背景介绍

技术博客已经好久没更新了。倒不是因为没得写，是因为实在是太忙了，而且研究也到了一个瓶颈期，需要大量阅读文献。

本来打算很长一段时间都不更新博客了，甚至打算等我毕业工作后再更新一些有价值的博客，但是最近在CSDN私信上和知乎上经常收到求救帖子，希望我能写一个jPBC使用方法的博客。甚至实验室的硕士生们也在各种咨询我相关的问题。于是，我打算一劳永逸，写一篇有关jPBC使用的博客。希望这个博客出来后，能解决绝大多数人的问题吧…
本篇博客期望解决的问题：

• 如何使用jPBC库进行双线性群初始化，包括：
  
  • 质数阶双线性群（Prime-Order Bilinear Groups）；
  • 合数阶双线性群（Composite-Order Bilinear Groups）；
• 如何使用jPBC库执行双线性群运算，包括：
  
  • 指数群$\mathbb{Z}$的加法和乘法；
  • 双线性群$\mathbb{G}$的乘法和指数幂；
  • 目标群$\mathbb{G}_T$的乘法和指数幂
  • 双线性群$\mathbb{G}$映射到目标群$\mathbb{G}_T$的对（Pairing）运算；
• 使用jPBC库的一些注意事项。

本篇博客不会涉及到的问题：

• 如何配置jPBC库到Eclipse中；这方面的内容请参考我的另一篇博客：jPBC 2.0.0配置与测试（补充版）；
• 有关双线性对的数学知识；这方面我在第二章会稍微介绍一下，但是不会详谈，因为内容太多了。
• 对偶双线性群向量空间群（Dual Pairing Vector Space，DPVS）；这个群在理论上被用于替代合数阶双线性群。其可以在保证同等安全性的条件下，使双线性对运算时间较短，而代价是存储开销会变大。这个工具在2012年得到了广泛的应用。但是这两年普遍认为这个工具的进一步应用场景有限，而且表示并不直观，还不如和合数阶双线性群好用。jPBC 2.0.0实际上提供了DPVS的实现，也是正确的。有兴趣的朋友们可以自己研究一下，我在这里就不详述了。
• 如何使用jPBC 2.0.0的多线性对（Multilinear Maps）函数库；这方面我自己一直没找时间测试一下多线性对函数库，实际上近期我也不太想测试这个库，主要有两方面的原因。
  
  • 现在所构造出来的多线性对并非密码学中的理想多线性对（Ideal Multilinear Maps），而是候选多线性对（Candidate Multilinear Maps），后者在使用上有很多的限制。
  • jPBC 2.0.0实现的多线性对是[CLT-14]的方案，但这个方案已经被证明是不安全的了。

双线性群简介

这里我直接引用自己的二篇水文来介绍（都是凑数用的…）选择密文安全的身份及广播加密方案，密码学报，Experimental performance comparisons between (H) IBE schemes over composite-order and prime-order bilinear groups，IBCAST 2014。

质数阶双线性群（Prime-Order Bilinear Groups）

质数双线性群可以由五元组$(p, \mathbb{G}_1, \mathbb{G}_2, \mathbb{G}_T, e)$来描述。五元组中$p$是一个与给定安全常数$\lambda$相关的大质数，$\mathbb{G}_1, \mathbb{G}_2, \mathbb{G}_T$均是阶为$p$的乘法循环群，$e$为双线性映射$e: \mathbb{G}_1 \times \mathbb{G}_2 \rightarrow \mathbb{G}_T$，它满足以下3个条件：

• 双线性（Bilinearity）：对于任意的$g \in \mathbb{G}_1$，$h \in \mathbb{G}_2$，$a,b \in \mathbb{Z}_p$，有$e(g^a, h^b) = e(g, h)^{ab}$；
• 非退化性（Non-degeneracy）：至少存在元素$g_1 \in \mathbb{G}_1, g_2 \in \mathbb{G}_2$，满足$e(g_1, g_2) \neq 1$；
• 可计算性（Efficiency）：对于任意的$u \in \mathbb{G}_1, v \in \mathbb{G}_2$，存在一个与给定安全常数$\lambda$相关的多项式时间算法，可以高效地计算$e(u, v)$；

现在的密码学相关论文中，习惯将$\mathbb{G}_1, \mathbb{G}_2$设置为乘法循环群。但是，基于椭圆曲线的双线性群构造中，$\mathbb{G}_1, \mathbb{G}_2$是加法群。所以在大约2005年以前的论文中，双线性群一般写成加法群形式。jPBC中将$\mathbb{G}_1, \mathbb{G}_2$表示称为了乘法循环群，因此在实现写成加法群形式的方案时，要注意将加法群改成乘法群的写法再进行实现。如何修改呢？很简单，把加法群中的加法运算写成乘法运算、把加法群中的乘法运算写成幂指数运算即可。

合数阶双线性群（Composite-Order Bilinear Groups）

合数阶双线性群和质数阶双线性群很类似，区别是$\mathbb{G}_1, \mathbb{G}_2, \mathbb{G}_T$的阶数是一个合数$N$，其中$N$是一些大质数的乘积，如$N=p_1 p_2 \cdots p_n$。同样，$e$为双线性映射$e: \mathbb{G}_1 \times \mathbb{G}_2 \rightarrow \mathbb{G}_T$，它满足双线性性、非退化性以及可计算性。

与质数阶双线性群不同，合数阶双线性群中，$\mathbb{G}_N$有阶数分别为$p_1, p_2, \cdots, p_n$的子群$\mathbb{G}_{p_1}, \cdots, \mathbb{G}_{p_n}$。这些子群进一步满足正交特性。

一些说明

首先，由于双线性群现在的构造是基于椭圆曲线的，而椭圆曲线上的元素是由坐标$(x, y)$表示的，所以如果我们将$\mathbb{G}_1, \mathbb{G}_2$的结果输出到Java的控制台，我们得到的是一个坐标。不过，$\mathbb{G}_T$是一个普通的$\mathbb{Z}$群，所以其元素的表示是一个数。

其次，在密码学中，如果$\mathbb{G}_1 = \mathbb{G}_2$，我们称这个双线性群是对称双线性群（Symmetric Bilinear Group），否则称之为非对称双线性群（Asymmetric Bilinear Group）。

是否为对称双线性群由选取的椭圆曲线种类决定。一般认为，非对称双线性群要比对称双线性群更安全。特别地，现在已经证明一些特定的对称双线性群是不安全的了。

现在jPBC可以使用的曲线为如下几类：

• Type A
• Type A1
• Type D
• Type E
• Type F
• Type G

现在密码学实现基本只使用Type A和Type A1的。前者为对称质数阶双线性群，后者为合数阶对称双线性群。本博客也只在这两类曲线上实验。其他类曲线的实现类似。由于是对称双线性群，本博客中$\mathbb{G}_1, \mathbb{G}_2$统一写为$\mathbb{G}$。

双线性群初始化

在jPBC中，双线性群的使用都是通过叫做Pairing的对象来实现的。双线性群的初始化在jPBC中就是对Pairing对象的初始化。双线性群有两种初始化的方法。第一种是通过代码动态产生一个双线性群，第二种是从文件中读取参数而产生群。

通过代码动态产生

动态产生的方法非常简单，大概有如下步骤：指定椭圆曲线的种类、产生椭圆曲线参数、初始化Pairing。Type A曲线需要两个参数：rBit是$\mathbb{Z}_p$中阶数$p$的比特长度；qBit是$\mathbb{G}$中阶数的比特长度。代码为：

TypeACurveGenerator pg = new TypeACurveGenerator(rBit, qBit);
PairingParameters typeAParams = pg.generate();
Pairing pairing = PairingFactory.getPairing(typeAParams);

Type A1曲线需要二个参数：numPrime是阶数N中有几个质数因子；qBit是每个质数因子的比特长度。注意，Type A1涉及到的阶数很大，其参数产生的时间也比较长。代码为：

TypeA1CurveGenerator pg = new TypeA1CurveGenerator(numPrime, qBit);
PairingParameters typeA1Params = pg.generate();
Pairing pairing = PairingFactory.getPairing(typeA1Params);

通过文件读取产生

我们也可以选择事先产生好参数，存放在文件中。以后再初始化的时候，直接从文件中读取参数，就可以非常快速的初始化双线性群。

PairingParameters支持toString()函数。实际上，我们可以直接将PairingParametersd的toString()存放在文件中。读取的时候，通过读取文件就可以直接初始化双线性群了。

Type A曲线从文件中读取参数初始化的代码为：

TypeACurveGenerator pg = new TypeACurveGenerator(rBit, qBit);
PairingParameters typeAParams = pg.generate();
//将参数写入文件a.properties中，我用了Princeton大学封装的文件输出库
Out out = new Out("a.properties");
out.println(typeAParams);
//从文件a.properties中读取参数初始化双线性群
Pairing pairing = PairingFactory.getPairing("a.properties");

Type A1曲线从文件中读取参数初始化的代码为：

TypeA1CurveGenerator pg = new TypeA1CurveGenerator(numPrimes, qBit);
PairingParameters typeA1Params = pg.generate();
//将参数写入文件a1.properties中，同样使用了Princeton大学封装的文件输出库
Out out = new Out("a1.properties");
out.println(typeA1Params);
//从文件a1.properties中读取参数初始化双线性群
Pairing pairing = PairingFactory.getPairing("a1.properties");

产生双线性群中的随机数

Type A中产生随机数的方法很简单，代码为：

//随机产生一个Z_p群的元素
Element Z_p = pairing.getZr().newRandomElement().getImmutable();
//随机产生一个G_1群的元素
Element G_1 = pairing.getG1().newRandomElement().getImmutable();
//随机产生一个G_2群的元素
Element G_2 = pairing.getG2().newRandomElement().getImmutable();
//随机产生一个G_T群的元素
Element G_T = pairing.getGT().newRandomElement().getImmutable();

Type A1中产生随机数的方法稍微有点麻烦。对于$\mathbb{Z}_N$和$\mathbb{G}_T$方法和Type A一样。代码为：

//随机产生一个Z_N群的元素
Element Z_N = pairing.getZr().newRandomElement().getImmutable();
//随机产生一个G_T群的元素
Element G_T = pairing.getGT().newRandomElement().getImmutable();

但是对于$\mathbb{G}$就不同了。因为$\mathbb{G}$有子群$\mathbb{G}_{p_i}$，Type A1产生随机数时需要指定生成元，椭圆曲线的参数，产生哪个子群的元素，以及Type A1一共有多少个子群。

假定我们产生的Type A1共有n个子群，这n个子群的阶分别为$p_1, \cdots, p_n$，产生随机数的代码如下：

TypeA1CurveGenerator pg = new TypeA1CurveGenerator(numPrimes, qBit);
PairingParameters typeA1Params = pg.generate();
Pairing pairing = PairingFactory.getPairing(typeA1Params);

//设定并存储一个生成元。由于椭圆曲线是加法群，所以G群中任意一个元素都可以作为生成元
Element generator = pairing.getG1().newRandomElement().getImmutable();
//随机产生一个G_p_1中的元素
Element G_p_1 = ElementUtils.getGenerator(pairing, generator, typeA1Params, 0, numPrimes).getImmutable();
//随机产生一个G_p_2中的元素
Element G_p_2 = ElementUtils.getGenerator(pairing, generator, typeA1Params, 1, numPrimes).getImmutable();
// ...... 
//随机产生一个G_p_n中的元素
Element G_p_n = ElementUtils.getGenerator(pairing, generator, typeA1Params, 1, numPrimes).getImmutable();

将指定的元素哈希到双线性群中

由于双线性群最初是用在基于身份的加密（Identity-Based Encryption）系统中，我们经常会需要将一个特定的String或者byte[]哈希到双线性群中。

jPBC支持将byte[]哈希到双线性群的$\mathbb{Z}, \mathbb{G}, \mathbb{G}_T$中。但是，jPBC说明文档中没有提到的是，byte[]数组长度不能太长，如果过长会抛出异常。因此，我建议首先将byte[]用一个SHA256或者其他通用哈希函数哈希到固定长度，再用jPBC提供的函数哈希到双线性群上。在这里我略去SHA256步骤，直接给出哈希到$\mathbb{Z}, \mathbb{G}, \mathbb{G}_T$群的代码：

//将byte[] byteArray_Z_p哈希到Z_p群
Element hash_Z_p = pairing.getZr().newElement().setFromHash(byteArray_Z_p, 0, byteArray_Z_p.length);
//将byte[] byteArray_G_1哈希到G_1群
Element hash_G_1 = pairing.getG1().newElement().setFromHash(byteArray_G_1, 0, byteArray_G_1.length);
//将byte[] byteArray_G_2哈希到G_2群
Element hash_G_2 = pairing.getG2().newElement().setFromHash(byteArray_G_2, 0, byteArray_G_2.length);
//将byte[] byteArray_G_T哈希到G_T群
Element hash_G_T = pairing.getGT().newElement().setFromHash(byteArray_G_T, 0, byteArray_G_T.length);

注意，对于Type A1来说，这个代码无法指定哈希到指定子群$\mathbb{G}_{p_i}$中。解决方法是将byte[]先哈希到$\mathbb{Z}$群，然后利用$\mathbb{G}, \mathbb{G}_T$的生成元计算幂指数，从而达到哈希到$\mathbb{G}, \mathbb{G}_T$上的效果。

双线性群的运算

双线性群之间有如下运算：
- $\mathbb{G}$相关运算：$\mathbb{G}^{\mathbb{Z}}$, $\mathbb{G} \times \mathbb{G}$；
- $\mathbb{G}_T$相关运算：$\mathbb{G}_T^{\mathbb{Z}}$, $\mathbb{G}_T \times \mathbb{G}_T$；
- $\mathbb{Z}$相关运算：$\mathbb{Z} + \mathbb{Z}$, $\mathbb{Z} \times \mathbb{Z}$；
- Pairing运算

做运算的时候要注意一下几点：

1. Java的运算结果都是产生一个新的Element来存储，所以我们需要把运算结果赋值给一个新的Element；
2. Java在进行相关运算时，参与运算的Element值可能会改变。所以，如果需要在运算过程中保留参与运算的Element值，在存储的时候一定要调用getImmutable()，具体方法见代码中的初始化相关参数部分。
3. 其实为了保险起见，防止Element在运算的过程中修改了Element原本的数值，可以使用Element.duplicate()方法。这个方法将返回一个与Element数值完全一样的Element，但是是个新的Element对象。举例来说，如果做$\mathbb{G_1} \times \mathbb{G}_1$的运算，可以写成：

Element G_1_m_G_1 = G_1.duplicate().mul(G_1_p.duplicate());

1. $\mathbb{G}$和$\mathbb{G}$其实也是可以进行幂指数运算的，即$\mathbb{G}^{\mathbb{G}}$，调用的函数为Element e1.pow(Element e2)。特别注意，我们再写$\mathbb{G}$群的$\mathbb{Z}$次方运算时，用的函数为powZn()，而不是pow()，这个调用错误很容易使得程序的运算结果不正确。

代码如下：

//初始化相关参数
Element G_1 = pairing.getG1().newRandomElement().getImmutable();
Element G_2 = pairing.getG2().newRandomElement().getImmutable();
Element Z = pairing.getZr().newRandomElement().getImmutable();
Element G_T = pairing.getGT().newRandomElement().getImmutable();

Element G_1_p = pairing.getG1().newRandomElement().getImmutable();
Element G_2_p = pairing.getG2().newRandomElement().getImmutable();
Element Z_p = pairing.getZr().newRandomElement().getImmutable();
Element G_T_p = pairing.getGT().newRandomElement().getImmutable();

//G_1的相关运算
//G_1 multiply G_1
Element G_1_m_G_1 = G_1.mul(G_1_p);
//G_1 power Z
Element G_1_e_Z = G_1.powZn(Z);

//G_2的相关运算
//G_2 multiply G_2
Element G_2_m_G_2 = G_2.mul(G_2_p);
//G_2 power Z
Element G_2_e_Z = G_2.powZn(Z);

//G_T的相关运算
//G_T multiply G_T
Element G_T_m_G_T = G_T.mul(G_T_p);
//G_T power Z
Element G_T_e_Z = G_T.powZn(Z);

//Z的相关运算
//Z add Z
Element Z_a_Z = Z.add(Z_p);
//Z multiply Z
Element Z_m_Z = Z.mul(Z_p);

//Pairing运算
Element G_p_G = pairing.pairing(G_1, G_2);