1. 引言
以太坊基金会Antonio Sanso 2023年论文 Family of embedded curves for BLS中,展示了源自BLS椭圆曲线的embedded curves。
pairing-friendly curve E E E具有bilinear map e : G 1 × G 2 → G T e:\mathbb{G}_1\times \mathbb{G}_2\rightarrow \mathbb{G}_T e:G1×G2→GT,其中 G 1 , G 2 \mathbb{G}_1,\mathbb{G}_2 G1,G2为 E E E的distinct prime-order r r r subgroups, G T ⊂ F p k \mathbb{G}_T\subset \mathbb{F}_{p^k} GT⊂Fpk并具有相同的order r r r。
当前效率最高的pairing-friendly椭圆曲线为以Barreto、Lynn和Scott命名的BLS曲线[BLS03]。
为减轻ZKP系统中椭圆曲线运算压力,策略之一是选择embedded curves:
- 其base field为pairing曲线的group order,从而对应运算域中的模。
- embedded curves可优化证明生成过程中的运算操作。
- 在 CØCØ [KZM+15]论文中,创建了一种新的(embedded)椭圆曲线——可高效实现密钥交换中所必须的scalar multiplication运算。
BLS12-381[Bow17]由Sean Bowe于2017年引入的pairing-friendly曲线,目前正在由IRTF加密论坛研究小组领导的标准化过程中。BLS12-381曲线广泛用于数字签名和ZKP系统中,包括但不限于:
- ZCash
- Ethereum 2.0
- Anoma
- Skale
- Algorand
- Dfinity
- Chia 等等
当前BLS12-381的embedded curves有:
- Jubjub[ZCa]为由ZCash团队设计的,基于BLS12-381 scalar域 F r \mathbb{F}_r Fr而设计的椭圆曲线。
- 2021年Masson等人[MSZ21]也设计了一种基于BLS12-381 scalar域的椭圆曲线——Bandersnatch。Bandersnatch具有高效endomorphism,支持一种快速scalar multiplication算法——GLV[GLV01]技术。与Jubjub相比,其scalar multiplication运算速度要快42%。
Bandersnatch基于BLS12-381 scalar域 F r \mathbb{F}_r Fr,其seed为 u = − 0 x d 201000000010000 = − 1 ⋅ 2 16 ⋅ 906349 ⋅ 254760293 u=-0xd201000000010000=-1·2^{16}· 906349 · 254760293 u=−0xd201000000010000=−1⋅216⋅906349⋅254760293。
参考资料
[1] Antonio Sanso 2023年论文 Family of embedded curves for BLS
