Криптографическая многолинейная карта

Криптографический ​ ${\displaystyle n}$-мультилинейная карта — это разновидность полилинейной карты , то есть функция ${\displaystyle e:G_{1}\times \cdots \times G_{n}\rightarrow G_{T}}$ такая, что для любых целых чисел ${\displaystyle a_{1},\ldots ,a_{n}}$ и элементы ${\displaystyle g_{i}\in G_{i}}$, ${\displaystyle e(g_{1}^{a_{1}},\ldots ,g_{n}^{a_{n}})=e(g_{1},\ldots ,g_{n})^{\prod _{i=1}^{n}a_{i}}}$, который, кроме того, эффективно вычислим и удовлетворяет некоторым свойствам безопасности. Он имеет несколько приложений в криптографии, таких как обмена ключами протоколы , шифрование на основе идентификации и широковещательное шифрование . Существуют конструкции криптографических 2-полилинейных отображений, известные как билинейные отображения. ^[1] однако проблема построения таких полилинейных ^[1] карты для ${\displaystyle n>2}$ кажется гораздо сложнее ^[2] и безопасность предложенных кандидатов все еще неясна. ^[3]

В этом случае полилинейные карты в основном известны как билинейные карты или пары и обычно определяются следующим образом: ^[4] Позволять ${\displaystyle G_{1},G_{2}}$ — две аддитивные циклические группы простого порядка ${\displaystyle q}$, и ${\displaystyle G_{T}}$ еще одна циклическая группа порядка ${\displaystyle q}$ написано мультипликативно. Пейринг – это карта: ${\displaystyle e:G_{1}\times G_{2}\rightarrow G_{T}}$, который удовлетворяет следующим свойствам:

Билинейность

${\displaystyle \forall a,b\in F_{q}^{*},\ \forall P\in G_{1},Q\in G_{2}:\ e(aP,bQ)=e(P,Q)^{ab}}$

Невырожденность

Если ${\displaystyle g_{1}}$ и ${\displaystyle g_{2}}$ являются генераторами ${\displaystyle G_{1}}$ и ${\displaystyle G_{2}}$, соответственно, тогда ${\displaystyle e(g_{1},g_{2})}$ является генератором ${\displaystyle G_{T}}$.

Вычислимость

Существует эффективный алгоритм вычисления ${\displaystyle e}$.

Кроме того, в целях безопасности задача дискретного логарифмирования должна быть сложной как в ${\displaystyle G_{1}}$ и ${\displaystyle G_{2}}$.

Мы говорим, что карта ${\displaystyle e:G_{1}\times \cdots \times G_{n}\rightarrow G_{T}}$ это ${\displaystyle n}$-полилинейное отображение, если оно удовлетворяет следующим свойствам:

1. Все ${\displaystyle G_{i}}$ (для ${\displaystyle 1\leq i\leq n}$) и ${\displaystyle G_{T}}$ являются группами одного порядка;
2. если ${\displaystyle a_{1},\ldots ,a_{n}\in \mathbb {Z} }$ и ${\displaystyle (g_{1},\ldots ,g_{n})\in G_{1}\times \cdots \times G_{n}}$, затем ${\displaystyle e(g_{1}^{a_{1}},\ldots ,g_{n}^{a_{n}})=e(g_{1},\ldots ,g_{n})^{\prod _{i=1}^{n}a_{i}}}$;
3. отображение невырождено в том смысле, что если ${\displaystyle g_{1},\ldots ,g_{n}}$ являются генераторами ${\displaystyle G_{1},\ldots ,G_{n}}$, соответственно, тогда ${\displaystyle e(g_{1},\ldots ,g_{n})}$ является генератором ${\displaystyle G_{T}}$
4. Существует эффективный алгоритм вычисления ${\displaystyle e}$.

Кроме того, в целях безопасности задача дискретного логарифмирования должна быть сложной. ${\displaystyle G_{1},\ldots ,G_{n}}$.

Все возможные полилинейные карты на самом деле являются небольшим обобщением полилинейных карт, известных как системы градуированного кодирования, поскольку они позволяют отображать ${\displaystyle e}$ применяться частично: вместо того, чтобы применяться во всех ${\displaystyle n}$ значения сразу, что приведет к созданию значения в целевом наборе ${\displaystyle G_{T}}$, можно подать заявку ${\displaystyle e}$ некоторым значениям, что генерирует значения в промежуточных целевых наборах. Например, для ${\displaystyle n=3}$, это возможно сделать ${\displaystyle y=e(g_{2},g_{3})\in G_{T_{2}}}$ затем ${\displaystyle e(g_{1},y)\in G_{T}}$.

Три основных кандидата — GGH13, ^[5] основанный на идеалах колец полиномов ; CLT13, ^[6] который основан на приближенной задаче НОД и работает с целыми числами, следовательно, его легче понять, чем многолинейную карту GGH13; и GGH15, ^[7] который основан на графиках.