Menentukan DDH berdasarkan informasi parsial

Asumsi Diffis-Hellman Decisional , atau singkatnya DDH, adalah masalah terkenal dalam kriptografi. Asumsi DDH berlaku pada kelompok siklik dari urutan (prima) , jika untuk generator , dan untuk secara acak memilih \ mathbb {Z} _q $$, pasangan berikut tidak dapat dibedakan (untuk algoritma poli-waktu probabilistik): $(G,*)$ $q$ $g \in G$ $a,b,c \in$

Jenis 1: $(g,g^a,g^b,g^{ab})$
Jenis 2: $(g,g^a,g^b,g^{c})$

Sekarang, asumsikan bahwa adalah grup yang sulit bagi DDH, dan pertimbangkan pertanyaan informal berikut : $G$

Apakah kita tahu dari probabilistik poli-waktu (PPT) algoritma, yang mendapat sepasang Diffie-Hellman, bersama dengan beberapa parsial informasi tentang (katakanlah, aneh), dan dapat benar keluaran apakah pasangan input adalah "Ketik 1" atau "Tipe 2" (dengan probabilitas yang tidak dapat diabaikan)? $a$ $a$

Dengan informasi parsial, maksud saya string , sehingga diberikan dan sepasang Diffie-Hellman, tidak ada algoritma PPT dapat menghitung , dengan probabilitas non-diabaikan. $z$ $z$ $a$

Dimungkinkan untuk meresmikan pertanyaan di atas. Namun, karena jumlah notasi yang diperlukan itu membosankan, saya mencoba menggunakan analogi.

Asumsi kriptografi non-standar yang terkenal disebut Knowledge-of-Exponent (KEA).

Untuk setiap musuh A yang mengambil masukan , , dan kembali , terdapat sebuah "extractor" B , yang diberikan input yang sama seperti pengembalian sehingga . $q$ $g$ $g^a$ $(C,C^a)$ $A$ $c$ $g^c = C$

Secara intuitif, ia menyatakan bahwa, karena musuh tidak dapat memecahkan log diskrit untuk mendapatkan , satu-satunya cara untuk output sepasang adalah untuk "tahu" eksponen mana . $a$ $(C,C^a)$ $c$ $g^c = C$

Sekarang, saya mengajukan pertanyaan serupa, berdasarkan pada DDH (daripada log diskrit): untuk membedakan pasangan Diffie-Hellman "Tipe 1" dan "Tipe 2", haruskah kita "tahu" atau ? $a$ $b$

Sedikit lebih formal (tapi masih belum sepenuhnya formal):

Misalkan adalah sekelompok urutan prima , dan misalkan adalah fungsi arbitrer yang panjang keluarannya polinomial dalam panjang inputnya. Pilih , , dan secara acak dari , dan biarkan . Lempar koin, dan biarkan jika hasilnya adalah kepala. Kalau tidak, biarkan . $(G,*)$ $q$ $f(\cdot)$ $a$ $b$ $c$ $\mathbb{Z}_q$ $z=f(a)$ $X = ab$ $X=c$

Untuk setiap musuh PPT A yang mengambil input , dan memutuskan dengan benar antara Tipe 1 dan Tipe 2 dengan probabilitas yang tidak dapat diabaikan, terdapat "ekstraktor" PPT B , yang mengambil input yang sama dengan A , menghasilkan atau (dengan probabilitas yang tidak dapat diabaikan). $(q,g,g^a,g^b,g^X,z)$ $a$ $b$

cr.crypto-security randomized-algorithms

— MS Dousti
sumber

itu mungkin jawaban yang sepele untuk orang kripto, dan itu tidak spesifik untuk DDH juga, tetapi tidak Goldreich-Levin memberi Anda ekstraktor jika sarannya adalah , di mana adalah vektor bit 0-1 acak , dan dan juga direpresentasikan sebagai vektor bit

(r, ⟨ r, a ⟩ + ⟨ r, b ⟩ (\mod 2))

$(r, \langle r, a\rangle + \langle r, b\rangle \pmod{2})$

r

$r$

n

$n$

a

$a$

b

$b$

n

$n$

— Sasho Nikolov

@Sasho: Terima kasih atas sarannya. Saya meminta extractor bekerja untuk sembarang , bukan yang spesifik. Dengan kata lain, diberikan setiap informasi parsial, jika dapat membedakan pasangan, harus dapat mengekstrak ...

z

$z$

A

$A$

B

$B$

— MS Dousti

Kemudian saya bingung tentang apa artinya "info parsial". Mengapa tidak bisa jika dan hanya jika ? Kedengarannya tidak masuk akal bahwa Anda dapat mengekstrak atau menggunakan bit yang satu ini, tetapi Anda pasti dapat menggunakannya untuk membedakan antara dua distribusi input yang mungkin.

z

$z$

1

$1$

X = a b

$X = ab$

a

$a$

b

$b$

— Sasho Nikolov

@Sasho: adalah informasi parsial tentang dan , dan tidak dapat bergantung pada . Tapi Anda mungkin ada benarnya. Saya mengubah pertanyaan, sehingga hanya bisa bergantung pada .

z

$z$

a

$a$

b

$b$

X

$X$

z

$z$

a

$a$

— MS Dousti

Mengingat rumusan terbaru dari pertanyaan Anda, ini tampaknya tidak mungkin. Pertimbangkan kasus di mana Anda memiliki (keluarga) kelompok siklik dan , di mana dan kami memiliki peta bilinear . Di bawah asumsi XDH kita dapat menganggap bahwa DDH sulit di dan log diskrit sulit di . $\mathbb{G}$ $\mathbb{H}$ $\mathbb{G} \ne \mathbb{H}$ $e: \mathbb{G} \times \mathbb{H} \to \mathbb{T}$ $\mathbb{G}$ $\mathbb{H}$

Biarkan menjadi generator dan menjadi generator . Kemudian tentukan sebagai . $g$ $\mathbb{G}$ $h$ $\mathbb{H}$ $f : \mathbb{Z}_{|\mathbb{G}|} \to \mathbb{H}$ $f(a) = h^a$

Sekarang diberikan , kita dapat dengan mudah menentukan apakah dengan memeriksa . (Anda juga dapat memverifikasi kebenaran jika Anda mau.) Namun, tampaknya ekstraktor tidak dapat mengekstraksi atau dari tuple tersebut. Mengekstraksi jelas sama dengan log diskrit; jika ada peta distorsi dari untuk (tidak mungkin ada satu ke arah lain) maka penggalian setara dengan log diskrit (di ). $(g, g^a, g^b, g^X, z=f(a)=h^a)$ $X = ab$ $e(g^b, z) \overset{?}= e(g^X,h)$ $z$ $a$ $b$ $b$ $\mathbb{H}$ $\mathbb{G}$ $a$ $\mathbb{H}$

— mikero
sumber

Jawaban yang bagus, terima kasih! Jawaban Anda membantu saya untuk lebih fokus pada apa yang sebenarnya saya inginkan: DDH, XDH, dan sejenisnya tidak mengusulkan bahwa asumsi yang sesuai sulit pada setiap kelompok, tetapi bahwa ada kelompok di mana masalah terkait sulit. Jadi, kesalahan saya adalah saya mengusulkan asumsi saya pada kelompok umum . Saya harus menentukan grup (katakanlah, adalah subkelompok siklik dari dari urutan utama q), atau nyatakan asumsi dalam bentuk eksistensial: Ada grup , di mana hasil membedakan dalam ekstraksi. Apakah saya masih kekurangan sesuatu?

G

$G$

Z_{p}^{*}

$\mathbb{Z}_p^*$

(G, *)

$(G,*)$

— MS Dousti