When a pairing $$e: {\mathbb {G}}_1 \times {\mathbb {G}}_2 \rightarrow {\mathbb {G}}_{T}$$ , on an elliptic curve E defined over a finite field $${\mathbb {F}}_q$$ , is exploited for an identity-based protocol, there is often the need to hash binary strings into $${\mathbb {G}}_1$$ and $${\mathbb {G}}_2$$ . Traditionally, if E admits a twist $${\tilde{E}}$$ of order d, then $${\mathbb {G}}_1=E({\mathbb {F}}_q) \cap E[r]$$ , where r is a prime integer, and $${\mathbb {G}}_2={\tilde{E}}({\mathbb {F}}_{q^{k/d}}) \cap {\tilde{E}}[r]$$ , where k is the embedding degree of E w.r.t. r. The standard approach for hashing into $${\mathbb {G}}_2$$ is to map to a general point $$P \in {\tilde{E}}({\mathbb {F}}_{q^{k/d}})$$ and then multiply it by the cofactor $$c=\#{\tilde{E}}({\mathbb {F}}_{q^{k/d}})/r$$ . Usually, the multiplication by c is computationally expensive. In order to speed up such a computation, two different methods—by Scott et al. (International conference on pairing-based cryptography. Springer, Berlin, pp 102–113, 2009) and by Fuentes-Castaneda et al. (International workshop on selected areas in cryptography)—have been proposed. In this paper we consider these two methods for BLS pairing-friendly curves having $$k \in \{12,24,30,42,48\}$$ , providing efficiency comparisons. When $$k=42,48$$ , the application of Fuentes et al. method requires expensive computations which were infeasible for the computational power at our disposal. For these cases, we propose hashing maps that we obtained following Fuentes et al. idea.

中文翻译：

---

有效的哈希映射到 BLS 曲线上的 $${\mathbb {G}}_2$$

当一对 $$e: {\mathbb {G}}_1 \times {\mathbb {G}}_2 \rightarrow {\mathbb {G}}_{T}$$ ，在椭圆曲线 E 上定义的有限字段 $${\mathbb {F}}_q$$ 被用于基于身份的协议，通常需要将二进制字符串散列到 $${\mathbb {G}}_1$$ 和 $${\ mathbb {G}}_2$$ 。传统上，如果 E 承认 d 阶的扭曲 $${\tilde{E}}$$，那么 $${\mathbb {G}}_1=E({\mathbb {F}}_q) \cap E[r ]$$ ，其中 r 是素数，$${\mathbb {G}}_2={\tilde{E}}({\mathbb {F}}_{q^{k/d}}) \ cap {\tilde{E}}[r]$$ ，其中 k 是 E wrtr 的嵌入度 散列到 $${\mathbb {G}}_2$$ 的标准方法是映射到一般点 $$ P \in {\tilde{E}}({\mathbb {F}}_{q^{k/d}})$$ 然后乘以辅因子 $$c=\#{\tilde{E} }({\mathbb {F}}_{q^{k/d}})/r$$ 。通常，乘以 c 在计算上是昂贵的。为了加速这样的计算，两种不同的方法——斯科特等人。（基于配对的密码学国际会议。Springer，柏林，第 102-113 页，2009 年）和 Fuentes-Castaneda 等人。（关于密码学选定领域的国际研讨会）——已提出。在本文中，我们将这两种方法用于具有 $$k \in \{12,24,30,42,48\}$$ 的 BLS 配对友好曲线，提供效率比较。当 $$k=42,48$$ 时，Fuentes 等人的应用。方法需要昂贵的计算，这对于我们可用的计算能力来说是不可行的。对于这些情况，我们提出了遵循 Fuentes 等人获得的哈希映射。主意。（基于配对的密码学国际会议。Springer，柏林，第 102-113 页，2009 年）和 Fuentes-Castaneda 等人。（关于密码学选定领域的国际研讨会）——已提出。在本文中，我们将这两种方法用于具有 $$k \in \{12,24,30,42,48\}$$ 的 BLS 配对友好曲线，提供效率比较。当 $$k=42,48$$ 时，Fuentes 等人的应用。方法需要昂贵的计算，这对于我们可用的计算能力来说是不可行的。对于这些情况，我们提出了遵循 Fuentes 等人获得的哈希映射。主意。（基于配对的密码学国际会议。Springer，柏林，第 102-113 页，2009 年）和 Fuentes-Castaneda 等人。（关于密码学选定领域的国际研讨会）——已提出。在本文中，我们将这两种方法用于具有 $$k \in \{12,24,30,42,48\}$$ 的 BLS 配对友好曲线，提供效率比较。当 $$k=42,48$$ 时，Fuentes 等人的应用。方法需要昂贵的计算，这对于我们可用的计算能力来说是不可行的。对于这些情况，我们提出了遵循 Fuentes 等人获得的哈希映射。主意。在本文中，我们将这两种方法用于具有 $$k \in \{12,24,30,42,48\}$$ 的 BLS 配对友好曲线，提供效率比较。当 $$k=42,48$$ 时，Fuentes 等人的应用。方法需要昂贵的计算，这对于我们可用的计算能力来说是不可行的。对于这些情况，我们提出了遵循 Fuentes 等人获得的哈希映射。主意。在本文中，我们将这两种方法用于具有 $$k \in \{12,24,30,42,48\}$$ 的 BLS 配对友好曲线，提供效率比较。当 $$k=42,48$$ 时，Fuentes 等人的应用。方法需要昂贵的计算，这对于我们可用的计算能力来说是不可行的。对于这些情况，我们提出了遵循 Fuentes 等人获得的哈希映射。主意。