1. 双线性群

    令G为一个素数阶p的群。在G中定义离散对数问题如下：

输入: g,h属于G，

输出：x， 使得h=gx.

我们说G上的离散对数问题是困难的，如果没有有效的算法可以以不可忽略的概率解决G上的离散对数。其中g选自G，x选自Zp。

如下两个群上存在困难的离散对数问题：

（1），Zq*， 其中q为素数；

（2），定义在素数有限域Fq上的确定椭圆曲线上的点群E（Fq）。

其中（2）中的群E（Fq）有加法结构，Zq*不具备加法结构。

特别的，在群E（Fq）上，存在一种有效地函数，Weil Pairing[1]，可将E（Fq）中的两个点映射到Fqa*中的元素。WP函数可以通过一种叫做Miller的算法有效的计算[2]。函数WP是双线型的（双线性的性质如下）

定义：bilinear group 双线性群

一个素数阶p群G 是一个双线性群，当且仅当存在一个素数阶p群GT，和一个映射e：G*G–>GT,使得：

（1），G， GT中的运算是有效地

（2），映射e是双线性的，即e（ga, gb）=e(g,g)ab

(3), e是有效地计算

（4），e有非退化性，即存在一个g使得e（g，g）不等于1

我们常称双线性映射为 pairing。

双线性映射的性质（在G中）：

1. 对任意g,h 属于G， x属于Z，都有  e（g, hx）=e(gx, h), 指数转移，在不知道x值的情况下。

2. 可将G上的离散对数问题归于到GT上。 例如：g，h属于G，计算gT=e（g，g），hT=（g，h），要做G上的离散对数问题h=gx，只要当且仅当hT=gTx，其中hT和gT为GT中的离散对数问题。

3. DDH问题在群G中是简单问题。由于：

考虑（g, ga, h, hb）属于G4，a,b属于Zp，存在一个有效地算法来测试a=b:

a=b 当且仅当 e（g, hb）=e(ga,h)

1.1 DH问题简介及BDH问题

CDH：in G, 给定（g，gx，gy），求gxy。其中g属于G，x，y属于Zp。

B（bilinear）DH：给定（h，g，gx，gy），求e（g， h）xy。其中g，h属于G，x，y属于Zp。

CDH和BDH问题在G上都是困难问题。

DDH：给定参数，区分（g，gx，gy，gxy）和（g，gx，gy，gz）其中g属于G，x，y，z属于Zp。

DDH问题在双线型群G中不成立。由此提出了两个DDH改进型，可以使其在双线性群G中成立。

DBDH：给定参数，（h, g, gx, gy, e(g,h)xy）和（h,g,gx,gy,e(g,h)z）在双线性群G上不可取分。

Decision Linear assumption ：给定参数，（g,h,u,hy,ux+y）和（g, h, u, gx, hy, uz）不可取分。其中g,h,u 属于G，x,y,z属于Zp。

G中的DBDH假设等同于GT中的DDH假设。

2。对运算的基本应用（签名，加密）

====================================

2.1， 签名

2.2，加密

1,IBE

2,Chosen Ciphertext security

3，Homomorphic Enc

4，Searchable encryption

5，Broadcast encryption

6，Verifiable random function (VRF).

待续

reference

[1].Joseph H. Silverman. The Arithmetic of Elliptic Curves , volume 106 of Graduate Texts in Mathemat-ics. Springer-Verlag, 1986.

[2].Victor Miller. The weil pairing, and its efficient cal-culation. J. of Cryptology , 17(4):235–261, 2004. ex-tended abstract written in 1986, but never published.