如何计算给定BLS公钥和消息的椭圆曲线配对函数

椭圆曲线配对函数（Bilinear Pairing）是现代密码学中的一种重要的数学运算，广泛应用于各种加密算法和协议中。椭圆曲线配对函数通常用于计算两个椭圆曲线上的点之间的乘法关系，其结果是一个标量值。

在给定BLS（Boneh-Lynn-Shacham）公钥和消息的情况下，计算椭圆曲线配对函数的过程可以简要描述如下：

首先，从BLS公钥中提取相关参数，包括椭圆曲线的定义域、生成元、以及其他相关的参数。这些参数用于构建具体的椭圆曲线。
将消息进行哈希运算，得到一个固定长度的哈希值。通常采用的是SHA-256等哈希算法。
构造一个基于椭圆曲线的点，将消息的哈希值与该点进行乘法运算。得到的结果是一个在椭圆曲线上的新点。
利用椭圆曲线上的运算规则，将新点与BLS公钥中的某个点进行椭圆曲线配对函数的运算。该运算的结果是一个标量值。
最后，根据具体的应用需求，可以对得到的标量值进行进一步的处理，例如用于身份验证、加密解密等操作。

椭圆曲线配对函数在密码学中有着重要的应用，特别是在身份验证、可验证加密、代理重加密、属性基加密等领域。它具有高度的安全性和性能优势，可以提供强大的加密保护和隐私保护能力。

腾讯云的产品在云计算领域也提供了相关的支持。作为一家知名的云服务提供商，腾讯云提供了丰富的云计算产品和解决方案，包括云服务器、容器服务、人工智能服务、数据库、存储等等。具体可以参考腾讯云的官方网站（https://cloud.tencent.com/）了解更多信息。

注意：由于您的要求不能提及其他流行的云计算品牌商，本回答中没有提供腾讯云相关产品的具体介绍链接。请您自行访问腾讯云官方网站获取相关信息。

相关·内容

【密码学（2）】-BLS聚合签名

与以往签名方案不同的是，BLS采用了基于双线性映射的椭圆曲线配对技术，来实现签名验证与聚合。 BLS签名过程 1....准备阶段，秘密选取随机数字作为私钥pk，计算公钥P = pk × G，待签名的消息m。 2....这里就用到了上面略过的曲线配对函数，简介如下：有一个（或一种）特殊的函数记为e，它可以接受输入一条（或两条不同）曲线上两点P和Q，输出至一个数字，如式：e(P, Q) → n 之所以说这个函数特殊...，仍需用到所有的公钥，并计算10次配对函数，交易量越多计算量越大，好处是，区块中的签名字节大大减少了。...抗密钥攻击聚合上述的方案理论上可行，但实际上可能受到密钥攻击，例如伪造签名，如何防范呢？一种方法是要求每个签名参与者证明它拥有公钥对应的私钥（用私钥给公钥签名或者随机指定消息签名）。

3K1 0

ARPA基于BLS的门限签名算法随机数生成器设计

伪随机有许多可供选择的算法，例如公钥哈希消息认证码（HMAC）以及门限签名。为了确定用于产生随机数的原始数据类型，我们将首先研究RNG的基本性质。...其次，BLS是一个基于配对的密码学实例。配对的双线性提供了类似同态加密的特性，即对不同数学结构的计算可以相互映射，这将使随机数的生成程序可以异步完成，且最后才聚合成随机数。...关于配对和椭圆曲线的更多细节，请参考文档。最后，门限签名版本的BLS签名作为一个去中心化系统是十分稳定的。每次向系统申请随机数时，最多有一半的节点需要响应。...当给定一组参与 ARPA 可验证 RNG 的计算节点时，密钥共享在密钥生成阶段由 Feldman 的可验证秘密共享方案分配。然后，每一个参与方计算并广播他们的公钥分片。...原始 BLS 与阈值 BLS 由于配对的双线性，随机数生成阶段与原始 BLS 签名算法是相同的。在接收到种子后，每个节点会在本地计算其随机数的一部分并进行广播。

7992 0

ETH 2.0开源BLS签名实现库

提供的密码学原语（配对、椭圆曲线、哈希等）。...Chia BLS的主要特性如下：遵循IETF规范的非交互式签名聚合支持Windows, Mac, Linux, BSD 基于Proof of Posssesion的有效验证支持公钥和私钥的聚合支持...NeverMind BLS作为一个System.Security.Cryptography.AsymmetricAlgorithm插件实现，遵循.Net Core的密码学方案规范；支持私钥转公钥、ETH2.0...消息的签名和验证、公钥/签名聚合、聚合签名的验证等；提供跨平台支持，例如windows、linux和osx。...BN256配对。

1.7K3 0

区块链核心技术-密码学

这是以太坊黄皮书关于钱包（私钥、公钥、地址）的描述，仅仅 2 行文字。主要讲解私钥通过 ECDSA（椭圆曲线签名算法）推导出公钥，继而经过 Keccak 单向散列函数推导出地址。...在非对称加密中，将密钥分为加密密钥和解密密钥，也就是我们常说的公钥和私钥。公钥和私钥一一对应，由公钥加密的密文，必须使用公钥配对的私钥才可以解密。...这就是椭圆曲线算法上的离散对数问题，也是为什么你可以分享地址（或公钥）给别人，但不能暴露自己的私钥。...privateKey, false).slice(1) publicKey.toString('hex'): 1e3f1532e3285b02...45d91a36a8d78cb6bef8 为了形象的表现椭圆曲线算法如何将私钥推导出公钥...作为加密算法的一种，散列函数是一种单向密码体制，对于给定的哈希值，无法推倒输入的原始数据，具有不可逆性，这也是哈希算法安全性的重要基础。目前，哈希算法主要有两类：MD系列和SHA系列。

11.9K53 45

区块链数据结构

即无法从哈希值反推出原始消息，因此在实际应用中需要对原始消息进行哈希计算并将哈希值与消息一起进行存储和传输以保证数据的完整性和真实性椭圆曲线基本介绍椭圆曲线加密算法(Elliptic Curve...公钥是一个椭圆曲线上的点，可以表示为(x，y)的坐标形式，在比特币中公钥是一个65字节的字节数组，由04开头，后面跟随64字节的x坐标和64字节的y坐标组成对公钥进行哈希运算。...公钥是一个椭圆曲线上的点，可以表示为(x，y)的坐标形式，在比特币中公钥是一个65字节的字节数组，由04开头，后面跟随64字节的x坐标和64字节的y坐标组成计算交易的哈希值。...具体来说就是通过公钥Q计算出椭圆曲线上的点P，然后通过签名中的r和s可以计算出椭圆曲线上的点Q，如果点Q和点P相等，则交易验证通过，否则交易验证失败以下是一个使用Go语言实现椭圆曲线加密算法对比特币交易进行签名验证的示例代码...私钥是一个256位的随机数，同样必须妥善保管通过私钥d2和基点G计算公钥Q2 通过私钥d1和公钥Q2计算共享密钥K。

6497 0

SM2 (含SM3、SM4)国密算法工具QT版，彻底搞懂国密算法的使用

什么是压缩公钥和非压缩公钥？xB和yB这参数是什么？怎么使用SM2做加解密？如何签名和验签？有没有工具来验证下？...至于为啥公钥要搞成x,y两段，是因为公钥是椭圆曲线上的一个点，一个点包含(x，y)两个分量，这才确定了一个坐标。为啥给定了x就能求得y,给定y能否求得x呢？...当然了，根据椭圆曲线方程：y^2=x^3+ax+b， a,b都是常数是已知的，给了x就能得到y,给定y就能得到x。有时候压缩公钥别人会给02开头的，有时候会给03开头的。...； M' = ZA || M，其中M为待签名消息； e = H256(M')；用随机数发生器产生随机数k ∈[1,n-1]；计算椭圆曲线点(x1,y1)=[k]G；计算r=(e + x1...国密sm2使用的是固定的值"1234567812345678"。 a,b,xG和yG是椭圆曲线算法选定的椭圆曲线参数。后面有说明。这几个都是个固定值。 xA和yA这个就是公钥的前后两段。

4.9K2 0

SM2 (含SM3、SM4)国密算法工具QT版，彻底搞懂sm2算法的使用

大家好，又见面了，我是你们的朋友全栈君。网上有很多网友问算法SM2怎么使用？什么是压缩公钥和非压缩公钥？xB和yB这参数是什么？怎么使用SM2做加解密？如何签名和验签？...至于为啥公钥要搞成x,y两段，是因为公钥是椭圆曲线上的一个点，一个点包含(x，y)两个分量，这才确定了一个坐标。为啥给定了x就能求得y,给定y能否求得x呢？...当然了，根据椭圆曲线方程：y^2=x^3+ax+b， a,b都是常数是已知的，给了x就能得到y,给定y就能得到x。有时候压缩公钥别人会给02开头的，有时候会给03开头的。...； M’ = ZA || M，其中M为待签名消息； e = H256(M’)；用随机数发生器产生随机数k ∈[1,n-1]；计算椭圆曲线点(x1,y1)=[k]G；计算r=(e + x1...国密sm2使用的是固定的值”1234567812345678″。 a,b,xG和yG是椭圆曲线算法选定的椭圆曲线参数。后面有说明。这几个都是个固定值。 xA和yA这个就是公钥的前后两段。

1.8K1 0

以太坊硬件钱包原理_以太坊区块链怎么挣钱

私钥通过 ECDSA（椭圆曲线签名算法）推导出公钥，继而经过 Keccak 单向散列函数推导出地址。...在非对称加密中，将密钥分为加密密钥和解密密钥，也就是我们常说的公钥和私钥。一个公钥密码学系统必须满足如下要求：根据一个给定的公钥从而推导出它对应的私钥在计算上是不可行的。...公钥和私钥根据椭圆曲线点加法的定义，我们可以知道如果 X = x ⋅ P X=x\cdot P X=x⋅P ，在给定 X X X 的情况下我们无法计算出对应的 x x x（每进行一次点加法，点的位置都变化很大...因此，椭圆曲线密码学就利用了这一原理，在给定基准点 P P P 的情况下，随机生成私钥 x x x ，再利用椭圆曲线快速计算出公钥 X X X 。...因此，修改后的椭圆曲线可能如下所示：注意到，其中关于x轴对称的部分没有画出（这个部分不是很明白)。应用如何应用椭圆曲线？需要考虑两个问题：如何证明你知道私钥 x x x 。

3.4K2 0

椭圆曲线加密算法与聚合签名原理解析

对于A+A，即两点重合的情况，则是取A点的切线：将A关于x轴对称位置的点定义为-A，即椭圆曲线的正负取反运算：综上，给定椭圆曲线上的某一个点G，可以计算出2G=G+G，3G=G+...即给定G点，已知k，就可以计算出kG；而已知kG，却很难计算出k值，这是离散对数困难问题。这就符合非对称加密的特点，私钥可以推出公钥，公钥不能推出私钥，其中，大数k就为私钥，kG即为公钥。...2 椭圆曲线加解密算法已知：给定G点，私钥k，公钥P=kG 公钥加密：对消息m进行加密，生成随机数 r，密文C={rG，m+rP}，私钥解密：m+rP - k(rG) = m + rP - r(...5 密钥消除攻击看这种情况：张三公钥为P1 ，对某个消息（不一定是m）的签名为李四公钥为P2，但他对外公布自己公钥为，对消息m的签名为，记为聚合签名则为：公钥的计算又依赖于他公布的公钥，所以想伪造一个合适的公钥是不可能的。

1.6K3 0

Polkadot中的密码学

签名会话密钥：使用Schnorr签名的ed25519实现 Schnorrkel/Ristretto sr25519变体实现会话密钥： Ristretto Schnorr公钥（公钥-32字节，签名-...64字节，VRF-96字节），提名者密钥，VRF区块生成 BLS12-381小曲线（公钥-48字节，签名-96字节），更高效的聚合（aggregated）签名，将用于GRANDPA中 BLS12-381...大曲线（公钥-96字节，签名-48字节）传输层身份验证密钥 Polkadot的帐户主要使用带有Schnorr签名的公钥，Polkadot认为它满足：在比特币Schnorr愿望清单提到的支持多重签名...较快的签名，批量验证比ECDSA更简单，以及更自然的阈值支付通道用到的技巧改善区块验证和极其安全的Ed25519或secp256k1曲线一起工作得很好加密曲线区块链中的账户通常有两种曲线选择：...椭圆曲线库 Ed25519 ed25519-dalek Github：https://github.com/dalek-cryptography/ed25519-dalek Sr25519 schnorrkel

1.2K2 0

国密算法「建议收藏」

SM2算法 SM2算法：SM2椭圆曲线公钥密码算法是我国自主设计的公钥密码算法，包括SM2-1椭圆曲线数字签名算法，SM2-2椭圆曲线密钥交换协议，SM2-3椭圆曲线公钥加密算法，分别用于实现数字签名密钥协商和数据加密等功能...2、用户A选择一个私有密钥k，并生成公开密钥（公钥PB）K=kG。　　3、用户A将Ep(a,b)和点（公钥）K，G传给用户B。　　...SM2算法主要考虑素域Fp和F2m上的椭圆曲线，分别介绍了这两类域的表示，运算，以及域上的椭圆曲线的点的表示，运算和多倍点计算算法。...最后给椭圆曲线上密钥对的生成以及公钥的验证，用户的密钥对为（s，sP），其中s为用户的私钥，sP为用户的公钥，由于离散对数问题从sP难以得到s，并针对素域和二元扩域给出了密钥对生成细节和验证方式。...数字签名算法，密钥交换协议以及公钥加密算法都使用了国家密管理局批准的SM3密码杂凑算法和随机数发生器。数字签名算法，密钥交换协议以及公钥加密算法根据总则来选取有限域和椭圆曲线，并生成密钥对。

3.6K2 0

Golang与非对称加密

使用公钥加密，使用私钥解密公钥和私钥不同公钥可以公布给所有人私钥只有自己保存相比于对称加密，运算速度非常慢加密过程：明文+公钥——>密文解密过程：密文+私钥...的算法原理主要用到了数论 3.1 RSA的加密过程 1、随机选择两个不相等的质数p和q，p=61，q=53 2、计算p和q的乘积，n=3233 3、计算n的欧拉函数∅(n) = (p-1)(q-1)，∅...和e封装成公钥，n和d封装成私钥，公钥=(3233, 17)，私钥=(3233, 2753) 3.2 调用示例 RSA使用示例代码 package main import ( "crypto/rand...ECC（Elliptic Curve Cryptography）椭圆曲线加密算法，相比RSA，ECC可以使用更短的密钥，来实现与RSA相当或更高的安全定义了椭圆曲线上的加法和二倍运算椭圆曲线依赖的数学难题是...：k为正整数，p是椭圆曲线上的点（称为基点），k*p=Q，已知Q和P，很难计算出k ECC是建立在基于椭圆曲线的离散对数的难度, 大概过程如下给定椭圆曲线上的一个点P，一个整数k，求解Q=kP很容易；

1.1K4 0

以太坊密码学

本文作者：aisiji[1] 本文介绍在以太坊密码学是如何工作的？什么是公钥和私钥，以及如何使用它们密钥和地址以太坊有两种不同类型的账户：外部账户(EOAs)和合约。...不要自己编写代码来生成随机数或者用你的编程语言随机生成一个简单的随机数。公钥以太坊公钥是椭圆曲线上的一个点，一个满足椭圆曲线等式的(x，y)坐标。...它由两个从私钥生成的数字组成，并且只能单向生成，这意味着，如果你有一个私钥，就可以计算出公钥，但是你不能从公钥计算出私钥。...公钥是私钥通过椭圆曲线乘法得来，是不可逆的：，这里的是私钥，G 是常数点(生成点)，是公钥。椭圆曲线乘法(×)与普通的乘法不同。...椭圆曲线密码学椭圆曲线密码学是非对称的，基于离散算法问题的公钥密码学，这种离散算法问题由椭圆曲线上的点的加法和乘法来表示。

1.1K2 0

这 HTTPS，真滴牛逼！

），此时小红的公私钥为 Q1 和 d1，小明的公私钥为 Q2 和 d2；双方交换各自的公钥，最后小红计算点（x1，y1） = d1Q2，小明计算点（x2，y2） = d2Q1，由于椭圆曲线上是可以满足乘法交换和结合律...这个过程中，双方的私钥都是随机、临时生成的，都是不公开的，即使根据公开的信息（椭圆曲线、公钥、基点 G）也是很难计算出椭圆曲线上的离散对数（私钥）。...G 和私钥计算出服务端的椭圆曲线公钥，这个会公开给客户端。...为了保证这个椭圆曲线的公钥不被第三方篡改，服务端会用 RSA 签名算法给服务端的椭圆曲线公钥做个签名。...至此，双方都有对方的椭圆曲线公钥、自己的椭圆曲线私钥、椭圆曲线基点 G。

1.7K1 0

椭圆曲线加密与NSA后门考古

虽然之前连续的椭圆曲线现在变成了离散的点，但可以证明这些点的集合同样是一个阿贝尔群，因此也满足群的定义和推论。那么，我们要如何定义和计算这些离散点的加法呢？...已知私钥d和G我们可以很容易通过乘法计算出公钥H，但是反过来从公钥计算私钥却要面临离散对数问题。...假设通信双方还是Alice和Bob，则ECDH的工作流程为： Alice和Bob使用同样的椭圆曲线，并分别随机生成它们自己的私钥和公钥，其中Alice的私钥为da，公钥为Ha = da * G，Bob的私钥和公钥分别为...db和Hb； Alice和Bob在不安全的信道中交换它们的公钥Ha和Hb； Alice和Bob分别计算自己私钥和收到的对方公钥的乘积，有： Sa = da * Hb = da * (db * G) =...中间人通过偷听只能获得双方的公钥，如果它想要在没有私钥的情况下计算出该乘积，就相当于需要解决这么一个问题：给定椭圆曲线上三个点P、aP和bP，如何计算abP？

1.2K5 0

椭圆曲线密码学和以太坊中的椭圆曲线数字签名算法应用

显然，a和b的取值对曲线形状还是有影响的。 ? 现在有了椭圆曲线的具体形状和方程，假设曲线上有一个点P，我们想计算它的倍积nP，该怎么做呢？...计算方法我们来看下具体的如何计算椭圆曲线点倍积 Q = dP，即已知椭圆曲线点P和标量d，计算出曲线点Q。...其次，Alice要创建一对钥，即一个私钥和一个公钥。私钥来自于[1, n-1]范围内一个随机数： ? 公钥如下，它来自私钥和基点的椭圆曲线点倍积： ?...所以Bob的验证分两部分，首先验证公钥，然后验证签名文件(r, s)。公钥的验证公钥 ? 的坐标应是有效的，不会等于一个极限值空点 ? 通过公钥 ? 的坐标验证它必须是处于该椭圆曲线上的点。...公钥和地址以太坊中用到的Address类型地址变量，比如每个账户的地址，都来自于椭圆曲线数字签名用的公钥。

4K4 0

IT领域常见的加密算法详细解析

签名生成给定消息M，首先计算消息摘要z（通常是通过哈希函数如SHA-2）。随机选择一个小于q的整数k（每次签名都不同）。计算r = (g^k mod p) mod q。...ECC (Elliptic Curve Cryptography) ECC（Elliptic Curve Cryptography，椭圆曲线密码术）是一种基于椭圆曲线数学理论的公钥加密算法。...在ECC中，选择一个椭圆曲线和一个称为基点的特定点 G 。公钥是通过基点 G 和一个秘密选择的整数 d（私钥）进行标量乘法得到的，即 Q = dG 。这里的标量乘法是指基点 G 自身的多次加法运算。...由于在椭圆曲线上计算离散对数问题（给定点 Q 和 G ，求解 d 被认为是非常困难的，这就构成了ECC的安全基础。...此外，ECC也被认为在面对量子计算机威胁时具有更好的抗性，因为量子计算机理论上能够快速破解基于大数因式分解问题的传统公钥系统，而椭圆曲线离散对数问题在量子计算环境下依然难以解决。

1731 0

HTTPS虐我千百遍，我却待她如初恋！

所以小王打算用非对称加密，非对称加密的特点是双方都有自己的公钥和私钥对，其中公钥发给对方，密钥不交换自己保管不泄漏。如下图所示： ?...其中小红的公钥为： public_key = (N, e) = (3233, 17) 她把公钥发给了小明，她自己的私钥为： private_key = (N, e) = (3233, 2753) 这里注意公钥和私钥都是两个数...现在小王想给小红发消息，于是他用小红的公钥进行加密，怎么加密呢？...这个应该比较好理解，而引入椭圆曲线加密能够提高破解难度。椭圆曲线加密现在的证书的签名算法有两种：RSA 和新起的 EC。如下图所示，google.com 便是使用的 ECC 证书： ?...给定一个起点 G（x，y），现在要计算点 P=2G 的坐标，其过程是在 G 点上做一条线与曲线相切于 -2G，做 -2G 相对于 x 轴的反射便得到 2G 点。为了计算 3 ?

6712 0

面试官你不要说我不懂TLS握手了

在DHE算法的基础上利用了ECC椭圆曲线的特性，用更少的计算量计算公钥。为什么需要ECDHE算法 DHE算法由于需要大量的乘法运算，计算性能不高，所以出现了ECDHE算法来替代他。...ECDHE算法密钥交换过程客户端和服务端确定好使用哪种椭圆曲线以及曲线上的基点G，这个对外公开客户端和服务端各自生成一个私钥（假设分别为c和s），将私钥与基点G相乘可以分别得到其公钥（假设分别为CP...和SP）双方交换公钥，最后服务器计算（x1,y1）= CP * s，客户端计算（x2,y2）= c * SP，由于椭圆曲线的满足交换律和结合律，所以（x1, y1）= CP * s = s * c *...named_curve的椭圆曲线，选好椭圆曲线相当于基点G也好了 Pubkey：根据基点G和服务器生成的私钥计算出的公钥 Signature：为了保证这个椭圆曲线的公钥不被第三方篡改，服务端会用RSA签名算法给服务端的椭圆曲线公钥做个签名...目前客户端和服务端已经共享了两个随机数、使用的椭圆曲线，椭圆曲线基点G，服务器的椭圆公钥 TLS第三次握手这一步客户端会发送Client Key Exchange消息，消息如下： Pubkey：客户端根据服务端共享的曲线

6842 0

【HTTPS】407- 记住 HTTPS！

所以小王打算用非对称加密，非对称加密的特点是双方都有自己的公钥和私钥对，其中公钥发给对方，密钥不交换自己保管不泄漏。如下图所示： ?...现在小王想给小红发消息，于是他用小红的公钥进行加密，怎么加密呢？...但是由于根证书都是内置于操作系统的，所以它改不了签名的公钥，并且它没有正确的私钥，只能用自己的私钥，由于公私钥不配对，很难保证加解密后的信息一致。或者直接把浏览器拿到的证书搬到他自己的服务器？...这个应该比较好理解，而引入椭圆曲线加密能够提高破解难度。椭圆曲线加密现在的证书的签名算法有两种：RSA 和新起的 EC。如下图所示，google.com 便是使用的 ECC 证书： ?...给定一个起点 G（x，y），现在要计算点 P=2G 的坐标，其过程是在 G 点上做一条线与曲线相切于 -2G，做 -2G 相对于 x 轴的反射便得到 2G 点。

2.5K4 1

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云