部分的な情報に基づいてDDHを決定する

決定的ディフィーヘルマン仮定、つまりDDHは、暗号化における有名な問題です。DDHの仮定は、ジェネレータ、およびランダムに選択され \ mathbb {Z} _q $$の場合、（素数）次数循環グループに当てはまります。次のペアは区別できません（確率的ポリタイムアルゴリズムの場合）。 $(G,*)$ $q$ $g \in G$ $a,b,c \in$

タイプ1： $(g,g^a,g^b,g^{ab})$
タイプ2： $(g,g^a,g^b,g^{c})$

ここで、がDDHが難しいグループであると想定し、次の非公式の質問を検討します。 $G$

我々はいくつかと一緒に、のDiffie-Hellmanペアを取得する確率的ポリ時間（PPT）アルゴリズム、を知っていますか部分についての情報（たとえば、奇数である）、および入力ペアがあるかどうかを正しく出力が「1を入力して」することができますまたは「タイプ2」（無視できない確率）？ $a$ $a$

部分的な情報によって、私は、文字列の意味所定のように、とのDiffie-Hellmanペア、何PPTアルゴリズムは計算することができない、無視できない確率で、。 $z$ $z$ $a$

上記の質問を形式化することは可能です。ただし、必要な表記法は面倒なので、類推を使用しようとします。

有名な非標準の暗号の仮定は、知識指数（KEA）と呼ばれます。

いずれかの敵のためのA入力かかる、、戻る "抽出"が存在Bと同じ入力が与えられると、戻りように。 $q$ $g$ $g^a$ $(C,C^a)$ $A$ $c$ $g^c = C$

直観的には、攻撃者は離散ログを解決してを取得できないため、ペアを出力する唯一の方法は、指数を "知る"ことであり、ここでであると述べています。 $a$ $(C,C^a)$ $c$ $g^c = C$

今、私はDDH（離散ログではなく）に基づいて同様の質問をしています。「タイプ1」と「タイプ2」のDiffie-Hellmanペアを区別するに、またはどちらかを「知っている」必要がありますか？ $a$ $b$

もう少し正式（まだ正式ではない）：

ましょうプライム注文のグループであり、およびletその出力長その入力の長さの多項式である任意の関数であること。ピック、、及びからランダム、およびlet。コインを、結果が表の場合はとします。それ以外の場合はます。 $(G,*)$ $q$ $f(\cdot)$ $a$ $b$ $c$ $\mathbb{Z}_q$ $z=f(a)$ $X = ab$ $X=c$

入力を取り無視できない確率でタイプ1とタイプ2を正しく決定するPPT攻撃者Aの場合、PPT「抽出器」が存在しますAと同じ入力をとるBは、または出力します（無視できない確率）。 $(q,g,g^a,g^b,g^X,z)$ $a$ $b$

cr.crypto-security randomized-algorithms

— MSドゥスティ
ソース

これはおそらく暗号の人にとってはささいな答えであり、DDHにも固有のものではありませんが、アドバイスが、ここではランダムなビット0-1ベクトルでありともビットベクトルとして表されます

(r, ⟨ r, a ⟩ + ⟨ r, b ⟩ (\mod 2))

$(r, \langle r, a\rangle + \langle r, b\rangle \pmod{2})$

r

$r$

n

$n$

a

$a$

b

$b$

n

$n$

— Sasho Nikolov

@Sasho：提案をありがとう。特定のではなく、任意ので動作するようにエクストラクターを要求します。換言すれば、所与の任意の場合に、部分的情報、ペアを区別することができ、 ...を抽出することができるはず

z

$z$

A

$A$

B

$B$

— MS Dousti

次に、「部分的な情報」の意味について混乱しています。場合にのみをできないのはなぜですか？あなたが抽出できることを信じ難い音またはこの1ビットを使用していますが、確かに2つの可能な入力分布を区別するためにそれを使用することができます。

z

$z$

1

$1$

X = a b

$X = ab$

a

$a$

b

$b$

— Sasho Nikolov

@Sasho：はおよびに関する部分的な情報であり、依存することはできません。しかし、あなたはそこにポイントを持っているかもしれません。質問を変更して、がにのみ依存できるようにしまし。

z

$z$

a

$a$

b

$b$

X

$X$

z

$z$

a

$a$

— MS Dousti

あなたの質問の最新の定式化を考えると、これは不可能のようです。循環グループと（のファミリー）があり、があり、双一次写像がある場合を考えます。XDHの仮定の下では、ではDDH が難しく、では離散ログが難しいと仮定できます。 $\mathbb{G}$ $\mathbb{H}$ $\mathbb{G} \ne \mathbb{H}$ $e: \mathbb{G} \times \mathbb{H} \to \mathbb{T}$ $\mathbb{G}$ $\mathbb{H}$

ましょうの発電機とすることが及びの発生することが。次にをとして定義します。 $g$ $\mathbb{G}$ $h$ $\mathbb{H}$ $f : \mathbb{Z}_{|\mathbb{G}|} \to \mathbb{H}$ $f(a) = h^a$

与えられるとチェックすることでかどうかを簡単に判断できます。（必要に応じて、の正しさを同様に検証することもできます。）しかし、そのようなタプルから抽出者がまたは抽出できるとは思えません。抽出は明らかに離散ログと同等です。からへの歪みマップがある場合（他の方向に1つはあり得ない）、を抽出は（）離散対数と同等です。 $(g, g^a, g^b, g^X, z=f(a)=h^a)$ $X = ab$ $e(g^b, z) \overset{?}= e(g^X,h)$ $z$ $a$ $b$ $b$ $\mathbb{H}$ $\mathbb{G}$ $a$ $\mathbb{H}$

— ミケロ
ソース

ありがとうございます。あなたの答えは、私が実際に望んでいたことにもっと集中するのに役立ちました：DDH、XDHなどは、対応する仮定がすべてのグループで難しいと提案するのではなく、関連する問題が難しいグループが存在することを提案します。だから、私の間違いは、私が一般的なグループについての私の仮定を提案することでした。私は、グループを指定する必要があり（例えば、環式のサブグループであるプライム次数qの）実存形態で仮定、または状態：存在する基その上、抽出の結果を区別する。まだ何か足りないのですか？

G

$G$

Z_{p}^{*}

$\mathbb{Z}_p^*$

(G, *)

$(G,*)$

— MS Dousti