這是視頻大致講的內(nèi)容的簡略記錄，可以幫助大家快速掃描講的內(nèi)容，若有錯誤請指出（我有的地方也沒太聽清楚, poor English）

1.背景

DH系列假設(shè)作為經(jīng)典假設(shè)廣泛地使用，但是DH系列假設(shè)最開始都是基于有限域F_p的，由于在F_p存在亞指數(shù) (sub-exp) 的Dlog的攻擊算法，從而考慮到安全性保證，往往p需要選得非常地大，例如2000~3000bits，這樣導(dǎo)致計算的效率非常地低下。

2.嘗試

為了使得相關(guān)的指數(shù)計算較快，我們需要底層具有良好的代數(shù)結(jié)構(gòu)使得其上的DH系列計算困難問題不存在好的攻擊方法，密碼學(xué)家做了很多的嘗試。

例如extension fields, matrix groups, class groups

但是這些代數(shù)結(jié)構(gòu)上，要么有亞指數(shù)的Dlog算法，要么本身群元素的計算較為低效。

P.S Prof. Dan這里還提了一嘴class groups作為可用的密碼學(xué)上的代數(shù)結(jié)構(gòu)的具有的較好的構(gòu)造性質(zhì)，將之與RSA基于整數(shù)(Z_N)*進行比較

比較幸運的是，密碼學(xué)家門最后發(fā)現(xiàn)了橢圓曲線群，在其上，沒有好的Dlog算法（已知最好是sqrt(p) ），并且計算較為高效。所以密碼學(xué)家常常使用ECDH系列的構(gòu)造，例如現(xiàn)在互聯(lián)網(wǎng)上的密鑰交換階段大部分都是使用橢圓曲線進行計算，尤其是NIST標(biāo)準(zhǔn)下的P256曲線。（曲線的選擇目前的明確的數(shù)學(xué)原理還有待發(fā)現(xiàn)）

3.橢圓曲線的性質(zhì)發(fā)現(xiàn)

事實上，雖然就當(dāng)是來說，橢圓曲線已經(jīng)大量使用，但是被忽略的是橢圓曲線的非常好的配對性質(zhì)：

對稱配對及非對稱配對【這個大家應(yīng)該都知道，也可以參考PPT】

配對上常用的計算假設(shè): Dlin以及對應(yīng)的Matrix上的假設(shè)，其上的hierachy關(guān)系也是非常顯然的

注意：對稱配對下DDH不再成立（需要修改，例如加上一個隨機的元素h，然后變?yōu)閔, g, g^x, g^y, e(h, g^z)），但是非對稱下可能成立，對應(yīng)到XDH以及SXDH假設(shè)

4.基于配對的構(gòu)造

e(g^x, h^y) = e(g^y, h^x) BLS簽名即是利用這一點

[A] := g^A （A為矩陣）

e([A]_1, [B]_2) = [AB]_T

配對往往提供了兩種計算方式，一種是具有私鑰的計算，而另外一種是基于公鑰的計算。這種靈活性給很多方案帶來了可能。

最為典型的就是BLS簽名

其簽名長度短、可以聚合簽名的特點，使得其可能運用到區(qū)塊鏈、CA驗證鏈當(dāng)中。

當(dāng)然其還有非常多的應(yīng)用，例如IBE的開山之作Prof. Dan運用的就是Weil Pairing

Pairing有非常多的應(yīng)用：

【事實上本人接觸到很多的高級加密很多都使用了pairing這個結(jié)構(gòu)】

5.超越雙線性配對

是否存在可計算的多線性配對，并且具有相應(yīng)的密碼學(xué)問題仍然是一個open problem。

多線性配對可以給予我們更大的力量，比如iO的成立。

6.遐想：我們從最開始的OWF構(gòu)造，DH系列假設(shè)，基于pairing的高級加密，LWE對應(yīng)的同態(tài)加密，我們是否有更強的密碼學(xué)工具？

【本人感受：Prof. Dan好幽默，LOL，看完這個講座，感覺對pairing的歷史演進，應(yīng)用領(lǐng)域得到了一些認(rèn)知】