Hashing to elliptic curve算法改进
创始人
2024-03-19 09:29:45
0

1. 引言

前序博客有:

  • ECDSA VS Schnorr signature VS BLS signature 第3节“BLS签名”

私钥pkpkpk,对应的公钥为P=pk×GP=pk\times GP=pk×G。待签名消息mmm。
BLS signature的签名流程为:

  • 1)通过H(m)H(m)H(m)将消息mmm映射为point on the curve,Gm=H(m)G_m=H(m)Gm​=H(m)。
  • 2)将私钥与H(m)H(m)H(m)相乘,S=pk×H(m)S=pk\times H(m)S=pk×H(m),SSS即为相应的签名。

BLS signature is just one single point on the curve that takes only 33bytes in compressed serialization format。
具体如下图示意:
在这里插入图片描述
BLS的验签流程为:

  • 1)通过H(m)H(m)H(m)将消息mmm映射为point on the curve,Gm=H(m)G_m=H(m)Gm​=H(m)。
  • 2)验证e(P,H(m))=e(G,S)e(P,H(m))=e(G,S)e(P,H(m))=e(G,S)成立即可。

具有pairing属性,以上验签等式恒成立:
e(P,H(m))=e(pk×G,H(m))=e(G,pk×H(m))=e(G,S)e(P,H(m))=e(pk\times G,H(m))=e(G,pk\times H(m))=e(G,S)e(P,H(m))=e(pk×G,H(m))=e(G,pk×H(m))=e(G,S)
具体如下图示意:
在这里插入图片描述
整个BLS signature非常简洁优美。

整个BLS签名算法中,有两个关键点是:

  • 1)Hashing to the curve:
    ECDSA和Schnorr 签名过程中,需要使用hash函数将消息mmm映射为a number。
    而BLS signature中需要调整hash算法,将消息mmm hashes directly to the elliptic curve。
    最简单的方式是,仍然将消息mmm通过hash函数映射为a number,然后将该number作为elliptic curve 上point的x坐标。
    Elliptic curves通常有22562^{256}2256个points,采用SHA-256 算法可以生成256-bit result。
    但是对于y2=x3+ax+by^2=x^3+ax+by2=x3+ax+b形式的eclliptic curve,相同的x坐标,存在(x,y)和(x,−y)(x,y)和(x,-y)(x,y)和(x,−y)两个point均在curve上的情况。这就意味着借助SHA-256有约50%的概率能找到two points for some xxx,有50%的概率找到point on the curve。
    在这里插入图片描述
    为了保证对任意的消息mmm均能hashing to the curve,可以在消息mmm后面追加数字,依次尝试直到能找到相应的curve point。如若hash(m∣∣0)hash(m||0)hash(m∣∣0)不能find a point,则依次试hash(m∣∣1),hash(m∣∣2)hash(m||1),hash(m||2)hash(m∣∣1),hash(m∣∣2),直到找到point on the curve。【对于(x,y)和(x,−y)(x,y)和(x,-y)(x,y)和(x,−y)两个point,实际选择y坐标值更小的那个point。】(如上图所示)

  • 2)curve pairing
    BLS signautre要求能够将(相同或者不同)curve上的P和Q两个点映射a number:
    e(P,Q)↦ne(P,Q)\mapsto ne(P,Q)↦n
    同时,应满足如下属性:(使得secret number xxx unreveal。)
    e(x×P,Q)=e(P,x×Q)e(x\times P,Q)=e(P,x\times Q)e(x×P,Q)=e(P,x×Q)
    更通用的表达为应具有如下属性:
    e(a×P,b×Q)=e(P,ab×Q)=e(ab×P,Q)=e(P,Q)(ab)e(a\times P,b\times Q)=e(P,ab\times Q)=e(ab\times P,Q)=e(P,Q)^{(ab)}e(a×P,b×Q)=e(P,ab×Q)=e(ab×P,Q)=e(P,Q)(ab)

Hashing to curve函数HHH需为:

  • indifferentiable from a random oracle
  • 且为constant-time的

令Fq\mathbb{F}_qFq​为某有限域,Eb:y2=x3+bE_b: y^2=x^3+bEb​:y2=x3+b为某ordinary椭圆曲线(即,non-supersingular椭圆曲线),其jjj-invariant为0,同时满足b∈Fq\sqrt{b}\in\mathbb{F}_qb​∈Fq​以及q≢1(mod27)q\not\equiv 1(\mod 27)q​≡1(mod27)。
当前最快的constant-time indifferentiable hashing to Eb(Fq)E_b(\mathbb{F}_q)Eb​(Fq​)算法需要:

  • 基于Fq\mathbb{F}_qFq​的2次exponentiation运算【以BLS12-377为例,其基于highly 2-adic有限域,相应的indifferentiable Wahby-Boneh hash函数需要应用2次 slow Tonelli-Shanks algorithm算法来提取基域的2个平方根。

在Dmitrii Koshelev 2021年论文 Indifferentiable hashing to ordinary elliptic Fq\mathbb{F}_qFq​-curves of j=0j = 0j=0 with the cost of one exponentiation in Fq\mathbb{F}_qFq​ 论文中,所实现的constant-time indifferentiable hashing to Eb(Fq)E_b(\mathbb{F}_q)Eb​(Fq​)算法:

  • 仅需要1次exponentiation运算。【仍以BLS12-377为例,仅需要提取1次立方根,可 以有限域内的1次exponentiation运算来表示。

开源实现见:

  • https://github.com/dishport/Indifferentiable-hashing-to-ordinary-elliptic-curves-of-j-0-with-the-cost-of-one-exponentiation(Sage脚本)
  • https://github.com/zhenfeizhang/indifferentiable-hashing(Rust,但非constant-time实现)

上一篇:线程池详解

下一篇:react 初体验

相关内容

热门资讯

保存时出现了1个错误,导致这篇... 当保存文章时出现错误时,可以通过以下步骤解决问题:查看错误信息:查看错误提示信息可以帮助我们了解具体...
汇川伺服电机位置控制模式参数配... 1. 基本控制参数设置 1)设置位置控制模式   2)绝对值位置线性模...
不能访问光猫的的管理页面 光猫是现代家庭宽带网络的重要组成部分,它可以提供高速稳定的网络连接。但是,有时候我们会遇到不能访问光...
表格中数据未显示 当表格中的数据未显示时,可能是由于以下几个原因导致的:HTML代码问题:检查表格的HTML代码是否正...
本地主机上的图像未显示 问题描述:在本地主机上显示图像时,图像未能正常显示。解决方法:以下是一些可能的解决方法,具体取决于问...
表格列调整大小出现问题 问题描述:表格列调整大小出现问题,无法正常调整列宽。解决方法:检查表格的布局方式是否正确。确保表格使...
不一致的条件格式 要解决不一致的条件格式问题,可以按照以下步骤进行:确定条件格式的规则:首先,需要明确条件格式的规则是...
Android|无法访问或保存... 这个问题可能是由于权限设置不正确导致的。您需要在应用程序清单文件中添加以下代码来请求适当的权限:此外...
【NI Multisim 14...   目录 序言 一、工具栏 🍊1.“标准”工具栏 🍊 2.视图工具...
银河麒麟V10SP1高级服务器... 银河麒麟高级服务器操作系统简介: 银河麒麟高级服务器操作系统V10是针对企业级关键业务...