Quyết định DDH dựa trên thông tin một phần

Giả định DiffieTHER Hellman , hay nói ngắn gọn là DDH, là một vấn đề nổi tiếng trong ngành mật mã. Giả định DDH giữ trên một nhóm tuần hoàn của thứ tự (nguyên tố) , nếu cho một trình tạo và cho \ mathbb {Z} _q $$, các cặp sau không thể phân biệt (đối với thuật toán đa thời gian xác suất): $(G,*)$ $q$ $g \in G$ $a,b,c \in$

Loại 1: $(g,g^a,g^b,g^{ab})$
Loại 2: $(g,g^a,g^b,g^{c})$

Bây giờ, giả sử rằng là một nhóm mà DDH khó, và xem xét câu hỏi không chính thức sau : $G$

Chúng ta có biết một poly-thời gian xác suất (PPT) thuật toán, mà được một cặp Diffie-Hellman, cùng với một số phần thông tin về (nói, là số lẻ), và có thể một cách chính xác đầu ra cho dù các cặp đầu vào là "Loại 1" hoặc "Loại 2" (với xác suất không đáng kể)? $a$ $a$

Theo thông tin một phần, ý tôi là một chuỗi , sao cho và cặp Diffie-Hellman, không có thuật toán PPT nào có thể tính được , với xác suất không đáng kể. $z$ $z$ $a$

Có thể chính thức hóa câu hỏi trên. Tuy nhiên, vì số lượng ký hiệu cần thiết là tẻ nhạt, tôi cố gắng sử dụng một phép loại suy.

Một giả định mật mã nổi tiếng, không chuẩn được gọi là Kiến thức về số mũ (KEA).

Đối với bất kỳ kẻ thù Một mà có đầu vào , , và lợi nhuận , có tồn tại một "vắt" B , mà cho các đầu vào giống như lợi nhuận mà . $q$ $g$ $g^a$ $(C,C^a)$ $A$ $c$ $g^c = C$

Bằng trực giác, nó khẳng định rằng, kể từ khi kẻ thù không thể giải quyết log rời rạc để có được , cách duy nhất để ra một cặp là để "biết" số mũ nơi . $a$ $(C,C^a)$ $c$ $g^c = C$

Bây giờ, tôi đang hỏi một câu hỏi tương tự, dựa trên DDH (chứ không phải là nhật ký rời rạc): để phân biệt các cặp Diffie-Hellman "Loại 1" và "Loại 2", chúng ta nên "biết" cả hay ? $a$ $b$

Chính thức hơn một chút (nhưng vẫn chưa hoàn toàn chính thức):

Đặt là một nhóm có thứ tự nguyên tố và để là một hàm tùy ý có độ dài đầu ra là đa thức theo độ dài của đầu vào. Chọn ngẫu nhiên , và từ và đặt . Tung đồng xu và để nếu kết quả là đầu. Nếu không hãy để . $(G,*)$ $q$ $f(\cdot)$ $a$ $b$ $c$ $\mathbb{Z}_q$ $z=f(a)$ $X = ab$ $X=c$

Đối với bất kỳ đối thủ PPT A nào nhận đầu vào và quyết định chính xác giữa Loại 1 và Loại 2 với xác suất không đáng kể, tồn tại "trình trích xuất PPT" B , nhận đầu vào giống như A , xuất ra hoặc (với xác suất không đáng kể). $(q,g,g^a,g^b,g^X,z)$ $a$ $b$

cr.crypto-security randomized-algorithms

— MS Dousti
nguồn

Đó có lẽ là một câu trả lời tầm thường cho một người mật mã và nó cũng không cụ thể đối với DDH, nhưng Goldreich-Levin không cung cấp cho bạn một trình trích xuất như vậy nếu lời khuyên là , trong đó là một vectơ -bit 0-1 ngẫu nhiên và và cũng được biểu diễn dưới dạng các vectơ -bit

(r, ⟨ r, a ⟩ + ⟨ r, b ⟩ (\mod 2))

$(r, \langle r, a\rangle + \langle r, b\rangle \pmod{2})$

r

$r$

n

$n$

a

$a$

b

$b$

n

$n$

— Sasho Nikolov

@Sasho: Cảm ơn lời đề nghị. Tôi yêu cầu trình trích xuất làm việc cho bất kỳ , không phải là một cụ thể. Nói cách khác, được cung cấp bất kỳ thông tin một phần nào , nếu có thể phân biệt các cặp, sẽ có thể trích xuất ...

z

$z$

A

$A$

B

$B$

— MS Dousti

Sau đó, tôi bối rối về "thông tin một phần" có nghĩa là gì. Tại sao không thể là khi và chỉ khi ? Âm thanh có thể cho rằng bạn có thể trích xuất hoặc bằng cách sử dụng một bit này, nhưng bạn chắc chắn có thể sử dụng nó để phân biệt giữa hai phân phối đầu vào có thể.

z

$z$

1

$1$

X = a b

$X = ab$

a

$a$

b

$b$

— Sasho Nikolov

@Sasho: là thông tin về phần và , và nó không thể phụ thuộc vào . Nhưng bạn có thể có một điểm ở đó. Tôi đã thay đổi câu hỏi, do đó có thể phụ thuộc chỉ vào .

z

$z$

a

$a$

b

$b$

X

$X$

z

$z$

a

$a$

— MS Dousti

Với công thức mới nhất của câu hỏi của bạn, điều này dường như là không thể. Hãy xem xét trường hợp bạn có (gia đình) các nhóm tuần hoàn và , trong đó và chúng tôi có bản đồ song tuyến . Theo giả định XDH, chúng ta có thể giả sử rằng DDH khó trong và nhật ký rời rạc là khó trong . $\mathbb{G}$ $\mathbb{H}$ $\mathbb{G} \ne \mathbb{H}$ $e: \mathbb{G} \times \mathbb{H} \to \mathbb{T}$ $\mathbb{G}$ $\mathbb{H}$

Đặt là trình tạo của và là trình tạo của . Sau đó xác định là . $g$ $\mathbb{G}$ $h$ $\mathbb{H}$ $f : \mathbb{Z}_{|\mathbb{G}|} \to \mathbb{H}$ $f(a) = h^a$

Bây giờ đã cho , chúng ta có thể dễ dàng xác định xem bằng cách kiểm tra . (Bạn cũng có thể xác minh tương tự tính chính xác của nếu bạn muốn.) Tuy nhiên, dường như không có khả năng một trình trích xuất có thể trích xuất hoặc từ một bộ dữ liệu như vậy. Trích xuất rõ ràng tương đương với nhật ký rời rạc; nếu có một bản đồ biến dạng từ đến (không thể có một bản đồ theo hướng khác) thì trích xuất tương đương với nhật ký rời rạc (trong ). $(g, g^a, g^b, g^X, z=f(a)=h^a)$ $X = ab$ $e(g^b, z) \overset{?}= e(g^X,h)$ $z$ $a$ $b$ $b$ $\mathbb{H}$ $\mathbb{G}$ $a$ $\mathbb{H}$

— mikero
nguồn

Câu trả lời tuyệt vời, cảm ơn! Câu trả lời của bạn đã giúp tôi tập trung hơn vào những gì tôi thực sự muốn: DDH, XDH và những điều tương tự không đề xuất rằng giả định tương ứng là khó đối với mỗi nhóm, nhưng tồn tại những nhóm mà vấn đề liên quan là khó khăn. Vì vậy, sai lầm của tôi là tôi đã đề xuất giả định của mình về một nhóm chung . Tôi phải chỉ định nhóm (giả sử là nhóm con tuần hoàn của của thứ tự nguyên tố q) hoặc nêu giả định ở dạng tồn tại: Tồn tại một nhóm , qua đó kết quả phân biệt trong khai thác. Tôi vẫn còn thiếu một cái gì đó?

G

$G$

Z_{p}^{*}

$\mathbb{Z}_p^*$

(G, *)

$(G,*)$

— MS Dousti