前言
上一篇文章中,我们在"F_101"上找到了17个点满足椭圆曲线方程,他们构成一个循环。那么在"F_101"中元素作为坐标的点中还有没有其他的点也满足方程呢?换句话说,上篇文章列出的17个点是不是就是满足方程的全部的解呢?并非如此,比如可以验证(3,38)也满足椭圆曲线的方程,但是他不是上面17个点中的一个。另一个子群
实际上,我们甚至可以通过将(6,44)作为生成元来得到一个102个元素的循环群,这个循环群涵盖了曲线在"F_101"上的全部点。但是,曲线在"F_101"上的循环周期为17的循环群却只有中篇列出的一个,也就是说在"F_101"上讨论的话,循环周期为17的点已经被我们全部找到了。
在中篇中,我们也提到数域的扩张会直接影响我们需要讨论的点的多少,那么如果我们对"F_101"进行扩张,是否能够得到更多的循环周期为17的点呢?METASTATE的博客中给出这样一个例子,我们将用这个例子说明这个命题的真假。首先我们选择满足j^2mod17=15的j用于对"F_101"的扩张,过程就像我们上一篇文章中进行的那样,扩张后的域记为“F_101的二次扩域”。在这个扩张下,我们可以找到另一个循环周期为17的群,下面的表格列出这个群的全部元素:
2156枚BTC从未知钱包转移到Coinbase:金色财经报道,据Whale Alert监测,2小时35分前有2,156枚BTC (约54,121,533美元) 从未知钱包转移到Coinbase。[2023/6/15 21:38:37]
我们随机选择(66,0+23j)这个元素来验证其满足曲线方程:
左侧:y^2mod101=^2mod101=23×15mod101=42
右侧:x^3+3mod101=41^3=3mod101=42
左侧等于右侧,验证完毕。
在发现通过域扩张后还能找到更多的17阶点后,我们不禁会想:
美SEC前网络主管:美SEC挑选代币进行起诉是相当不公平的:金色财经报道,美国证券交易委员会(SEC)前网络主管Robert Cohen表示,美SEC挑选和选择代币进行起诉是相当不公平的,似乎有一种真正的坏运气和随机性的因素,被挑出来成为被提及的10或12个代币中的一个,而本来有数百个代币,当你想到政府采取行动时,这种随机性似乎相当不公平。如果美国证券交易委员会正在通过规则,它对每个人的影响是一样的,人们应该有机会发表意见。[2023/6/11 21:29:28]
继续对”F_101的二次扩域”进行扩张,能否找到更多的17阶点呢?
或者是:为了找到全部的17阶点,我们需要对F_101进行几次扩张呢?
嵌入度其实就是描述这个问题的一个概念。E是定义在F_101上的椭圆曲线,我们已经有一个包含n=17个点的子群,我们称这个子群的嵌入度是满足17整除q^k-1的最小的k。在这个例子中,k=2。计算嵌入度的价值在于事实证明,当对F_101进行扩张以期其上的椭圆曲线包含全部17阶点时,最小的扩张次数就等于嵌入度。也就是说在”F_101的二次扩域”上,我们已经找到全部的17阶元素。
加密货币分析师:根据MVRV比率数据,比特币已经达到了与之前熊市相同的水平:金色财经报道,加密货币分析师Michael van de Poppe在一条推文中分享了比特币的市场价值与实现价值(MVRV比率)数据。根据MVRV比率数据,比特币已经达到了与之前熊市相同的水平。从历史上看,BTC价格已从2018年11月、2015年1月和2011年11月的这些水平恢复。虽然比特币大多遵循其历史图表模式,但大多数人认为比特币这次不会遵循数据。由于加密货币市场仍面临压力,人们预计比特币将进一步下跌。但是,MichaelvandePoppe建议在短期和长期内在当前水平增持和持有比特币。
链上数据显示,1周到1个月购买的BTC占比近期达到了UXTO总量的3%。这是基于这种下降趋势的最低点,但自FTX危机以来一直在增加。这表明有些人正在为长期观点增持比特币。[2022/11/27 20:56:58]
Millier循环
动态 | 超3300万个邮箱密码泄漏,攻击者勒索比特币赎金:7月9日,腾讯御见威胁情报中心发文称近期捕获到一起挖矿木马攻击事件,该木马病的独特亮点就是利用肉鸡电脑大量发送恐吓勒索邮件。截止目前,该病已经攻克了1691台服务器,已验证的邮箱帐号超过3300万个,包括Yahoo、Google、AOL、微软在内的邮箱服务均在被攻击之列,最终可能会有上亿个邮箱帐号被验证。如果邮箱帐号验证成功就向该邮箱发送欺诈勒索邮件,邮件内容就是“我知道了你的密码或隐私信息,你必须在X日内向XXX帐号支付价值XXX美元的比特币,否则,就公开你的隐私信息。” 分析发现,病主模块编写者为“Burimi”,且具有内网传播能力(感染U盘和网络共享目录),安全专家将其命名为“Burimi”挖矿蠕虫。[2019/7/9]
下面给出计算双线性映射的Millier算法,当计算e(P,Q)时,该算法根据P的坐标创建一个二元多项式,然后将P坐标的x和y分量带入求值:
声音 | 迅雷张骁:区块链发展与密码学的提升密不可分:据洞察网消息,迅雷链底层研发工程师张骁表示,区块链之所以能够解决人与人之间的信任问题,就是因为它的不可篡改性,而这种特性本质上又是基于密码学算法来实现的。因此密码学在区块链中的地位很关键,区块链作为信任的基石,密码学则是区块链的基石。
他相信,未来区块链的发展与密码学在安全领域上的提升是密不可分的,所以迅雷链也会紧密地去关注密码学未来的发展。[2018/12/24]
METASTATE的博客中作者已经计算了e((1,2),(90,82u))点的结果为97+89j。我们给出另外一个计算的例子,并且稍后通过对比这两个例子的结果说明双线性对的一些属性。
其中f_17是二元的多项式,通过一个称为Millier循环的过程我们可以生成该多项式,这个过程类似于计算指数运算时的mul-and-square操作。但是为了更直观的展示原理,我们选择根据上文定义直接展开计算f_17,这会增加一些计算量。
因此我们需要计算
的表达式。通过查询上一篇文章的列表我们可以找出P,±2P,±4P,±8P,±16P的值,其中P=(12,32)=5G:
接下来我们来计算这些直线的方程:
这样我们已经可以计算f_17的结果:
最后我们计算(81+52j)^600
完全解决curve101配对问题
实际上,我们可以计算出GT的生成元e(G1,G2),也就是e((1,2),(36,31j)),其值为7+28j。这样我们能够完全掌握GT中全部的元素:
可以看到GT也是一个循环群,他其实是在“F_101的二次扩域”上满足方程x^17=1的17个根。根据该表我们不加以计算就可以知道这个配对的任何一个计算结果,例如e((12,32),(36,31u))=e(5G1,G2),因此其值就是上表的第5个元素:93+25j。我们之所以能够完全解决curve101的配对问题,是因为curve101的一系列参数决定其足够简单,而实际零知识证明算法中使用的配对就要复杂很多。例如一些标准中要求其配对曲线的嵌入度至少为12,这意味着GT的元素至少是基础素域的12次扩张!如果其素域特征为常见的256位,那么为了表示一个GT元素就需要256*12/8=384字节的大小。对于任何一个实际使用的曲线,其计算复杂度和规模都使我们当前绝无可能计算出其映射表,这也是离散对数问题困难的所在。
通过系列文章,我们计算了一个简单的配对曲线,加深了对双线性映射的理解。后续,我们继续使用这个配对曲线来讲解和演示零知识证明中Groth16算法的过程和原理,敬请期待。
乔沛杨趣链科技基础平台区块链底层密码学小组
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。