Entscheidung über DDH anhand von Teilinformationen

Die Entscheidung über die Diffie-Hellman-Entscheidung , kurz DDH, ist ein bekanntes Problem in der Kryptographie. Die DDH-Annahme gilt für eine zyklische Gruppe $(G,*)$ der (Haupt-) Ordnung $q$ , wenn für einen Generator $g \in G$ und für zufällig ausgewählte $a,b,c \in$ \ mathbb {Z} _q $$ die folgenden Paare gelten sind nicht zu unterscheiden (für probabilistische Polyzeitalgorithmen):

Typ 1: $(g,g^a,g^b,g^{ab})$
Typ 2: $(g,g^a,g^b,g^{c})$

Nehmen wir nun an, dass $G$ eine Gruppe ist, für die DDH schwierig ist, und betrachten Sie die folgende informelle Frage:

Kennen wir einen probabilistischen Poly-Time (PPT) -Algorithmus, der ein Diffie-Hellman-Paar zusammen mit einigen Teilinformationen über $a$ (z. B. $a$ ist ungerade) erhält und korrekt ausgeben kann, ob das Eingabepaar "Typ 1" ist? oder "Typ 2" (mit nicht zu vernachlässigender Wahrscheinlichkeit)?

Mit Teilinformationen meine ich eine Zeichenfolge $z$ , so dass bei gegebenem $z$ und einem Diffie-Hellman-Paar kein PPT-Algorithmus $a$ mit nicht zu vernachlässigender Wahrscheinlichkeit berechnen kann .

Es ist möglich, die obige Frage zu formalisieren. Da die erforderliche Notation jedoch langwierig ist, versuche ich, eine Analogie zu verwenden.

Eine berühmte, nicht standardmäßige kryptografische Annahme heißt Knowledge-of-Exponent (KEA).

$q$ $g$ $g^a$ $(C,C^a)$ $A$ $c$ $g^c = C$

$a$ $(C,C^a)$ $c$ $g^c = C$

$a$ $b$

Ein bisschen formeller (aber immer noch nicht vollständig formal):

$(G,*)$ $q$ $f(\cdot)$ $a$ $b$ $c$ $\mathbb{Z}_q$ $z=f(a)$ $X = ab$ $X=c$

$(q,g,g^a,g^b,g^X,z)$ $a$ $b$

cr.crypto-security randomized-algorithms

— MS Dousti
quelle

Das ist wahrscheinlich eine triviale Antwort für eine Krypto-Person, und sie ist auch nicht spezifisch für DDH, aber Goldreich-Levin gibt Ihnen keinen solchen Extraktor, wenn der Rat lautet , wobei ein zufälliger Bit-0-1-Vektor ist und und als Bit-Vektoren dargestellt werden

(r, ⟨ r, a ⟩ + ⟨ r, b ⟩ (\mod 2))

$(r, \langle r, a\rangle + \langle r, b\rangle \pmod{2})$

r

$r$

n

$n$

a

$a$

b

$b$

n

$n$

— Sasho Nikolov

@Sasho: Danke für den Vorschlag. Ich fordere den Extraktor auf, für jedes , nicht für ein bestimmtes. Mit anderen Worten gegeben, jede Teil - Info, wenn die Paare unterscheiden kann, sollte in der Lage sein zu extrahieren ...

z

$z$

A

$A$

B

$B$

— MS Dousti

Dann bin ich verwirrt darüber, was "Teilinfo" bedeutet. Warum kann nicht genau dann wenn ? Klingt unplausibel, dass Sie mit diesem einen Bit oder extrahieren können , aber Sie können es sicherlich verwenden, um zwischen den beiden möglichen Eingangsverteilungen zu unterscheiden.

z

$z$

1

$1$

X = a b

$X = ab$

a

$a$

b

$b$

— Sasho Nikolov

@Sasho: ist eine Teilinformation über und und kann nicht von abhängen . Aber vielleicht haben Sie da einen Punkt. Ich habe die Frage so geändert, dass nur von abhängen kann .

z

$z$

a

$a$

b

$b$

X

$X$

z

$z$

a

$a$

— MS Dousti

Angesichts der neuesten Formulierung Ihrer Frage scheint dies unmöglich zu sein. Stellen Sie sich den Fall vor, in dem Sie (Familien von) zyklischen Gruppen und , in denen und wir eine bilineare Karte . Unter der XDH-Annahme können wir annehmen, dass DDH in und diskretes Protokoll in schwierig ist . $\mathbb{G}$ $\mathbb{H}$ $\mathbb{G} \ne \mathbb{H}$ $e: \mathbb{G} \times \mathbb{H} \to \mathbb{T}$ $\mathbb{G}$ $\mathbb{H}$

Sei ein Generator von und ein Generator von . Definieren Sie dann als . $g$ $\mathbb{G}$ $h$ $\mathbb{H}$ $f : \mathbb{Z}_{|\mathbb{G}|} \to \mathbb{H}$ $f(a) = h^a$

Wenn nun gegeben ist , können wir leicht bestimmen, ob indem wir . (Sie können auf ähnliche Weise auch die Richtigkeit von überprüfen, wenn Sie möchten.) Es ist jedoch unwahrscheinlich, dass ein Extraktor oder aus einem solchen Tupel extrahieren kann . Das Extrahieren von entspricht offensichtlich dem diskreten Protokoll; Wenn es eine Verzerrungskarte von nach gibt (es kann keine in die andere Richtung geben), entspricht das Extrahieren von dem diskreten Protokoll (in ). $(g, g^a, g^b, g^X, z=f(a)=h^a)$ $X = ab$ $e(g^b, z) \overset{?}= e(g^X,h)$ $z$ $a$ $b$ $b$ $\mathbb{H}$ $\mathbb{G}$ $a$ $\mathbb{H}$

— mikero
quelle

Tolle Antwort, danke! Ihre Antwort hat mir geholfen, mich mehr auf das zu konzentrieren, was ich eigentlich wollte: DDH, XDH und dergleichen schlagen nicht vor, dass die entsprechende Annahme für jede Gruppe schwierig ist, sondern dass es Gruppen gibt, für die das damit verbundene Problem schwierig ist. Mein Fehler war also, dass ich meine Annahme einer allgemeinen Gruppe vorschlug . Ich muss die Gruppe angeben (sagen wir, ist eine zyklische Untergruppe von der Primordnung q) oder die Annahme in existenzieller Form angeben : Es gibt eine Gruppe , über der Unterscheidungsergebnisse bei der Extraktion. Fehlt mir noch etwas?

G

$G$

Z_{p}^{*}

$\mathbb{Z}_p^*$

(G, *)

$(G,*)$

— MS Dousti