Trong mật mã không đối xứng, dựa trên ghép nối $\mathbb G_1$ thường là một nhóm con của đường cong elip trên trường nguyên tố $\mathbb F_q$. Các phần tử thuộc nhóm này thường được biểu diễn dưới dạng một cặp số $(x,y)\in(\mathbb F_q)^2$. Về mặt tính toán, cả hai giá trị đều cần thiết, nhưng khi $y$ có thể được phục hồi từ $x$ cho đến các phần tử ký hiệu thường được nén thành một $x$ giá trị và một bit bổ sung cho mục đích truyền dẫn. Điều này đòi hỏi $\lceil\lg q\rceil+1$ chút ít.
$\mathbb G_2$ thường là một nhóm con của đường cong elip có cùng phương trình nhưng có các điểm thuộc $\mathbb F_{q^k}$ ở đâu $k$ là như vậy $\#\mathbb G_1|(q^k-1)$. Nói chung, như vậy $k$ khó tìm, nhưng có nhiều cấu trúc đặc biệt khác nhau tham số hóa phù hợp $q$ và các đường cong cho các giá trị cụ thể của $k$. Có một gia đình đặc biệt tốt được tìm thấy bởi Barreto và Nehrig vì $k=12$ cho phép toàn bộ nhóm đường cong elip được sử dụng cho $\mathbb G_1$, đặc biệt hiệu quả. Một công trình tổng quát hơn trước đây của Barreto, Lynn và Scott gần như hiệu quả với $k=12$ và $k=48$. Trong cả hai trường hợp BN và BLS, các phần tử của $\mathbb G_2$ có thể được thể hiện như một cặp $(x,y)\in\mathbb (F_{q^k})^2$. Một lần nữa có thể nén sao cho chỉ $x$ và một bit dấu cần được truyền đi. Điều này sẽ yêu cầu $k\lceil\lg q\rceil+1$ chút ít. Trong trường hợp BLS và BN, chúng ta có thể chọn $\mathbb G_2$ trong một cách như vậy mà $x$ và $y$ và có thể được bắt nguồn từ một điểm trên một đường cong liên quan trên $\mathbb F_{q^{k/6}}$. Trong những trường hợp như vậy, nó đủ để truyền một phần tử duy nhất của $\mathbb F_{q^{k/6}}$ và một chút dấu hiệu. Điều này sẽ yêu cầu $\frac k6\lceil\lg q\rceil+1$ chút ít. Tuy nhiên sự lựa chọn này của $\mathbb G_2$ Là không tương thích với tất cả các cách sử dụng mật mã dựa trên ghép nối.
Với sự lựa chọn như vậy của $\mathbb G_1$ và $\mathbb G_2$ các mật mã khác nhau ghép nối tất cả ánh xạ tới $\mathbb G_T$ đó là một nhóm con nhân $\mathbb F_{q^k}$ trật tự $\#\mathbb G_1$. Các phần tử của nhóm này có thể được viết dưới dạng các phần tử của $\mathbb F_{q^k}$ Mất $k\lceil\lg q\rceil$ chút ít.
Sự lựa chọn của $q$ và $k$ sẽ phụ thuộc vào mức độ bảo mật mà bạn muốn hệ thống dựa trên ghép nối của mình có. kích thước của $\mathbb G_1$ cần đủ lớn để chặn ``các cuộc tấn công căn bậc hai'' chung và kích thước/cấu trúc của $\mathbb G_T$ cần phải đủ để chặn cuộc tấn công TNFS của Kim và Barbaescu. Một Dự thảo 2019 từ IETF đề nghị như sau trong phần 4.
Bảo mật (tính bằng bit) |
kích thước của $\mathbb G_1$ (uncomp./comp.) |
kích thước của $\mathbb G_2$ (bản dịch uncomp./comp./BN-BLS) |
kích thước của $\mathbb G_T$ |
100 |
512/257 |
6144/3073/513 (BN256, $k=12$) |
3072 |
128 |
924/463 |
11088/5545/925 (BN462, $k=12$) |
5544 |
128 |
922/462 |
11064/5533/923 (BLS12-461, $k=12$) |
5532 |
128 |
762/382 |
9144/4573/763 (BLS12-381, $k=12$) |
4572 |
256 |
1162/582 |
55776/27889/4649 (BLS48-581, $k=48$) |
27888 |
Lưu ý rằng đây là một ước tính bảo mật hoàn toàn cổ điển và giống như tất cả các hệ thống ghép nối, những hệ thống này nên được coi là dễ bị tổn thương đối với máy tính lượng tử có liên quan đến phân tích mật mã.