所基于的两个群，但我们发现， $\mathcal{G}_2$ 中的点的坐标是在扩域 $\mathbb{F}_{q^k}$ 上的，在实际应用中，往往取 $k=12$ ，这个扩域是非常大的，其上的计算也比较低效。因此，我们去找另一条曲线 $E'$ ，使得它与原曲线 $E$ 同构，既然同构，我们就可以将 $E$ 上的 $\mathcal{G}_2$ 转化为 $E'$ 上某个点坐标在一个较小域上的子群，这样便可以提高计算效率， $E'$ 上的这个子群就是我们真正的 $\mathbb{G}_2$ 。在下一节中，我们来介绍 $\mathcal{G}_2$ 和 $\mathbb{G}_2$ 的关系。

上节中，我们找到了 $E(\mathbb{F}_{q^k})[r]$ 的 $r+1$ 个花瓣中两个较为特殊的，即 $\mathbb{G}_1,\mathcal{G}_2$ ：

$\mathbb{G}_1=E(\mathbb{F}_{q^k})[r]\cap (\text{Ker}(\pi_q-[1]))$

$\mathcal{G}_2=E(\mathbb{F}_{q^k})[r]\cap (\text{Ker}(\pi_q-[q]))$

而且我们说明了上述群写成 $\mathcal{G}_2$ 而非 $\mathbb{G}_2$ 的原因：因为 $\mathcal{G}_2$ 中点的坐标都是在扩域 $\mathbb{F}_{q^k}$ 中，其上的计算量大，导致pairing计算的效率也比较低，因此我们想找另一条曲线 $E'$ ，使得它与原曲线 $E$ 同构，利用这个同构关系，将 $E$ 上的 $\mathcal{G}_2$ 转化为 $E'$ 上的与之同构的子群，这个子群中点的坐标在一个较小的域 $\mathbb{F}_{q^d},d|k$ 上，因此，其上的计算会更快。我们称这样的曲线 $E'$ 为 $E$ 的孪生曲线(twist curve)，或者叫扭曲线。

设 $E:y^2=x^3+ax+b$ ，定义 $E':y^2=x^3+aw^4+bw^6$ ，其中 $w\in \mathbb{F}_{q^k}$ ，则 $E,E'$ 同构（这个可以参考介绍椭圆曲线理论的相关教材）。同构映射为：

$\Phi :E'\rightarrow E :(x',y')\rightarrow (x'/w^2,y'/w^3)$

，所谓两条曲线在 $\mathbb{F}_{q^k}$ 上同构，是指这两条曲线的群结构是同构的，即 $E(\mathbb{F}_{q^k})\cong E'(\mathbb{F}_{q^k})$ ，既然 $E(\mathbb{F}_{q^k})[r]$ 具有“花瓣”结构，因此 $E'(\mathbb{F}_{q^k})[r]$ 同样具有“花瓣”结构，因此，利用这个同构映射，便可将 $E$ 上的 $\mathcal{G}_2$ 转化为 $E'$ 上的某个子群。我们希望的是转化到某个点坐标在较小域 $\mathbb{F}_{q^d}$ 上的子群，然而，我们并不能使 $d$ 任意小，我们当然希望 $d=1$ ，但有定理保证， $d$ 的取值只可能为 $k/2,k/3,k/4,k/6$ 这几个值，显然最好的情况是 $d=k/6$ 。下面我们通过一个简单的例子来说明：

Example：设 $q=103$ ， $E:y^2=x^3+72$ ，则 $\#E(\mathbb{F}_q)=84$ ，我们令 $r=7$ ，计算其嵌入次数 $k=6$ ，因此我们将域扩充至 $\mathbb{F}_{q^6}=\mathbb{F}_q(u)$ ,利用不可约多项式 $u^6+2$ ，计算其孪生曲线 $E':y^2=x^3+72u^6$ ，利用 $E,E'$ 之间的同构关系，我们有下图所示的转化：

图中左侧表示 $E$ 对应的群，右侧表示 $E'$ 对应的群，左侧“花瓣”的左上角就是 $\mathbb{G}_1$ ，右上角就是 $\mathcal{G}_2$ ，利用同构映射，将 $\mathcal{G}_2$ 转化到了 $E'$ 上的子群，这个子群就是真正的 $\mathbb{G}_2$ 。我们将 $\mathcal{G}_2$ 转化到了一个点坐标在 $\mathbb{F}_{q}$ 上的子群，因此我们对应的是 $d=k/6$ 的情况。

在国密算法SM9中所指定的曲线就是对应 $d=k/6$ 的情况，其中 $k=12,d=2$ ，这条曲线属于BN曲线，BN曲线是一族曲线，其曲线参数都可以写成是关于某个变量的函数，这个变量取定一个值时，便生成一条曲线。

Pairing friendly curve：回忆之前的内容，我们每次都是选择一个素数 $r$ ，然后计算其嵌入次数 $k$ ，它是满足 $r|q^k-1$ 的最小的正整数，之后就要将域扩张到 $\mathbb{F}_{q^k}$ ，然后利用孪生曲线，最多可以将域降至 $\mathbb{F}_{q^{k/6}}$ ，这里就有了这样的问题，如果 $k$ 太大，即使除以6仍然会较大，这时pairing计算的效率也会很低，因此我们希望 $k$ 一般较小，这样的曲线称为配对友好的曲线。我们将 $r|q^k-1$ 可以写成 $q^k=1\mod r$ ，因此 $k$ 是 $q$ 在 $\mathbb{Z}_r^*$ 中的阶，如果随机选择一条曲线的话，求出的 $k$ 往往很大，故配对友好曲线需要用特殊的方法来寻找，而非随机生成一条曲线。

码农公寓

相关文章