MOV:雙線性對在密碼學中的應用（上）_RAL

導?讀

如果關心近年的密碼學成果，可以發現雙線性對作為一個基礎的密碼學工具頻頻出現。

雙線性對是一種二元映射，它作為密碼學算法的構造工具，在各區塊鏈平臺中廣泛應用，比如零知識證明、聚合簽名等技術方案大多基于雙線性對構造得來。

本次將分為上、下兩個篇章講解雙線性對在密碼學中的應用。

本文為上篇入門篇，會從概念介紹、發展歷程、實際應用三個方面展開說明，下篇為進階篇，將從原理層面深入剖析。

雙線性對的研究歷程

▲1946年作為一個數學工具被提出

1946年雙線性對首先被法國數學家Weil提出并成為代數幾何領域重要的概念和研究工具。

在最初的時候，雙線性對的概念并非為了密碼學的研究，甚至Weil在提出雙線性對時現代密碼學還未成為系統的科學。

▲?1996年Menezes、Okamoto和Vanstone提出利用雙線性對將ECDLP問題規約到DLP問題的MOV攻擊

在19年火熱的電影《羅小黑戰記》中，主人公擁有控制自己“領域”的能力。電影中的“領域”指自己專有的一個空間，在此空間中可以主宰一切。

BitfinexAlpha：比特幣現貨交易量自上月達到峰值后大幅下降:4月18日消息，根據BitfinexAlpha最新報告，3月份消費者價格指數（CPI）有所改善，盡管仍居高不下。月通貨膨脹率下降主要是由于能源價格大幅下降。剔除食品和能源，核心通脹依然存在。然而，我們認為過去一年已經做了足夠的工作，可以暫停加息。雖然我們預計5月3日還會加息25個基點，但在那之后預計會進一步收緊。支持這一觀點的事實是，生產者價格指數（PPI），或批發通脹，見證了近三年來的最大跌幅。能源價格和貿易服務的大幅下跌在一定程度上夸大了該指數的跌幅，盡管本月早些時候OPEC+宣布石油減產后，能源價格可能再次飆升，但其他方面應該有足夠的下行壓力，讓美聯儲可以從經濟進一步收緊中喘息一下。[2023/4/18 14:10:20]

不嚴謹的說，雙線性映射的功能也有幾分相似——雖然攻擊橢圓曲線系統在離散數域解決起來很難，但是如果被映射到特定的擴域從而規約為一般的離散對數問題，解決起來就相對容易。

但與攻擊橢圓曲線系統的目的恰恰相反，MOV最終促進了橢圓曲線密碼學的發展。

這當然也是密碼學家去研究攻擊方法的本意——畢竟攻和防從來都是對立統一的兩個方面而已。

澳新銀行完成了代幣化碳信用的CBDC試點:金色財經報道，?作為澳大利亞 CBDC 試驗的一部分，澳新銀行確認其完成了其中一個項目。該用例涉及使用 ANZ A$DC 穩定幣來結算代幣化碳信用交易，該試點由數字金融 CRC (DFCRC) 運營。在試驗中，ANZ 與 Grollo Carbon Ventures (GCV) 合作，并對現有的澳大利亞碳信用單位 (ACCU) 進行了代幣化。Grollo 以近乎實時的方式購買碳信用額度。鑒于近乎即時的結算，交易對手風險很小，特別是因為無風險的 CBDC 用于支持穩定幣。

在 CBDC 實驗之外，澳新銀行曾于??一年前宣布其在以太坊上首次發行穩定幣。[2023/4/6 13:46:55]

MOV攻擊并非能作用于全部的橢圓曲線，而是只能對參數滿足一定條件的曲線進行攻擊。這促使人們在選擇橢圓曲線參數時更加謹慎，更加注重抗MOV攻擊。

今天我們再選用橢圓曲線參數時都會考慮避開MOV攻擊的條件從而使所選的參數更安全。

例如國標《SM2橢圓曲線公鑰密碼算法》就充分重視了受到MOV攻擊的可能性，不僅在第一部分《總則》中用附錄A的部分篇幅介紹驗證曲線參抗MOV攻擊的方法，而且也在第五部分《參數定義》中給出了安全曲線的推薦參數。

Yearn.Finance 創始人呼吁嚴格的加密監管:10月27日消息，Yearn.Finance 創始人Andre Cronje發文表示，加密貨幣行業應該像傳統金融一樣受到嚴格監管。這將確保強有力的消費者保護，同時也將提供急需的補救措施。Cronje列舉了傳統金融中可用的各種保障措施，包括中央銀行保險和審慎監管。

Andre Cronje指出，加密貨幣目前作為銀行運營。然而，它們實際上并沒有提供任何保障，這會助長行業中不負責任的行為體。Andre Cronje認為，對行業實施審慎標準將有利于加密貨幣，因為這將導致長期市場穩定。它還將為消費者提供一個“清晰的途徑”來行使他們的權利。（U.Today）[2022/10/27 11:48:35]

▲2000年雙線性對開始在密碼學領域得到重視，成果有基于身份的密碼體制、三方一輪密鑰協商、BLS簽名算法等

基于身份的密碼體制是公鑰密碼學的一個研究方向，其特點是直接用標識用戶身份的字符串作為公鑰。大家熟悉的國密SM9算法就屬于該類算法，這是目前國產密碼算法中唯一一個基于雙線性對的密碼算法。

三方一輪密鑰協商是一種可以在一輪交互內完成三方的密鑰協商的密鑰協商協議，效率高于DH密鑰協商。

Spectral發布V0.3.0Beta公測版，允許獲取鏈上信用評分:8月27日消息，Web3信用風險評估基礎設施Spectral發布V0.3.0公開測試版本，允許用戶根據其鏈上交互活動獲得鏈上信用評分。Spectral的風險評估工具（包括MACRO評分）是一個綜合的DeFi數據集和一個由信用風險專業人士和DeFi專家組成的團隊創建的不斷更新的機器學習模型。

另外，Spectral App 目前還允許用戶在 Arbitrum 測試網上鑄造不可替代信用（NFC）代幣。

本周 Spectral 還宣布完成 2300 萬美元融資，General Catalyst 和 Social Capital 領投，參投方包括 Samsung、Gradient Ventures、Section 32、Franklin Templeton、Circle Ventures 和 Jump Capital。本輪融資將用于建立信用評分網絡并擴大規模。[2022/8/27 12:52:04]

傳統的DH密鑰協商可以完成兩兩之間的密鑰協商。雖然能夠通過兩兩之間多輪協商完成三方之間的密鑰協商，但是增加了通信復雜度。

基于雙線性對能夠在三方之間通過一輪通信完成密鑰協商，大大降低了通信復雜度。

加州前檢察官：美國加密監管法案需要更多工作來定義邊界:金色財經報道，加州北區前聯邦檢察官格蘭特·方多(Grant Fondo)表示，美國證券交易委員會和商品期貨交易委員會在監管數字資產方面沒有明確的界限。Fondo的評論是在美國主要參議員推動加密市場監督商品監管機構CFTC之后發表的。然而，該法案在定義代幣是否被視為證券或商品方面含糊不清。談到NFT，Fondo表示，這些數字資產屬于“不同的類別”，并指出“SEC已聲明它們不是證券”。Fondo表示，如果NFT開始作為“傳統金融產品”而不是“藝術品”提供，CFTC可能會介入。（coindesk）[2022/8/9 12:11:08]

BLS簽名是Boneh、Lynn和Shacham三人基于雙線性映射構造的短簽名方案，其特性之一就是能用于構造聚合簽名。

除了上述的代表成果，雙線性對在隱私保護方面、可證明執行、可信計算等方面也有大量成果，例如可信計算組在可信平臺模塊規范中推薦的橢圓曲線直接匿名證明協議，適用于通用問題的零知識證明，intel的可信計算環境SGX以及加強隱私ID等。

雙線性對的應用

雖然雙線性對有大量的應用案例，但是限于篇幅，本文挑選了三方一輪密鑰交換和SM9數字簽名算法作為例子。

本部分先將算法過程剝離開來，還沒有太多去分析算法的原理，這是因為在不了解雙線性對的前提下理解這些算法是有困難的。

我們建議讀者先簡單閱讀本部分了解算法能實現的功能，然后在閱讀下篇的雙線性對的性質介紹后再回來品味算法的優美。

▲三方一輪密鑰交換

密鑰交換又叫密鑰協商，是一種能夠讓參與者在公共信道上通過交換某些信息來公共建立一個共享密鑰的密碼協議。

最常見的是兩方DH密鑰交換，橢圓曲線群上的DH依據的橢圓曲線群是循環群這個性質。

如下圖：

1.用戶A生成隨機數a，計算aG，并將aG發送給對方

2.用戶B生成隨機數b，計算bG，并將bG發送給對方

3.A和B利用手中信息分別計算出abG作為協商密鑰，原因是abG=baG

通過上述的DH算法可以輕松地完成兩方的密鑰協商，但是較難滿足需要三方密鑰協商的場景。

利用雙線性對可以僅做一輪通信完成密鑰協商。

如下圖所示：

1.A選擇隨機數a，計算aG，將結果發送給B和C

2.B選擇隨機數b，計算bG，將結果發送給A和C

3.C選擇隨機數c，計算cG，將結果發送給A和B

4.A計算a?(bG,cG)

5.B計算b?(aG,cG)

6.C計算c?(aG,bG)

A、B、C分別計算出的結果就是協商出的密鑰。這個協議是雙線性配對在密碼學研究中的第一次正面應用。

SM9數字簽名算法

SM9標識密碼算法包括數字簽名算法、密鑰協商算法、加解密算法三部分，我們主要來關注數字簽名算法。

不同于傳統簽名算法的由用戶隨機選擇私鑰然后計算得到公鑰的方式，SM9能夠實現用戶指定公鑰，密鑰生成中心通過公鑰計算私鑰。

這樣可以將一些有意義的字符串，例如身份證號碼、郵箱地址等作為用戶公鑰，從而能在公鑰中直接反應出用戶信息，這也是標識密碼的含義。

簽名算法包括參數生成、密鑰生成、簽名和驗簽等幾個步驟。和一般簽名驗簽不同的地方在于，密鑰生成分為主密鑰生成和用戶密鑰生成兩部分，主私鑰由密鑰生成中心保管。

可以看到不論是在三方一輪密鑰協商中，還是在SM9簽名驗簽中，?都扮演了重要的角色。當不知道?是指什么的情況下要理解上面兩個算法是不現實的，而這個映射?也正是本文的核心：雙線性映射。

?的計算是一個計算復雜度較高的操作，我們不打算介紹關于?的原理和細節，讀者只需要了解?的一些屬性就足夠理解上面兩個例子的思想。

因為篇幅原因，雙線性映射的性質將在下篇介紹。在下篇的開始我們就會先幫助讀者理解什么是雙線性，然后緊接著再回顧上面的兩個算法，介紹并分析它們的思想和原理。

更多精彩敬請期待下篇

本文有任何問題歡迎與我們一起探討

名詞解釋

▲?MOV攻擊

又稱MOV規約攻擊，是Menezes、Okamoto和Vanstone三人的論文中提出的針對特殊橢圓曲線離散對數問題的一種有效解法。通過雙線性配對，將橢圓曲線上的離散對數問題規約成為某個乘法群上的離散對數問題，能夠在亞指數步驟中計算ECDLP。

▲?DLP

離散對數問題。例如在整數模11乘法群中容易計算5×5×5×5=9mod11，那么求幾個5相乘的結果是9這個問題就是一個離散對數問題。當模數為很大的質數時，這個問題是困難的。

▲?ECDLP

橢圓曲線離散對數問題。例如已知P、Q是兩個橢圓曲線點，并且4個P相加得到Q，那么已知P和Q求解幾個P相加得到Q的問題就是橢圓曲線離散對數問題。當選擇的曲線滿足一定要求時，該問題是困難的。

參考文獻與推薦閱讀

?cl簽名?

https://www.iacr.org/archive/crypto2004/31520055/cl04.pdf

配對友好的曲線

https://tools.ietf.org/pdf/draft-irtf-cfrg-pairing-friendly-curves-07.pdf

?三方一輪密鑰交換?

https://xueshu.baidu.com/usercenter/paper/show?paperid=5521a92e88e750ae92df7b1cd8287452&site=xueshu_se

?一個關于雙線性對的綜述?

http://jos.org.cn/ch/reader/create_pdf.aspx?file_no=3651&journal_id=jos

?基于bn曲線的雙線性對實現?

https://cryptojedi.org/papers/dclxvi-20100714.pdf

?SM9標識密碼算法GMT0044

http://www.gmbz.org.cn/main/viewfile/20180110024900801385.html

作者簡介

喬沛楊

來自趣鏈科技基礎平臺部

區塊鏈密碼學研究小組

來源：金色財經

Tags：MOVHTTRALECTmovr幣發行價https://etherscan.ioUnited Emirate Decentralized CoinBitGain project

SAND