Elliptic Curve Cryptography (ECC) and Pairings 椭圆曲线密码学与配对

本文是Dan Boneh 和Victor Shoup所写书籍A Graduate Course in Applied Cryptography的笔记。

The group of points of an elliptic curve

最早由Diophantus提出了一个问题：已知二元多项式方程$f(x,y)=0$，如何找到满足方程的有理数点$(x\in Q,y\in Q)$？该问题可以等价于找到满足$y^2=x^3-x+9$的有理数点。

首先可以通过尝试法得到曲线上的几个点$P=(-1,-3),Q=(1,3)$，注意二元方程是根据$x$轴对称的，所以令$-P=(-1,3),-Q=(1,-3)$，它们也是曲线上的点。

Chord method 弦方法

已知曲线上不重合且不对称的两点$P\ne Q,P\ne -Q$，作一条直线$y=3x$。将$y=3x$带入原方程得到一元三次方程$(3x{)}^2=x^3-x+9$，可简单证明有两个不等实根且系数为有理数的一元三次方程，一定有另外一个不等实根，即得曲线上另一点$-R=(9,27)$。Poincare将该计算与群内加法操作联系起来为，定义为$P⊞Q=-R$。

一元三次方程的根

$a{x}^3+b{x}^2+cx+d=0$称为一元三次方程，可化为$x^3+px+q=0$。判别式$\Delta =(\frac{q}{2}{)}^2+(\frac{p}{3}{)}^3$，分为以下情况：

• $\Delta >0$，一个实根两个复根
• $\Delta =0$
  • $p=q=0$，三重零根
  • $p,q\ne 0$，二重根
• $\Delta <0$，三个不等实根

上述两个不等根且系数为有理数的一元三次方程即满足$\Delta <0$的情况，定有第三个不等实根。

Tangent method 切线法

已知不在x轴上的一点，$P=(x,y)=(-1,-3),y\ne 0$，作该点与曲线的切线，可得切点$T=(19/9,-109/27)$，定义这种操作为$P⊞P=T$。

Elliptic curves over finite field

Finite field

F p e = { 0 , 1 , . . . , p e − 1 } \mathbb F_{p^e}=\{0,1,...,p^e-1\} Fpe​={0,1,...,pe−1}：阶为$p^e$的有限域，$p$为素数，$e$为一个正整数。当$e=1$时， F p = { 0 , 1 , . . . , p − 1 } \mathbb F_{p}=\{0,1,...,p-1\} Fp​={0,1,...,p−1}称为素域。

Elliptic curves over finite field

令$O$为曲线上的无穷远点，定义$E({\mathbb{F}}_{p^e})$为定义在${\mathbb{F}}_{p^e}$上且在曲线$E$上的所有点，包括无穷远点$O$。例如：曲线$E:y^2=x^3+1$和${\mathbb{F}}_{11}$，则 E ( F 11 ) = { O , ( − 1 , 0 ) , ( 0 , ± 1 ) , ( 9 , ± 2 ) , ( 6 , ± 3 ) , ( 8 , ± 4 ) , ( 3 , ± 5 ) } E(\mathbb F_{11})=\{O,(-1,0),(0,\pm 1),(9,\pm 2),(6,\pm 3),(8,\pm 4),(3,\pm 5)\} E(F11​)={O,(−1,0),(0,±1),(9,±2),(6,±3),(8,±4),(3,±5)}，$|E({\mathbb{F}}_{p^e})|=12$。Hasse结论：$|E({\mathbb{F}}_{p^e})|=p^e+1-t$，$|t|\le 2\sqrt{p^e}$且为整数。所以$|E({\mathbb{F}}_{p^e})|$约等于$p^e+1$。

Addition law and group

正式定义之前通过已知点求解曲线上其他点的操作$⊞$为加法律，令$P=(x_1,y_1),Q=(x_2,y_2)$：

• 如果$x_1\ne x_2$，用chord method。
• 如果$P=Q$，用tangent method。
• 如果$x_1=x_2,y_1=-y_2$，则定义$P⊞Q=O$

通过定义加法律，集合$E({\mathbb{F}}_{p^e})$和操作$⊞$可以构成一个群，满足：

1. 单位元：$O⊞P=P$
2. 逆：$-P=(x,-y)$
3. 结合律：$(P⊞Q)⊞R=P⊞(Q⊞R)$
4. 封闭性：$ P\boxplus Q\in E(\mathbb F_{p^e})$
5. 交换律（Abelian群）：$P⊞Q=Q⊞P$

我们定义$\alpha P=(\alpha -1)P⊞P$，可以通过repeated squaring算法在$2{\log }_2\alpha$个群操作内计算得到。

Forms of elliptic curves

Weierstrass form

标准Weierstrass form
$$y^2=x^3+ax+b,4a^3+17b^2\ne 0$$
要求$4a^3+17b^2\ne 0$是为了保证方程与$x^3+ax+b=0$没有重根，即曲线与x轴只有一个交点。

Montgomery form

$$B{v}^2=u^3+A{u}^2+u,B(A^2-4)\ne 0$$

$|E({\mathbb{F}}_{p^e})|\mathrm{m}\mathrm{o}\mathrm{d}4=0$。Montgomery曲线可以通过$u=Bx-A/3$和$v=By$转换成Weierstrass曲线，但不是所有Weierstrass曲线都能转换成Montgomery曲线，例如P256曲线。

Edwards form

$$x^2+y^2=1+d{x}^2{y}^2,d\ne 0,1$$

$|E({\mathbb{F}}_{p^e})|\mathrm{m}\mathrm{o}\mathrm{d}4=0$，同样可以通过变换系数转换成Weierstrass曲线。Edwards曲线的特点在于加法律不需要之前提及的chord、tangent三种形式，可以归结为一种：

Elliptic curve cryptography

P256曲线

P256曲线定义在质数$p=2^{256}-2^{224}+2^{192}+2^{96}-1$上，满足标准的Weierstrass形式$y^2=x^3+ax+b,4a^3+17b^2\ne 0$，其中
$$b:=5ac635d8aa3a93e7b3ebbd55769886bc651d06b0cc53b0f63bce3c3e27d2604b$$
$b$是通过伪随机种子$S$产生的，标准指定了一个点$G$生成整个群。因为$p$接近$2^{256}$，所以曲线上的点数量$q$也接近$$2^{256}$$，那么在曲线上计算离散对数需要大约$\sqrt{q}=2^{128}$个群操作，难度至少与AES-128相等。

25519曲线

Twist security

1. Square root
   满足$y^2=x\mathrm{m}\mathrm{o}\mathrm{d}p$的$y\in Z_p$为$x\in Z_p$的square root
2. Quadratic residue
   如果$x\in Z_p^{\ast }$在$Z_p$中有square root，则称其为quadratic residue

设$w\in F_p$为$F_p$中的quadratic non-residue，$E:y^2=x^3+ax+b$，则曲线E的twist为$E^{\prime }:w{y}^2=x^3+ax+b$。Twist安全指离散对数问题在$E$和$E^{\prime }$上均为困难问题，曲线P256无法满足Twist安全，而曲线25519可以。

25519曲线

25519曲线定义在质数$p=2^{255}-19$上，满足Montgomery形式$y^2=x^3+486662x^2+x$，也可转换为Edwards形式$x^2+y^2=1+(121665/121666)x^2{y}^2$。曲线上点的个数是8乘以一个质数，称曲线有余因子(cofactor)8。

Pairing based cryptography

Definition

由双线性(bilinear)可以推出一个重要结论：对于所有的$\alpha ,\beta \in {\mathbb{Z}}_q$，
$$e(g_0^{\alpha },g_1^{\beta })=e(g_0,g_1{)}^{\alpha \beta }=e(g_0^{\beta },g_1^{\alpha })$$

Consequences

1. 当$G_0=G_1$，$G_0$中的DDH问题变得简单。
   给定DDH对$(u,v,w)=(g_0^{\alpha },g_0^{\beta },g_0^{\gamma })$，则可以通过$e(u,v)=e(g_0,w)$判断$y=\alpha \beta$是否成立。间接导致乘法ElGamal加密方案在对称双线性群里不再是语义安全的。
2. 计算$G_0$或$G_1$内的离散对数问题不比计算$G_T$中的难。
   令$u_0=g_0^{\alpha }\in G_0$，我们想要计算离散对数$\alpha$。令$u=e(u_0,g_1),g_T=e(g_0,g_1)$，则$u=e(g_0^{\alpha },g_1)=e(g_0,g_1{)}^{\alpha }=g_T^{\alpha }$，转换为$G_T$中的离散对数问题。因此只要解决$G_T$中的离散对数问题，就能够解决$G_0$或$G_1$中的离散对数问题。

Pairings from elliptic curves

由椭圆曲线$E/{\mathbb{F}}_p$构造的配对有以下性质，设$q$为一质数：

• $G_0$是阶为$q$的$E({\mathbb{F}}_p)$的子群
• $G_1$是阶为$q$的$E({\mathbb{F}}_{p^d})$的子群，$d>0$为一整数，称为曲线嵌入度，且 G 0 ∩ G 1 = { O } G_0\cap G_1=\{O\} G0​∩G1​={O}
• $G_T$是阶为$q$的$E({\mathbb{F}}_{p^d})$的乘法子群

$d\le 16$时，称曲线为配对友好椭圆曲线。

椭圆曲线上的配对函数来自于一种称为Weil配对的代数配对。这个配对可以使用一种由Victor Miller提出的算法进行有效计算，称为Miller算法。在实践中，我们使用Weil配对的变体，称为Tate和Ate配对，此时Miller的算法更有效。

最常见的配对椭圆曲线是bn256和bls381，二者的嵌入度均为$d=12$且群的秩$q$为256-bits的质数。bn256定义在256-bits的质数域上，bls381定义在381-bits的质数域上。