火星链 火星链
Ctrl+D收藏火星链

比特币:密码专栏 | 动手计算双线性对(下)

作者:

时间:1900/1/1 0:00:00

前言

上一篇文章中,我们在"F_101"上找到了17个点满足椭圆曲线方程,他们构成一个循环。那么在"F_101"中元素作为坐标的点中还有没有其他的点也满足方程呢?换句话说,上篇文章列出的17个点是不是就是满足方程的全部的解呢?并非如此,比如可以验证(3,38)也满足椭圆曲线的方程,但是他不是上面17个点中的一个。另一个子群

实际上,我们甚至可以通过将(6,44)作为生成元来得到一个102个元素的循环群,这个循环群涵盖了曲线在"F_101"上的全部点。但是,曲线在"F_101"上的循环周期为17的循环群却只有中篇列出的一个,也就是说在"F_101"上讨论的话,循环周期为17的点已经被我们全部找到了。

在中篇中,我们也提到数域的扩张会直接影响我们需要讨论的点的多少,那么如果我们对"F_101"进行扩张,是否能够得到更多的循环周期为17的点呢?METASTATE的博客中给出这样一个例子,我们将用这个例子说明这个命题的真假。首先我们选择满足j^2mod17=15的j用于对"F_101"的扩张,过程就像我们上一篇文章中进行的那样,扩张后的域记为“F_101的二次扩域”。在这个扩张下,我们可以找到另一个循环周期为17的群,下面的表格列出这个群的全部元素:

卫士通:后期数字货币推广中必然会用到密码技术及相关产品,公司将积极应对新业务带来的市场需求:10月19日消息,卫士通在投资者互动平台表示,数字货币是金融体系的重大改革信号,目前其运行、管理体系属于高度机密。在后期数字货币推广中必然会用到密码技术及相关产品,公司将积极应对新业务带来的市场需求,并做好技术储备。(每日经济新闻)[2021/10/19 20:40:41]

我们随机选择(66,0+23j)这个元素来验证其满足曲线方程:

左侧:y^2mod101=^2mod101=23×15mod101=42

右侧:x^3+3mod101=41^3=3mod101=42

左侧等于右侧,验证完毕。

德国检方没收欺诈者超 1700 枚比特币,但无法破解钱包密码:据路透社报道,德国检方从一名欺诈者手中没收了价值超 1700 枚比特币,但始终无法破解钱包密码。该男子涉嫌在他人电脑上安装秘密软件帮助自己挖矿,因此被控罪入狱服刑 2 年多,并被没收挖矿所得比特币。检察官 Sebastian Murer 表示 ,「我们问过他,但他没说,也许他不知道。」[2021/2/7 19:07:37]

在发现通过域扩张后还能找到更多的17阶点后,我们不禁会想:

继续对”F_101的二次扩域”进行扩张,能否找到更多的17阶点呢?

或者是:为了找到全部的17阶点,我们需要对F_101进行几次扩张呢?

嵌入度其实就是描述这个问题的一个概念。E是定义在F_101上的椭圆曲线,我们已经有一个包含n=17个点的子群,我们称这个子群的嵌入度是满足17整除q^k-1的最小的k。在这个例子中,k=2。计算嵌入度的价值在于事实证明,当对F_101进行扩张以期其上的椭圆曲线包含全部17阶点时,最小的扩张次数就等于嵌入度。也就是说在”F_101的二次扩域”上,我们已经找到全部的17阶元素。

HyperPay钱包引入基于ECDSA算法的门限签名密码技术:据官方消息,HyperPay钱包日前引入了基于ECDSA算法的门限签名高级密码技术,并在高安全硬件密码机中应用,升级钱包链上链下服务安全性能。该套技术方案通过多台HSM加密交互,联合算出最终签名,避免链上多签漏洞,降低链上多签手续费。

这是业内首次实现将TSS技术和HSM技术结合,打造出最高安全等级的托管产品和钱包产品。该技术的应用,可有效规避类似2017年Ethereum爆发的因多签合约漏洞造成的上亿美金损失的案例。[2020/7/22]

Millier循环

下面给出计算双线性映射的Millier算法,当计算e(P,Q)时,该算法根据P的坐标创建一个二元多项式,然后将P坐标的x和y分量带入求值:

声音 | 信息安全研究员:华硕内网密码遭员工泄露至GitHub:据美国科技媒体TechCrunch报道,一名信息安全研究员两个月前向华硕发出警告称,有华硕员工在GitHub代码库中错误地发布了密码。这些密码可以被用于访问该公司的企业内网。据报道,有问题的代码库来自华硕的一名工程师,他将电子邮件帐号密码公开已有至少一年时间。目前,尽管GitHub帐号仍然存在,但这个代码库已被清理。在媒体向华硕告知此事的一天后,包含密码的代码库被下线并清理。不过华硕发言人表示,该公司“无法证实”研究员在邮件中的说法是正确的。“华硕正在积极调查所有系统,消除我们服务器和支持软件的所有已知风险,并确保没有数据泄露。[2019/3/28]

METASTATE的博客中作者已经计算了e((1,2),(90,82u))点的结果为97+89j。我们给出另外一个计算的例子,并且稍后通过对比这两个例子的结果说明双线性对的一些属性。

动态 | 黑客冒充加密货币聊天小组成员,窃取用户密码:据英国SC媒体报道称,安全研究人员发现了MacOS恶意软件攻击,目标是谈论加密货币的Slack和Discord用户。这些攻击通过模仿加密货币相关聊天工具中的管理员或“关键人物”,然后分享给用户下载并执行恶意二进制文件的“小片段”。英国SC媒体公司指出,这些恶意软件可以窃取用户的密码。[2018/7/3]

其中f_17是二元的多项式,通过一个称为Millier循环的过程我们可以生成该多项式,这个过程类似于计算指数运算时的mul-and-square操作。但是为了更直观的展示原理,我们选择根据上文定义直接展开计算f_17,这会增加一些计算量。

因此我们需要计算

的表达式。通过查询上一篇文章的列表我们可以找出P,±2P,±4P,±8P,±16P的值,其中P=(12,32)=5G:

接下来我们来计算这些直线的方程:

这样我们已经可以计算f_17的结果:

最后我们计算(81+52j)^600

完全解决curve101配对问题

实际上,我们可以计算出GT的生成元e(G1,G2),也就是e((1,2),(36,31j)),其值为7+28j。这样我们能够完全掌握GT中全部的元素:

可以看到GT也是一个循环群,他其实是在“F_101的二次扩域”上满足方程x^17=1的17个根。根据该表我们不加以计算就可以知道这个配对的任何一个计算结果,例如e((12,32),(36,31u))=e(5G1,G2),因此其值就是上表的第5个元素:93+25j。我们之所以能够完全解决curve101的配对问题,是因为curve101的一系列参数决定其足够简单,而实际零知识证明算法中使用的配对就要复杂很多。例如一些标准中要求其配对曲线的嵌入度至少为12,这意味着GT的元素至少是基础素域的12次扩张!如果其素域特征为常见的256位,那么为了表示一个GT元素就需要256*12/8=384字节的大小。对于任何一个实际使用的曲线,其计算复杂度和规模都使我们当前绝无可能计算出其映射表,这也是离散对数问题困难的所在。

通过系列文章,我们计算了一个简单的配对曲线,加深了对双线性映射的理解。后续,我们继续使用这个配对曲线来讲解和演示零知识证明中Groth16算法的过程和原理,敬请期待。

乔沛杨趣链科技基础平台区块链底层密码学小组

标签:MODAST比特币MILArbitrage Analysis Beyond CommodityAstroShit闪电比特币局Cryptomillions

比特币行情热门资讯
区块链:融资新闻 | 区块链游戏初创公司Forte完成7.25亿美元B轮融资,a16z、老虎环球基金等参投

11月13日消息,美国区块链游戏初创公司Forte宣布完成7.25亿美元B轮融资,本轮融资由SeaCapital和KoraManagement共同领投.

1900/1/1 0:00:00
元宇宙:摩根士丹利:元宇宙将为数字奢侈品行业创造500亿美元商机

据路透社消息,根据摩根士丹利最近发布一份报告预测,元宇宙风潮可能将在2030年前为奢侈品牌创造500亿美元商机.

1900/1/1 0:00:00
PUR:Shaan Puri对元宇宙的理解有何特殊之处?从罗永浩的博文说起

原标题:《罗永浩宣布上车元宇宙,并转发了这个大V"超过扎克伯格"的观点》11月5日早间,罗永浩转发ShaanPuri关于元宇宙的观点,并表示该观点非常深刻.

1900/1/1 0:00:00
BAAS:证券日报:元宇宙定义尚无定论,拥抱仍需理性

巴比特讯,11月8日,证券日报刊文《元宇宙:定义尚无定论拥抱仍需理性》,提到了科技巨头争相布局元宇宙以及专家对元宇宙的看法.

1900/1/1 0:00:00
区块链:1070个游戏类Dapp已上线部署,一文盘点那些热门的游戏平台

原标题:《育碧入场,a16z和FTX加紧布局的链游赛道里,还有哪些热门的游戏平台》近年来,游戏市场呈现出不断增长的态势,加上新冠疫情的影响进一步提高了用户对游戏娱乐的参与度.

1900/1/1 0:00:00
WOR:隐私计算词典丨一文读懂安全多方计算

前言:隐私计算赛道作为当下的风口赛道,无数企业纷纷涌入,抢跑占道。作为一家专注于区块链隐私计算赛道科普入门的垂直媒体,同时也是针对隐私计算兴趣者开放的低门槛入口,我们汇总并分类了隐私计算行业内晦.

1900/1/1 0:00:00