密碼專欄 | 動手計算雙線性對（下）_PAS:AST

前言

上一篇文章中，我們在"F_101"上找到了17個點滿足橢圓曲線方程，他們構成一個循環。那么在"F_101"中元素作為坐標的點中還有沒有其他的點也滿足方程呢？換句話說，上篇文章列出的17個點是不是就是滿足方程的全部的解呢？并非如此，比如可以驗證(3,38)也滿足橢圓曲線的方程，但是他不是上面17個點中的一個。另一個子群

實際上，我們甚至可以通過將(6,44)作為生成元來得到一個102個元素的循環群，這個循環群涵蓋了曲線在"F_101"上的全部點。但是，曲線在"F_101"上的循環周期為17的循環群卻只有中篇列出的一個，也就是說在"F_101"上討論的話，循環周期為17的點已經被我們全部找到了。

在中篇中，我們也提到數域的擴張會直接影響我們需要討論的點的多少，那么如果我們對"F_101"進行擴張，是否能夠得到更多的循環周期為17的點呢？METASTATE的博客中給出這樣一個例子，我們將用這個例子說明這個命題的真假。首先我們選擇滿足j^2mod17=15的j用于對"F_101"的擴張，過程就像我們上一篇文章中進行的那樣，擴張后的域記為“F_101的二次擴域”。在這個擴張下，我們可以找到另一個循環周期為17的群，下面的表格列出這個群的全部元素：

在線密碼管理平臺LastPass遭集體訴訟，被指控因數據泄露致超5萬美元的比特幣被盜:1月5日消息，一位被稱為John Doe的未透露姓名的原告代表其他類似情況的原告在美國馬薩諸塞州地方法院向在線密碼管理平臺LastPass提起集體訴訟，指控LastPass的數據泄露導致價值約5.3萬美元的比特幣被盜，原告聲稱他于2022年7月開始累積BTC，并根據LastPass最佳實踐的建議使用密碼生成器將主密碼更新為12個字符以上，然而在2022年感恩節周末或前后，原告的比特幣使用他存儲在被告LastPass的私鑰被盜。

此前消息，去年12月LastPass披露稱，未經授權的一方獲得了對第三方云存儲服務的訪問權限，LastPass使用該服務存儲其生產數據的存檔備份。[2023/1/5 10:23:08]

CBC100 | 劉昌用：密碼共識：為密碼經濟奠基:2021年1月28日，金色財經·《CBC100》直播間特邀北京大學經濟學博士劉昌用帶來主題分享《密碼共識：為密碼經濟奠基》。劉老師提到，密碼共識是非對稱密碼加分布式共識，它解決了互聯網經濟面臨的兩大問題：非對稱密碼解決了信息安全問題，分布式共識解決了信息壟斷問題。而要實現非對稱密碼和分布式共識，就要朝著兩個方向推進，一是個人要掌握私鑰，二是緊緊抓住去中心化的優勢。密碼經濟是區塊鏈變革的核心，是互聯網經濟的下一個時代。[2021/1/28 14:14:07]

我們隨機選擇(66,0+23j)這個元素來驗證其滿足曲線方程：

左側：y^2mod101=^2mod101=23×15mod101=42

右側：x^3+3mod101=41^3=3mod101=42

全國密碼創新大賽為獲獎團隊頒發數字人民幣獎金138萬元:10月26日，“金融密碼杯”2020全國密碼應用和技術創新大賽頒獎在蘇州舉行。央行副行長范一飛及評審指導小組成員為獲獎團隊頒發了數字人民幣獎金，獲獎團隊來自建信金融科技公司、北京郵電大學等，由此計算此次共發出數字人民幣獎金138萬元。（21世紀經濟）[2020/10/27]

左側等于右側，驗證完畢。

在發現通過域擴張后還能找到更多的17階點后，我們不禁會想：

繼續對”F_101的二次擴域”進行擴張，能否找到更多的17階點呢？

或者是：為了找到全部的17階點，我們需要對F_101進行幾次擴張呢？

嵌入度其實就是描述這個問題的一個概念。E是定義在F_101上的橢圓曲線，我們已經有一個包含n=17個點的子群，我們稱這個子群的嵌入度是滿足17整除q^k-1的最小的k。在這個例子中，k=2。計算嵌入度的價值在于事實證明，當對F_101進行擴張以期其上的橢圓曲線包含全部17階點時，最小的擴張次數就等于嵌入度。也就是說在”F_101的二次擴域”上，我們已經找到全部的17階元素。

愛爾蘭販因被其房東扔掉密碼損失價值5900萬美元的比特幣:2月29日消息，愛爾蘭販Dubliner Clifton Collins已損失了5500萬歐元（5900萬美元）的比特幣，原因是他的房東不小心扔掉了一個裝有存取他錢包密碼的箱子。在2011年至2012年期間，Collins利用非法種植和出售大麻獲得的資金積累了一筆比特幣財富。Collins購買了超過6000枚比特幣，當時的交易價格還不到5美元。Collins因持有和出售大麻于2017年被捕，并被判處5年監禁。在被捕之前，他把12個獨立的比特幣錢包的密碼藏在一魚竿盒里，每個錢包里裝有500枚比特幣。這個箱子被存放在其出租房里。柯林斯的房東最終在他服刑期間把他的大部分財產都送到了當地的垃圾填埋場，包括裝有密碼的魚竿盒。盡管愛爾蘭犯罪資產局(CAB)已經沒收了這12個賬戶，但沒有這些密碼，無法獲得這些價值5500萬歐元的比特幣。（CryptoGlobe ）[2020/3/1]

Millier循環

聲音 | 海淀區檢察院白磊：需加強基層治理機構人員對于區塊鏈和密碼技術的認識:據光明網消息，日前，我國首部《密碼法》審議通過，并將于2020年1月1日起施行。北京市海淀區檢察院第二檢察部檢察官白磊表示，數字貨幣出現之后，隨之引發的區塊鏈網絡安全隱患、數字貨幣管理體系建設等新情況，都需要專業技術領域的人才來分析應對。需要提升履行監管人員的區塊鏈密碼專業技術知識背景，通過建立一套成熟的監管和應用預案，加強基層治理機構人員對于區塊鏈和密碼技術的認識，提升監管治理水平和能力。[2019/11/28]

下面給出計算雙線性映射的Millier算法，當計算e(P,Q)時，該算法根據P的坐標創建一個二元多項式，然后將P坐標的x和y分量帶入求值：

METASTATE的博客中作者已經計算了e((1,2),(90,82u))點的結果為97+89j。我們給出另外一個計算的例子，并且稍后通過對比這兩個例子的結果說明雙線性對的一些屬性。

其中f_17是二元的多項式，通過一個稱為Millier循環的過程我們可以生成該多項式，這個過程類似于計算指數運算時的mul-and-square操作。但是為了更直觀的展示原理，我們選擇根據上文定義直接展開計算f_17，這會增加一些計算量。

因此我們需要計算

的表達式。通過查詢上一篇文章的列表我們可以找出P，±2P，±4P，±8P,±16P的值,其中P=(12，32)=5G：

接下來我們來計算這些直線的方程：

這樣我們已經可以計算f_17的結果：

最后我們計算(81+52j)^600

完全解決curve101配對問題

實際上，我們可以計算出GT的生成元e(G1,G2)，也就是e((1,2),(36,31j))，其值為7+28j。這樣我們能夠完全掌握GT中全部的元素：

可以看到GT也是一個循環群，他其實是在“F_101的二次擴域”上滿足方程x^17=1的17個根。根據該表我們不加以計算就可以知道這個配對的任何一個計算結果，例如e((12,32),(36,31u))=e(5G1,G2),因此其值就是上表的第5個元素：93+25j。我們之所以能夠完全解決curve101的配對問題，是因為curve101的一系列參數決定其足夠簡單，而實際零知識證明算法中使用的配對就要復雜很多。例如一些標準中要求其配對曲線的嵌入度至少為12，這意味著GT的元素至少是基礎素域的12次擴張！如果其素域特征為常見的256位，那么為了表示一個GT元素就需要256*12/8=384字節的大小。對于任何一個實際使用的曲線，其計算復雜度和規模都使我們當前絕無可能計算出其映射表，這也是離散對數問題困難的所在。

通過系列文章，我們計算了一個簡單的配對曲線，加深了對雙線性映射的理解。后續，我們繼續使用這個配對曲線來講解和演示零知識證明中Groth16算法的過程和原理，敬請期待。

喬沛楊趣鏈科技基礎平臺區塊鏈底層密碼學小組

Tags：比特幣ASTLASPAS比特幣中國官網登錄入口Metastocks3X Short Ethereum Classic TokenPASC

芝麻開門交易所