2012年6月更新的当前法国官方建议(第2.2.1.3节)确实与基于$ GF(2 ^ n)$中的DLP的方案,但仅适度。如果使用这种方案,则要求到2030年为止$ n \ ge 2048 $位,其后是$ n \ ge 3072 $位,其子组的阶素至少为200位的质数的倍数。建议优先使用不基于$ GF(2 ^ n)$中的DLP的方案,如果使用该方案,则子组的顺序为素数。
如何报告进度在以上论文中,基于$ GF(2 ^ n)$的算术,并符合引用的建议,可以为提议的密码使用方案带来实际突破。这些方案是什么?
注意:与这个老问题有关;甚至更接近于最近的那个,除了我不仅对基于配对的方案感兴趣,而且还对诸如$ GF(2 ^ {4099})$上的DSA类似物之类的平凡事物感兴趣(如果有的话)。
#1 楼
所引用的建议几乎不能阻止受最新发展影响的领域。以$ \ mathbb {F} _ {2 ^ {6120}} $为例:它显然通过了字段大小标准,但也通过了子组规则,因为组订单$ 2 ^ {6120}-1 $具有一个$ 1536 $-位素数因子。但是,并非所有二进制字段都受到同等影响。 Göloğlu等人和Joux的方法都来自中等素数函数字段筛,并要求字段$ \ mathbb {F} _ {2 ^ N} $可表示为(以及其他):
$ \ mathbb {F} _ {q ^ n} $,其中$ q = 2 ^ l $和$ n = 2 ^ {l / k'\ cdot d_1} $,$ d_1,k'$常量(Göloğlu等);
$ \ mathbb {F} _ {q ^ n} $,其中$ q = 2 ^ l $和$ n = 2 ^ {l / k'}-1 $,$ k'$常量(Göloğlu等);
$ \ mathbb {F} _ {q ^ {2n}} $,其中$ q = 2 ^ {l} $和$ n \ le q + \ delta, \,\ delta \ ll q $(Joux)。
当二进制字段的指数是平滑的时,我们有很多选择尝试以上面的形式表示该字段。例如:$ 1778 = 7 \ cdot(2 \ cdot 127)$; $ 6120 = 24 \ cdot(2 ^ {24/3}-1)$; $ 6168 = 257 \ cdot(2 \ cdot 12)$;但是,当指数为质数时,我们就没有这种运气了。
相反,正如Joux所建议的,可以将目标字段嵌入一个较大的字段中,该字段可以:$ \ mathbb {F} _ {q ^ {2N}} $,其中$ q = 2 ^ { \ lceil \ log_2 N \ rceil} $。尽管此解决方案可能渐近令人满意,但大小的爆炸会增加位长,其中Joux的算法比常规函数字段筛更快。目前尚不清楚此大小可能是多少,但可能会大于当前的通用密钥大小(1024-4096位)。
对于二进制字段的实际使用,我不知道在二进制字段上(基于配对)基于DLP的方案在现实中的使用情况。由于椭圆曲线对指数演算的敏感性增加,我们一直在避免对椭圆曲线使用复合度二进制场。似乎现在有限域被迫做同样的事情。
评论
$ \ begingroup $
非常感谢!在接受之前,我将尝试吸收密集的答案。至少要花一个星期。
$ \ endgroup $
–fgrieu♦
13年5月31日下午4:53
评论
很好的问题,但是考虑到任何人都可能提出并推荐几乎所有内容,回答“不”是否有点困难?是的,还有更多。
值得指出的是,这些新结果有效地消除了二进制曲线上的配对(如在此问题上看到的那样)
@HenrickHellström:对于一个基本案例:在$ GF(2 ^ {4099})$上进行DSA模拟的情况如何[我以前写的不是$ GF(2 ^ {4096})$,表明我严重缺乏理解] ?本文中的技术是否直接适用,还是有一些问题,例如$ 6120 $是平滑的而不是素数?
是的,场的形状与新算法的效率有很大关系。例如,$ 6120 $表示为$ \ mathbb {F} _ {{2 ^ {24}} ^ {255}} $,更一般地说,该方法当前要求基本字段($ 2 ^ {24} $)更大而不是扩展度($ 255 $)。对于$ 4099 $之类的素数,我们不能仅仅更改字段的表示以适应我们的需求。 Joux建议的一种可能的解决方案是将$ \ mathbb {F} _ {2 ^ {4099}} $嵌入$ \ mathbb {F} _ {{2 ^ {4100}} ^ {2 \ cdot 4099}} $,在实践中看起来不太好。因此,主要指数目前是安全的。