Menentukan DDH berdasarkan informasi parsial

Asumsi Diffis-Hellman Decisional , atau singkatnya DDH, adalah masalah terkenal dalam kriptografi. Asumsi DDH berlaku pada kelompok siklik dari urutan (prima) , jika untuk generator , dan untuk secara acak memilih \ mathbb {Z} _q $$, pasangan berikut tidak dapat dibedakan (untuk algoritma poli-waktu probabilistik):$(G,*)$$q$$g \in G$$a,b,c \in$

• Jenis 1:$(g,g^a,g^b,g^{ab})$
• Jenis 2:$(g,g^a,g^b,g^{c})$

Sekarang, asumsikan bahwa adalah grup yang sulit bagi DDH, dan pertimbangkan pertanyaan informal berikut :$G$

Apakah kita tahu dari probabilistik poli-waktu (PPT) algoritma, yang mendapat sepasang Diffie-Hellman, bersama dengan beberapa parsial informasi tentang (katakanlah, aneh), dan dapat benar keluaran apakah pasangan input adalah "Ketik 1" atau "Tipe 2" (dengan probabilitas yang tidak dapat diabaikan)?$a$$a$

Dengan informasi parsial, maksud saya string , sehingga diberikan dan sepasang Diffie-Hellman, tidak ada algoritma PPT dapat menghitung , dengan probabilitas non-diabaikan.$z$$z$$a$

Dimungkinkan untuk meresmikan pertanyaan di atas. Namun, karena jumlah notasi yang diperlukan itu membosankan, saya mencoba menggunakan analogi.

Asumsi kriptografi non-standar yang terkenal disebut Knowledge-of-Exponent (KEA).

Untuk setiap musuh A yang mengambil masukan , , dan kembali , terdapat sebuah "extractor" B , yang diberikan input yang sama seperti pengembalian sehingga .g g a ( C , C a ) A c g c = $q$$g$$g^a$$(C,C^a)$$A$$c$$g^c = C$

Secara intuitif, ia menyatakan bahwa, karena musuh tidak dapat memecahkan log diskrit untuk mendapatkan , satu-satunya cara untuk output sepasang adalah untuk "tahu" eksponen mana .( C , C a ) c g c = $a$$(C,C^a)$$c$$g^c = C$

Sekarang, saya mengajukan pertanyaan serupa, berdasarkan pada DDH (daripada log diskrit): untuk membedakan pasangan Diffie-Hellman "Tipe 1" dan "Tipe 2", haruskah kita "tahu" atau ?$a$$b$

Sedikit lebih formal (tapi masih belum sepenuhnya formal):

Misalkan adalah sekelompok urutan prima , dan misalkan adalah fungsi arbitrer yang panjang keluarannya polinomial dalam panjang inputnya. Pilih , , dan secara acak dari , dan biarkan . Lempar koin, dan biarkan jika hasilnya adalah kepala. Kalau tidak, biarkan .q f ( ⋅ ) a b c Z q z = f ( a ) X = a b X = $(G,*)$$q$$f(\cdot)$$a$$b$$c$$\mathbb{Z}_q$$z=f(a)$$X = ab$$X=c$

Untuk setiap musuh PPT A yang mengambil input , dan memutuskan dengan benar antara Tipe 1 dan Tipe 2 dengan probabilitas yang tidak dapat diabaikan, terdapat "ekstraktor" PPT B , yang mengambil input yang sama dengan A , menghasilkan atau (dengan probabilitas yang tidak dapat diabaikan).a $(q,g,g^a,g^b,g^X,z)$$a$$b$

Mengingat rumusan terbaru dari pertanyaan Anda, ini tampaknya tidak mungkin. Pertimbangkan kasus di mana Anda memiliki (keluarga) kelompok siklik dan , di mana dan kami memiliki peta bilinear . Di bawah asumsi XDH kita dapat menganggap bahwa DDH sulit di dan log diskrit sulit di .$\mathbb{G}$$\mathbb{H}$$\mathbb{G} \ne \mathbb{H}$$e: \mathbb{G} \times \mathbb{H} \to \mathbb{T}$$\mathbb{G}$$\mathbb{H}$

Biarkan menjadi generator dan menjadi generator . Kemudian tentukan sebagai .$g$$\mathbb{G}$$h$$\mathbb{H}$$f : \mathbb{Z}_{|\mathbb{G}|} \to \mathbb{H}$$f(a) = h^a$

Sekarang diberikan , kita dapat dengan mudah menentukan apakah dengan memeriksa . (Anda juga dapat memverifikasi kebenaran jika Anda mau.) Namun, tampaknya ekstraktor tidak dapat mengekstraksi atau dari tuple tersebut. Mengekstraksi jelas sama dengan log diskrit; jika ada peta distorsi dari untuk (tidak mungkin ada satu ke arah lain) maka penggalian setara dengan log diskrit (di ).$(g, g^a, g^b, g^X, z=f(a)=h^a)$$X = ab$$e(g^b, z) \overset{?}= e(g^X,h)$$z$$a$$b$$b$$\mathbb{H}$$\mathbb{G}$$a$$\mathbb{H}$