双线性对在密码学中的应用

如果我们关注最近的密码学成就，我们会发现双线性配对作为一种基本的密码学工具经常出现。双线性对是一种二元映射。作为密码算法的构造工具，它被广泛应用于各种区块链平台，如零知识证明、聚合签名等。

本文将分为两章来说明双线性对在密码学中的应用。

本文是第一部分导论，从三个方面进行阐述，第二部分是高级章节，从原理层面进行深入分析。本文是第一部分的导论，从、和三个方面进行阐述。第二部分为高级章节，从原则层面进行深入分析。本文是导论的第一部分，从三个方面进行阐述，第二部分是高级部分，从原理层面进行深入分析。第一部分为导论，从三个方面进行阐述；第二部分为高级部分，从原则层面进行深入分析。

双线性对的研究历史

它在1946年被提出作为一种数学工具（Weil pair）

1946年，法国数学家威尔首次提出双线性对，成为代数几何领域的一个重要概念和研究工具。

最初，双线性配对的概念并不是用来研究密码学的。即使Weil提出双线性配对，现代密码学还没有成为一门系统科学（三年后，C.E. Shannon出版了著名的论文安全理论通信理论，奠定了现代密码学的理论基础，公钥密码术的发展已经超过30年）。

1996年，Menezes、Okamoto和Vanstone提出了mov攻击，通过双线性配对将ECDLP问题简化为DLP问题

在19年热映的电影《罗小黑大战》中，主人公有能力掌控自己的“场”。电影中的“场”指的是一个独享的空间，在这个空间里，一切都可以被支配。

严格地说，双线性映射的函数也有一些相似之处——尽管攻击椭圆曲线系统在离散数域中很难求解，但如果将其映射到一个特定的扩展域并归结为一般的离散对数问题，则相对容易解决。

然而，与攻击ECC系统的目的相反，mov（一种攻击手段，详见本文末尾）最终促进了ECC的发展。

当然，这就是密码学研究攻击方法的目的——毕竟。攻防始终是对立统一的两个方面，这当然是密码学研究攻击方法的初衷——毕竟。

Mov攻击不能影响所有的椭圆曲线，只能攻击参数满足一定条件的曲线。这使得人们在选择椭圆曲线参数时更加谨慎，更加注重抗mov攻击。

目前，在选择椭圆曲线的参数时，我们将考虑避免mov攻击的条件，以使所选参数更加安全。

例如，国家标准SM2椭圆曲线公钥密码体制非常重视mov攻击的可能性。在一般原理的第一部分，附录a的a部分介绍了验证曲线参数抵抗mov攻击的方法，在参数定义的第五部分给出了安全曲线的推荐参数。

2000年，双线性配对开始受到密码学领域的关注。研究成果包括基于身份的密码学（IBE）、三方一轮密钥协商、BLS签名算法等

基于身份的密码体制是公钥密码学的一个研究方向，它直接使用用户身份串作为公钥。我们熟悉这种算法，。基于SM9算法的基于身份的密码体制是公钥密码体制的一个研究方向。它的特点是直接使用标识用户身份的字符串作为公钥。我们熟悉这种算法，。这是国内密码算法中唯一一种基于双线性对的密码算法。基于身份的密码体制是公钥密码体制的一个研究方向。它的特点是直接使用标识用户身份的字符串作为公钥。我们熟悉这种算法，。

三方一轮密钥协商是一种能在一轮交互中完成三方密钥协商的密钥协商协议，其效率高于DH密钥协商。

传统的DH密钥协商可以完成对之间的密钥协商。虽然三方之间的关键协议可以通过多轮谈判完成，但增加了沟通的复杂性。

基于双线性配对，三方之间的密钥协商可以通过一轮通信完成，大大降低了通信复杂度。

BLS签名是由Boneh、Lynn和shacham基于双线性映射构造的一个短签名方案。它的一个特点是可以用来构造聚合签名。

除了以上具有代表性的结果外，双线性对在各个方面也有很多成果，如可信平台模块规范中推荐了可信计算组Ecdaa、ZK Snark、SGX和EPID。除了上述具有代表性的成果外，双线性配对还具有很多方面的成果，如可信平台模块规范中推荐的可信计算组Ecdaa、ZK Snark、SGX和EPID。可以证明，除了上述具有代表性的结果外，双线性对也有很多方面的成果，如可信平台模块规范中推荐的可信计算组Ecdaa、ZK Snark、SGX和EPID。除上述结果外，如可信组和计算组Ecdaa，ZK Snark，SGX和EPID在可信平台模块规范中被推荐。

双线性对的应用

双线性配对虽然有着大量的应用，但空间有限，本文选取和作为例子。虽然双线性对在一轮三方密钥交换中有大量的应用，但由于空间有限，本文选取和作为例子。虽然SM9数字签名算法有大量的应用案例，但空间有限，本文选取和为例。

在这一部分，算法过程是分开的，对算法原理的分析不多，因为不了解双线性对就很难理解这些算法。

我们建议读者先简单阅读这部分内容，了解算法的功能，然后再回来品尝算法之美。在阅读了下一部分双线性对的性质介绍之后，我们建议读者阅读这部分内容，简单地了解一下算法的功能，然后再回来领略算法的美妙之处。

三方一轮密钥交换

密钥交换，也称为密钥协议，是一种允许参与者通过在公共信道上交换一些信息来建立共享密钥的加密协议。

椭圆曲线群上的DH（ecdh）是基于椭圆曲线群是循环群的性质。

如下图所示：

1用户a生成随机数a，计算AG，并将AG发送给另一方

2用户B生成随机数B，计算BG，并将BG发送给另一方

3A和B使用手头的信息计算ABG作为协商密钥，因为ABG=bag

上述DH算法可以很容易地完成双方密钥协商，但很难满足三方密钥协商场景的需要。

利用双线性配对，只需一次通信就可以完成密钥协商。

如下图所示：

1A选择一个随机数A，计算AG，并将结果发送给B和C

2B选择随机数B，计算BG，并将结果发送给a和C

3C选择随机数C，计算CG，并将结果发送给a和B

4计算A?（BG，CG）

5B计算B?（AG，CG）

6C计算C?（AG，BG）

A、 B和C计算的结果是协商的关键。该协议是双线性配对在密码学中的首次积极应用。

SM9数字签名算法

SM9识别密码算法包括三个部分，我们重点研究。数字签名算法SM9识别密码算法包括三个部分，我们主要研究。密钥协商算法SM9识别密码算法包括三个部分，我们重点研究。加解密算法SM9识别算法包括三个部分，我们主要关注。数字签名算法SM9识别密码算法包括三个部分，我们主要研究。

与传统的签名算法不同，用户随机选择私钥，然后计算出公钥。SM9可以实现用户指定的公钥，密钥生成中心通过公钥计算出私钥。

这样，一些有意义的字符串，如ID号、电子邮件地址等，可以作为用户公钥使用，这样用户信息就可以直接反映在公钥中，这也是IBC的含义。

签名算法包括参数生成、密钥生成、签名和验证几个步骤。与一般的签名验证不同，密钥生成分为两个部分：主密钥生成和用户密钥生成。主私钥由密钥生成中心（KGC）保存。

由此可见，它在三方一轮密钥协商和SM9签名验证中起着重要作用。在不知道这两种算法的含义的情况下理解这两种算法是不现实的，而且这种映射是完全相同的。⻕可以看出，它在三方一轮密钥协商和SM9签名验证中起着重要作用。在不知道这两种算法的含义的情况下理解这两种算法是不现实的，而且这种映射是完全相同的。⻕可以看出，它在三方一轮密钥协商和SM9签名验证中起着重要作用。在不知道这两种算法的含义的情况下理解这两种算法是不现实的，而且这种映射是完全相同的。⻕可以看出，它在三方一轮密钥协商和SM9签名验证中起着重要作用。在不知道这两种算法的含义的情况下理解这两种算法是不现实的，而且这种映射是完全相同的。本文的核心是：双线性映射在三方轮密钥协商和SM9签名验证中起着重要作用。在不知道这两种算法的含义的情况下理解这两种算法是不现实的，而且这种映射是完全相同的。

⻕的计算是一种计算复杂度很高的运算。我们不打算介绍它的原理和细节。读者只需要知道一些性质就可以理解上面两个例子的思想。⻕的计算是一种计算复杂度很高的运算。我们不打算介绍它的原理和细节。读者只需要知道一些性质就可以理解上面两个例子的思想。⻕的计算是一种计算复杂度很高的运算。我们不打算介绍它的原理和细节。读者只需要知道一些性质就可以理解上面两个例子的思想。

由于篇幅有限，下一部分将对其进行介绍。在下一章的开始，我们将帮助读者理解什么是双线性，然后回顾以上两种算法，介绍和分析它们的思想和原理。由于空间的关系，下一部分将介绍双线性映射的性质。在下一章的开始，我们将帮助读者理解什么是双线性，然后回顾以上两种算法，介绍和分析它们的思想和原理。

更精彩，请期待下一部分

如有任何问题，欢迎与我们讨论

术语解释

MOV攻击

它又称mov协议攻击，是Menezes、Okamoto和Vanstone提出的椭圆曲线离散对数问题（ECDLP）的有效解决方案。通过双线性对，将椭圆曲线上的离散对数问题归结为乘性群上的离散对数问题。ECDLP可按次指数级计算。

▲DLP公司

离散对数问题。例如，很容易找到mod×5×9的乘法结果。当模是一个大素数时，这个问题很难解决。

▲ECDLP公司

椭圆曲线离散对数问题。例如，已知P和Q是两个椭圆曲线点，加四个P求Q，则P和Q通过加几个P求Q的问题就是椭圆曲线离散对数问题。当选定的曲线满足一定要求时，问题就比较困难。

参考文献和推荐阅读资料

[1] CL签名

https://www.iacr.org/archive/crypto2004/31520055/cl04.pdf

[2] 成对友好曲线（RFC草案）

https://tools.ietf.org/pdf/draft-irtf-cfrg-pairing-friendly-curves-07.pdf

[3] 三方一轮密钥交换

https://xueshu.baidu.com/usERCenter/paper/show？paperid=5521a92e88e750ae92df7b1cd8287452site=xueshu_uSE

[4] 双线性配对研究综述

http://jos.org.cn/ch/reader/createpdf.aspx？文件编号=3651jos

[5] 基于BN曲线的双线性配对的实现

https://cryptojedi.org/papers/dclxvi-20100714.pdf

[6] SM9识别密码算法gmt0044

http://www.gmbz.org.cn/main/viewfile/201801100249000801385.html