公钥密码算法可证明安全理论：第二讲

3 基于群的密码学基础

3.1 有限域 Finite Field

3.1.1 有限域的定义

def 有限域（伽罗瓦域）用 $(F, +, ∗)$ 表示，是一个包含有限数量元素的集合，其两个二进制运算加法 $+$ 和乘法 $∗$ 定义如下：

① 封闭性：对 $∀u, v ∈ F$ ，有 $u + v ∈ F$ 且 $u ∗ v ∈ F$
② （加法）结合律：对 $∀u_1, u_2, u_3 ∈ F$ ，有 $(u_1 + u_2) + u_3 = u_1 + (u_2 + u_3)$ 且 $(u_1 ∗ u_2) ∗ u_3 = u_1 ∗ (u_2 ∗ u_3)$
③ 交换律：对 $∀u, v ∈ F$ ，有 $u + v = v + u$ 且 $u ∗ v = v ∗ u$
④ 单位元：对 $∃0_F, 1_F ∈ F$ 和 $∀u ∈ F$ ，有 $u + 0_F = u$ 且 $u ∗ 1_F = u$
⑤ 负元：对 $∀u ∈ F$ ， $∃–u ∈ F$ 使得 $u + (–u) = 0_F$
⑥ 去零元：对 $∀u ∈ F^∗$ , $∃u^{−1} ∈ F^∗$ 使得 $u ∗ u^{−1} = 1_F$ ，其中 $F^∗ = F/{0_F}$
⑦ 分配律：对 $∀u_1, u_2, v ∈ F$ ，有 $(u_1 + u_2) ∗ v = u_1 ∗ v + u_2 ∗ v$

3.1.2 域运算

可扩展至减法和除法：

减法：由⑤有 $u − v = u + (−v)$ ，其中 $-v$ 是 $v$ 的加法逆元
除法：由⑥有 $u/v = u ∗ v^{−1}$ ，其中 $v^{−1}$ 的乘法逆元

3.1.3 域的选取

一般选取一组大素数以防止爆破攻击，因此 $p(x)=p_0+p_1 x+p_2 x^2+⋯+p_{n-1} x^{n-1}∈F_p (x)$ 是不可约（irreducible）的，其系数仍在 $F_p$ 级别。可约的情况譬如： $x^2 - 2$

基础域：用 $(F_p, +, ∗)$ 表示
扩域（extended field）：用 $(F_{p^n}, +, ∗)$ 表示

3.2 循环群 Cyclic Groups

3.2.1 群的定义

阿贝尔群：用 $(H, ·)$ 表示，是一组具有二元运算 $·$ 的元素，满足①~⑤
循环的阿贝尔群：在满足①~⑤的前提下，群内任意元素均可由生成元 $h$ （群的方幂）生成，即： $H={h^0,h^1,h^2, ⋯,h^{|H|-1}}$ ，其中群 $H$ 的阶 $|H|$ 满足 $h^{|H|}=h^0=1_H$
素数阶的循环阿贝尔群：如果群 $G$ 是循环群 $H$ 的子群且 $|G|$ 为素数，则 $G$ 是素数阶的循环子群，其中是 $|G|$ 是 $|H|$ 的除数，存在生成元 $g ∈ H$ 生成群 $G$

3.2.2 素数阶的循环群

1. 使用循环群和素数阶的原因？

$G$ 是没有禁闭攻击（confinement attack）的最小子群。禁闭攻击是指攻击者试图将计算限制在一个特定的子群中，从而破坏整个方案的安全性；同时，若 $G$ 包含了不必要元素，可能带来不必要的复杂性和开销
- 目前， $p=2^{160}$ 的 160bit 长度以上比较安全，因破解离散对数问题需要 $O(p^{1/2})$ ，达 80bit 安全
除 $g^0$ 之外的任何元素都是 $G$ 的生成元
$\{1, 2, · · · , p-1\}$ 中的任意整数都具有模乘逆元
对任意 $x∈Z_p^∗=\{1,2,⋯,p-1\}$ ，均能计算 $g^{1/x}=g^{x^{-1}}$

2. 若要为密码学方案构造一个群，需要指定哪些参数？

$(G, g, p)$ ：

$G$ ：群的空间，是一个包含元素的集合，这些元素作为群成员
$g$ ：群的生成元
$p$ ：群的阶

3. 每个组元素的表示大小是多少？

对素数 $p$ ，有 $G = \{g^0,g^1, · · · ,g^{p-1}\}$

群中有 $p$ 个元素，每个元素具有相同的大小
群中的每个元素都可以编码为二进制字符串
群中的每个元素必须用不同的二进制字符串表示

3.2.3 群幂 Group Exponentiations

设 $(G, g, p)$ 为循环群， $x∈Z_p$ ，用 $g^x$ 表示群幂：

群幂由上述定义中的群运算的 $x−1$ 个副本（copies）组成
当 $x$ 大于 $2^{160}$ 时，执行 $x−1$ 个副本的计算是不切实际的
存在快速计算群幂的算法：平方乘法（square-and-multiply）算法

3.2.4 离散对数问题 Discrete Logarithms Problem

群中最基本的难题是离散对数问题，给定 $g, h∈G/{1_G}$ ，有：

满足 $g^x= h$ 的整数 $x$ 称为离散对数
计算 $x$ 称为离散对数问题

1. 群使用素数阶的另一原因？

如果 $G$ 是素数阶的群，则对于任意两个群元素 $g, h∈G/{1_G}$ ，离散对数 $x$ 必须存在

2. 破解离散对数问题的时间复杂度？

设 $(G, g, p)$ 为任意群，求解 DLP 的最有效算法需要 $O(p^{1/2})$

3. 若要为密码学方案构造一个群，需要考虑哪些攻击？

泛型攻击（generic attacks）：参数必须满足 $p ≥ 2^{160}$
特定攻击（specific attacks）：为特定群构造的所有其他参数必须足够大，譬如群元素大小

3.2.5 来自有限域的循环群

有限域 $(F_{p^n},+,∗)$ 已包含的两类群： $(F_{p^n},+)$ 和 $(F_{p^n}^∗,∗)$ ；此外引入椭圆曲线 ECC 上的群

1. 为什么要使用椭圆曲线上的群？

同等安全性下，ECC 短于基于域的元素长度，存储开销低适用受限设备
- 原因：只需要存储 x 坐标 + 0/1（上方 / 下方）的一个比特

3.2.6 群的选取

乘法群 $(G, g,p,q)$
- 群的元素：从 $Z_p^∗=\{1,2,⋯,p-1\}, |g| =log_2 p$ 中选取的整数
- 群的生成元： $g$ 从 $Z_p^∗$ 中选取，注意不是 $Z_p^∗$ 中所有的整数都是生成元
- 群的阶： $q|(p − 1)$ ， $q$ 和 $p-1$ 同余
- 群的运算： $u · v = u × v mod p$
- 安全性：为达到 80bit 安全， $q$ 应至少为 1024 bits

椭圆曲线上的群 $(G, g, p)$ ：椭圆曲线是一条定义在 $F_{p^n}$ 上的光滑曲线，所有的点都在 $y^2=x^3+ax+b$ 上，其中 $a,b∈F_{p^n}$
- 群的元素：椭圆曲线上的点集，每个点用 x 坐标和 y 坐标表示
- 群的生成元： $g$ 亦为一个点
- 群的阶： $p$ 是素数阶
- 群的运算：对 $u,v∈G$ 和 $x∈F_p$ ，计算 $u+v$ 或 $x·u$
- 安全性：群元素大小可以与群的阶一样短，为达到 80bit 安全， $|g|= |p|= 160$ ， $q$ 应至少为 160 bits

3.2.7 群上的计算

群的运算：给定 $g, h∈G$ ，计算 $g·h$
群上求逆元：给定 $g∈G$ ，计算 $1/g=g^{-1}$
- 由 $g^p=g·g^{p-1}=1_G$ , 有 $g^{-1}=g^{p-1}$
群上的除法：给定 $g, h∈G$ ，计算 $h/g=h·g^{-1}$
群上的幂运算：给定 $g∈G$ 和 $x∈Z_p$ ，计算 $g^x$

3.3 双线性配对 Bilinear Pairings

定义

设 $G_1$ ， $G_2$ 和 $G_T$ 为素数阶为 $p$ 的三个循环群，则满足下述条件 $e:G_1×G_2→G_T$ 的映射为一个双线性配对：

(双线性) $∀x,y∈Z_p,g∈G_1, h∈G_2$ ， $e(g^x,h^y)= e(g^y,h^x)=e(g,h)^{xy}$
(非退化性) $∀g∈G_1, h∈G_2, e(g,h)≠1_T$
(可计算性) $∀g∈G_1, h∈G_2$ , 存在一种能计算出映射 $e(g,h)$ 的高效算法

双线性配对的三种类型：

I 型： $G_1=G_2$ （对称）
II 型： $G_1≠G_2$ ，且能找到同态 $ψ ：G_2→G_1$
III 型： $G_1≠G_2$ ，但没有有效的同态

3.3.1 对称配对 $e:G×G→G_T$

两类 DLP：

从 $g$ 和 $g^x$ 计算 $x$
从 $e(g,g)$ 和 $e(g,g)^x$ 计算 $x$
为保证 80bit 安全，需要 $|g| ≥ 512, |e(g, g)| ≥ 1024$

3.3.2 非对称配对 $e:G_1×G_2→G_T$

三类 DLP：

从 $g_1$ 和 $g_1^x$ 计算 $x$
从 $g_2$ 和 $g_2^x$ 计算 $x$
从 $e(g_1,g_2)$ 和 $e(g_1，g_2)^x$ 计算 $x$
为保证 80bit 安全，需要 $|g_1 | ≥ 160, |g_2 | ≥ 1024, |e(g_1,g_2)| ≥ 1024$
构造非对称配对时，还需注意以下问题：
由于非对称结构，需设置 $|g_2 | = |e(g_1,g_2))|$
椭圆曲线由基于配对的密码学（PBC）库中的 Curve-F 专门定义，其中 $y^2=x^3+b$ 和 $k=12$

3.3.3 双线性配对群上的计算

双线性配对群由素数阶 $p$ 的群 $(G,G_T)$ 或 $(G_1,G_2,G_T)$ 和双线性映射 $e$ 组成，其计算包括：

所有在域 $Z_p$ 上的模（幂）运算
对群 $(G,G_T)$ 或 $(G_1,G_2,G_T)$ 上的所有运算
$∀ u, v ∈ G$ 的双线性配对 $e(u, v)$

3.4 哈希函数 Hash Functions

哈希函数将任意长度的字符串作为输入，并返回一个更短的字符串作为输出

3.4.1 哈希函数的分类

1. 根据安全定义分类

单向（One-Way）哈希函数：给定一个单向哈希函数 $H$ 和一个输出字符串 $y$ ，很难找到满足 $y=H(x)$ 的输入 $x$
抗碰撞（Collision-Resistant）哈希函数：给定一个抗碰撞哈希函数 $H$ ，很难找到两个不同的输入 $x_1$ 和 $x_2$ 满足 $H(x_1 )=H(x_2)$

2. 根据输出空间分类

$H: \{0, 1\}^∗→\{0, 1\}^n$ ：输出空间是包含所有 n 位字符串的集合
- 主要用于从密钥空间 $\{0, 1\}^n$ 生成一个对称密钥，用于混合加密
$H: \{0, 1\}^∗→Z_p$ ：输出空间为 $\{0, 1, 2, · · · , p-1\}$ ，其中 $p$ 是群的阶
- 主要用于将哈希值嵌入到群的指数，譬如 $g^{H(m)}$
$H : \{0, 1\}^∗ → G$ ：输出空间是一个循环群，即将输入字符串哈希映射到一个群元素
- 仅适用于某些群，主要是对称双线性配对 $G×G→G_T$ 中的群 $G$ 和非对称双线性配对 $G_1×G_2→G_T$ 中的群 $G_1$

3.5 伪随机数生成器 (Pseudo) Random Number Generator

设 $x$ 为随机变量， $w1$ 、 $w2$ 为空间中任意两个可能的随机数，进行随机选择操作，使得 $Pr⁡[x=w_1 ]=Pr⁡[x=w_2]$

1. 方案中的随机数和现实中的区别？

在方案算法中，算法可以选择满足相等概率的真正随机的随机数
在现实世界中，算法是使用伪随机数生成器选择伪随机数

参考资料：

[1] 安全规约导论，郭富春