suminar of Pairing for beginneer by Craig Costello

1. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Pairings for beginner
Craig Costello
林彥賓
2020 年 4 月 16 日
林彥賓
Pairings for beginner

2. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Elliptic Curve
general Weierstrass equation:
y2
= x3
+ ax + b
example:
E/F11 : y2
= x3
+ 4x + 3(mod11)
E(F11) 有一點 (0, 5)
E(Fq2 ) 考慮複數，有一點 (2, 5i)
林彥賓
Pairings for beginner

3. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
r-torsion
E[r] = {P ∈ E : [r]P = O}
考慮 E/F101 : y2 = x3 + x + 1，
group order(點總和) 為 105 = 3 * 5 * 7，P 點 (47, 12) 在上，
以此為 base field 可以分出 order 為 {1, 3, 5, 7, 15, 21, 35, 105}
的 subgroup。找出 subgroup 中 order 為 3 的點
1 105 / 3 = 35
2 算 [35]*(47,12) 得到新點 (28, 8) (mod 101)
(28,8) 被稱為在 3-torsion
任何點乘上 order 結果為 O，所以 3-torsion 剛好有 3 點 (乘到 3
就歸 0 循環)
林彥賓
Pairings for beginner

4. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Chinese Remainder Theorem Attack
Consider E/F1021 : y2 = x3 + 905x + 100
group order #E(Fq) = 966 = 2 ·3 ·7 ·23
generator P = (1006, 416)
P2 = [966/2]P = [483](1006, 416) = (174, 0)
Q2 = [483](612, 827) = (174, 0)
Q2 = [k2]P2 => k2 = 1
同理算出 k3 = 3, k7 = 1, k23 = 20
林彥賓
Pairings for beginner

5. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Chinese Remainder Theorem Attack
k ≡ k2 = 1 (mod 2) k ≡ k3 = 0 (mod 3) k ≡ k7 = 1
(mod 7) k ≡ k23 = 20 (mod 23)
k = 687
Q = [687]P
林彥賓
Pairings for beginner

6. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
embedding degree
一般來說， #E[r] = r2
對於 E[r]，我們可以找到最小正整數 k 滿足 r|qk − 1，
若 r|#E(Fq)，
則可以這個 group 為基礎，擴張出其他 E[r] 的點屬於
E(Fqk )E(Fq)
林彥賓
Pairings for beginner

7. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
r-torsion
對於 r-torsion E[r]
設 q = 11 E/Fq : y2 = x3 + 4
已知 E(Fq) 有 12 個點
設 r = 3, 則 (0, 2), (0, 9) O 在 3-torsion 中
但定義 Fq2 = Fq(u), u2 + 1 = 0 後可以推廣出另外 3 群
{(2i+7, 10i), (2i+7, i)}
{(8, i), (8, 10i)}
{(9i + 7, i), (9i + 7, 10i)}
林彥賓
Pairings for beginner

8. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Pairing Types
定義 g1 為一 E[r] subgroup，G1 ∈ g1, G2 ∈ g2
e : G1 × G2 → GT
type 1: G1 = G2 = g1
type 2: g2 為另一 E[r] subgroup 且有有效率的映射得到
ϕ : G2 → G1
DDH 變簡單，可以檢查 e(ϕ(aP), bP) = e(ϕ(P), cP) 是否成
立
type 3:g2 為另一 E[r] subgroup 且沒有有效率的映射得到
ϕ : G2 → G1
type 4: G2 in whole r-torsion
林彥賓
Pairings for beginner

9. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Hasse’s Theorem
Frobenius endomorphism:
ϕ : (x, y) → (xq
, yq
)
Fermat’s little theorem: xp ≡ xmodp
so ϕ(P) = P, ϕ(P)−P = 0, so(ϕ−1)(P) = 0
P ∈ ker(ϕ−1)
#E(Fq) = #ker(ϕ−1) = deg(ϕ−1)
By Theorem
|deg(ϕ−1)−deg(ϕ)−deg(1)| ≤ 2
√
deg(ϕ)deg(1)
But deg(ϕ−1) = #E(Fq), deg(ϕ) = p, deg(1) = 1
|#E(Fq)−p−1| ≤ 2
√
p
林彥賓
Pairings for beginner

10. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Schoof’s Algorithm
Defining t to be q+1-#E(Fq)
Computing the value of t mod N where N>4
√
q
Compute t mod l for l a small prime
We choose S = {l1, l2, ..., lr} to be a set of distinct primes such that
∏
li = N > 4
√
q
given t mod li for all li ∈ S
Chinese remainder theorem allows us to compute t (mod N)
林彥賓
Pairings for beginner

11. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Projective Space
將 2 維的點映射到 3 維上
(x, y) => (x, y, 1)
定義無窮原點 O 為 (0, 1, 0)，從 3 維映射回 2 維則是
(x, y, z) => (x/z, y/z)
以此對於 E : y2 = x3 + ax + b，設 x = X/Z, y = Y/Z，可以寫為
E : Y2
Z = X3
+ aXZ2
+ bZ3
(根據不同的 x = X/Zi, y = Y/Zj 與無窮遠點的位置會有不同的
表示法)
林彥賓
Pairings for beginner

12. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Divisor
divisor: 橢圓曲線 E 上由各點組成的線性組合，稱為 divisor
D on E ∑
P∈Zq
nP(P) nP ∈ Z
function of divisor: X−xZ
Z ，將點 P(x, y, 1) 與-P(X, -y, 1) 代入
X - xZ=0，在點 Z=0 有極點且 order 為 2，寫作 (l) = (P) +
(-P) - 2(O)
設 l 為 y = ux + v，橢圓曲縣 y2
= x3
+ ax2
+ b，帶入 x =
X/Z 與 y = Y/Z 得到 (uX+vZ
Z )2
= (X
Z )3
+ a(X
Z ) + b 可以看出
order 為 3
equivalent: 若有一 function f，使 D1 = D2 + (f)，則稱 D1
與 D2 equivalent，描述為 D1 ∼ D2
degree: 線性組合的係數相加就是該 divisor 的 degree
林彥賓
Pairings for beginner

13. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
weil pairing
設 P, Q ∈ E(Fqk [r]), DP, DQ 為兩個 divisor 滿足
DP ∼ (P) − (O), DQ ∼ (Q) − (O)
DP, DQ 無交集
找到兩個 function f, g 滿足 (f) = r(DP), (g) = r(DQ)
則 weil pairing 表示為
wr(P, Q) =
f(DQ)
g(DP)
林彥賓
Pairings for beginner

14. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
tate pairing
定義 rE(Fqk ) = {[r]P : P ∈ E(Fqk )} 我們可以得到 quotient group
E(Fqk )/rE(Fqk )
可以理解該 group 的元素屬於 E(Fqk ) 且 P1 ≡ P2 if and only if
P1 − P2 ∈ rE(Fqk )
林彥賓
Pairings for beginner

15. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
tate pairing
設 P ∈ E(Fqk )[r]
function f 其 divisior 為 (f) = r(P) − r(O)
Q ∈ E(Fqk ) 且等價任一 group E(Fqk )/rE(Fqk )
DQ (Q) − (O) 且與 f 不相交
則 tate pairing 表示為
tr(P, Q) = f(DQ)
林彥賓
Pairings for beginner