密码专栏 | 动手计算双线性对（下）

前言

上一篇文章中，我们在"F_101"上找到了17个点满足椭圆曲线方程，他们构成一个循环。那么在"F_101"中元素作为坐标的点中还有没有其他的点也满足方程呢？换句话说，上篇文章列出的17个点是不是就是满足方程的全部的解呢？并非如此，比如可以验证(3,38)也满足椭圆曲线的方程，但是他不是上面17个点中的一个。另一个子群

实际上，我们甚至可以通过将(6,44)作为生成元来得到一个102个元素的循环群，这个循环群涵盖了曲线在"F_101"上的全部点。但是，曲线在"F_101"上的循环周期为17的循环群却只有中篇列出的一个，也就是说在"F_101"上讨论的话，循环周期为17的点已经被我们全部找到了。

在中篇中，我们也提到数域的扩张会直接影响我们需要讨论的点的多少，那么如果我们对"F_101"进行扩张，是否能够得到更多的循环周期为17的点呢？METASTATE的博客中给出这样一个例子，我们将用这个例子说明这个命题的真假。首先我们选择满足j^2mod17=15的j用于对"F_101"的扩张，过程就像我们上一篇文章中进行的那样，扩张后的域记为“F_101的二次扩域”。在这个扩张下，我们可以找到另一个循环周期为17的群，下面的表格列出这个群的全部元素：

密码经济倡导者刘昌用明确指出密码革命的两个里程碑:7月31日上午，知密大学发起人、密码经济倡导者刘昌用老师为火币大学GBLP第六期的学员带来了主题为《密码经济的逻辑、历史与未来》的精彩课程，详细阐释了密码经济的前世今生。

在授课中，刘昌用老师明确指出密码革命的两个里程碑：其一，非对称密码让个人低成本实现信息安全（密码朋克）；其二，分布式共识建立去中心化基础设施消除信息垄断（中本聪）。

火币大学GBLP课程以带领学员“探索商业变革前沿新知，跨入区块链界核心圈层”为宗旨。本次“趋势模块”3天的课程（7月30日——8月1日）将邀请12位区块链行业顶级专家，洞悉全球区块链产业趋势，探寻区块链底层逻辑，钻研区块链前沿技术，研习区块链交易方式，深思区块链合规机理，思辨区块链未来价值。[2020/7/31]

声音 | 中国软件评测中心徐丽娟：密码技术的应用 促使区块链等新技术产业蓬勃发展:中国软件评测中心徐丽娟撰文指出，当今密码技术在保护信息安全方面的应用越来越广泛，促使云计算、大数据、人工智能、区块链、移动互联网、物联网等新技术产业蓬勃发展。相信随着《中华人民共和国密码法》的颁布与实施、等级保护制度的实施，我国数字经济将继续高质量发展。（光明网）[2020/2/11]

我们随机选择(66,0+23j)这个元素来验证其满足曲线方程：

左侧：y^2mod101=^2mod101=23×15mod101=42

右侧：x^3+3mod101=41^3=3mod101=42

左侧等于右侧，验证完毕。

在发现通过域扩张后还能找到更多的17阶点后，我们不禁会想：

继续对”F_101的二次扩域”进行扩张，能否找到更多的17阶点呢？

或者是：为了找到全部的17阶点，我们需要对F_101进行几次扩张呢？

声音 | 日媒：中国施行密码法为数字货币铺路:中国于2020年1月1日施行密码法，日媒称，此举旨在培育数字时代的核心技术——区块链技术，为发行基于区块链技术的数字人民币提供法律依据。 日本经济新闻12月31日报道，中国人民银行正在为发行主要国家中的首个数字货币——数字人民币做准备。据认为，此举是为了减轻金融机构的工作负担，在资金方面加强监管。作为发行数字货币所需的技术，中国很可能采用区块链技术。为了防止数据被窜改，需要用密码对每个数据进行保护。区块链技术的发展离不开密码技术的进步。报道称，在通过密码法之后，中国领导人提出了加速推动区块链技术发展的方针。这是因为，密码法施行将为推进区块链技术发展和数字货币发行奠定基础。[2020/1/2]

嵌入度其实就是描述这个问题的一个概念。E是定义在F_101上的椭圆曲线，我们已经有一个包含n=17个点的子群，我们称这个子群的嵌入度是满足17整除q^k-1的最小的k。在这个例子中，k=2。计算嵌入度的价值在于事实证明，当对F_101进行扩张以期其上的椭圆曲线包含全部17阶点时，最小的扩张次数就等于嵌入度。也就是说在”F_101的二次扩域”上，我们已经找到全部的17阶元素。

声音 | 肖飒：《密码法》表现了国家对区块链产业的支持态度:金色财经报道，中国银行法学研究会理事肖飒在接受采访时表示，首先，《中华人民共和国密码法》并非专门为促进和规范区块链行业的密码技术而产生。只是由于区块链技术中底层技术是加密技术和密码学，这就使得密码与区块链具有天然的紧密联系，《中华人民共和国密码法》也将适用于区块链行业，并为区块链产业合规提供新的思路和法律依据。就区块链底层密码技术技术而言，其主要属于商用密码。《中华人民共和国密码法》实际上表现了国家对相关产业和以密码为基础的区块链产业的支持态度。未来，区块链企业将处于更为健全、有序的营商环境中，其开发的商用密码将依法受到保护。目前区块链技术与密码法相关的标准化工作已经展开。可以肯定的是，密码技术的发展，将推动区块链技术的整体进步和创新。在密码技术与区块链技术相互促进的过程中，国内和国际相关标准体系及监管框架也将同步建立并完善。[2019/12/19]

Millier循环

下面给出计算双线性映射的Millier算法，当计算e(P,Q)时，该算法根据P的坐标创建一个二元多项式，然后将P坐标的x和y分量带入求值：

动态 | 全球监管机构制定对密码资产监控制度:据外媒报道，全球监管机构已经发布了一个框架，用于“警惕”监控比特币和以太坊等密码资产的风险，尽管它们目前对金融稳定没有构成重大风险。[2018/7/16]

METASTATE的博客中作者已经计算了e((1,2),(90,82u))点的结果为97+89j。我们给出另外一个计算的例子，并且稍后通过对比这两个例子的结果说明双线性对的一些属性。

其中f_17是二元的多项式，通过一个称为Millier循环的过程我们可以生成该多项式，这个过程类似于计算指数运算时的mul-and-square操作。但是为了更直观的展示原理，我们选择根据上文定义直接展开计算f_17，这会增加一些计算量。

因此我们需要计算

的表达式。通过查询上一篇文章的列表我们可以找出P，±2P，±4P，±8P,±16P的值,其中P=(12，32)=5G：

接下来我们来计算这些直线的方程：

这样我们已经可以计算f_17的结果：

最后我们计算(81+52j)^600

完全解决curve101配对问题

实际上，我们可以计算出GT的生成元e(G1,G2)，也就是e((1,2),(36,31j))，其值为7+28j。这样我们能够完全掌握GT中全部的元素：

可以看到GT也是一个循环群，他其实是在“F_101的二次扩域”上满足方程x^17=1的17个根。根据该表我们不加以计算就可以知道这个配对的任何一个计算结果，例如e((12,32),(36,31u))=e(5G1,G2),因此其值就是上表的第5个元素：93+25j。我们之所以能够完全解决curve101的配对问题，是因为curve101的一系列参数决定其足够简单，而实际零知识证明算法中使用的配对就要复杂很多。例如一些标准中要求其配对曲线的嵌入度至少为12，这意味着GT的元素至少是基础素域的12次扩张！如果其素域特征为常见的256位，那么为了表示一个GT元素就需要256*12/8=384字节的大小。对于任何一个实际使用的曲线，其计算复杂度和规模都使我们当前绝无可能计算出其映射表，这也是离散对数问题困难的所在。

通过系列文章，我们计算了一个简单的配对曲线，加深了对双线性映射的理解。后续，我们继续使用这个配对曲线来讲解和演示零知识证明中Groth16算法的过程和原理，敬请期待。

乔沛杨趣链科技基础平台区块链底层密码学小组

标签：区块链MOD数字货币CUR区块链专业好找工作吗MODX币数字货币交易局套路StarCurve

Pol币热门资讯