Decidindo DDH com base em informações parciais

A suposição decisória de Diffie-Hellman , ou DDH, em resumo, é um problema famoso na criptografia. A suposição DDH se aplica a um grupo cíclico $(G,*)$ de ordem (principal) , se for para um gerador e escolhido aleatoriamente \ mathbb {Z} _q $$, o os seguintes pares são indistinguíveis (para algoritmos probabilísticos de politempo): $q$ $g \in G$ $a,b,c \in$

Tipo 1: $(g,g^a,g^b,g^{ab})$
Tipo 2: $(g,g^a,g^b,g^{c})$

Agora, suponha que seja um grupo no qual o DDH seja difícil e considere a seguinte pergunta informal : $G$

Conhecemos um algoritmo probabilístico de poli-tempo (PPT), que obtém um par Diffie-Hellman, juntamente com algumas informações parciais sobre (digamos, é ímpar) e pode produzir corretamente se o par de entrada é "Tipo 1" ou "Tipo 2" (com probabilidade não negligenciável)? $a$ $a$

Por informações parciais, quero dizer uma cadeia , de modo que, dado e um par Diffie-Hellman, nenhum algoritmo PPT possa calcular , com probabilidade não desprezível. $z$ $z$ $a$

É possível formalizar a pergunta acima. No entanto, como a quantidade de notação necessária é tediosa, tento usar uma analogia.

Uma suposição criptográfica famosa e não-padrão é chamada de Conhecimento do Expoente (KEA).

Para qualquer adversário A que recebe a entrada , , e retornos , existe um "extractor" B , o qual, dadas as mesmas entradas como retorno tal que . $q$ $g$ $g^a$ $(C,C^a)$ $A$ $c$ $g^c = C$

Intuitivamente, ele afirma que, como o adversário não pode resolver um log discreto para obter , a única maneira de gerar um par é "conhecer" o expoente onde $a$ $(C,C^a)$ $c$ . $g^c = C$

Agora, estou fazendo uma pergunta semelhante, com base no DDH (em vez de log discreto): para distinguir os pares Diffie-Hellman "Tipo 1" e "Tipo 2", devemos "conhecer" ou ? $a$ $b$

Um pouco mais formal (mas ainda não totalmente formal):

Seja um grupo de ordem primordial e seja uma função arbitrária cujo comprimento de saída seja polinomial no comprimento de sua entrada. Escolher , , e aleatoriamente de , e deixar . Jogue uma moeda e deixe se o resultado for cara. Caso contrário, deixe . $(G,*)$ $q$ $f(\cdot)$ $a$ $b$ $c$ $\mathbb{Z}_q$ $z=f(a)$ $X = ab$ $X=c$

Para qualquer adversário de PPT A que recebe entrada e decide corretamente entre o Tipo 1 e o Tipo 2 com probabilidade não negligenciável, existe um "extrator" B do PPT , que recebe a mesma entrada que A , gera ou (com probabilidade não desprezível). $(q,g,g^a,g^b,g^X,z)$ $a$ $b$

cr.crypto-security randomized-algorithms

— MS Dousti
fonte

isso é provavelmente uma resposta trivial para uma pessoa de criptografia, e não é específico para DDH também, mas não Goldreich-Levin dar-lhe um extrator tal se o conselho é

, onde

é um aleatória

bits 0-1 do vetor, e

são representados como

vectores de bits bem como

(r, ⟨ r, a ⟩ + ⟨ r, b ⟩ (\mod 2))

$(r, \langle r, a\rangle + \langle r, b\rangle \pmod{2})$

r

$r$

n

$n$

a

$a$

b

$b$

n

$n$

— Sasho Nikolov

@ Sasho: Obrigado pela sugestão. Exijo que o extrator funcione para qualquer

, não para um específico. Em outras palavras, dada qualquer informação parcial, se

pode distinguir os pares,

deve ser capaz de extrair ...

z

$z$

A

$A$

B

$B$

— MS Dousti

Então, estou confuso sobre o que "informação parcial" significa. Por que

não pode ser

se e somente se

? Parece implausível que você possa extrair

usando esse bit, mas certamente pode usá-lo para distinguir entre as duas possíveis distribuições de entrada.

z

$z$

1

$1$

X = a b

$X = ab$

a

$a$

b

$b$

— Sasho Nikolov

@Sasho:

é uma informação parcial sobre

, e ele não pode depender de

. Mas você pode ter razão. Eu mudei a pergunta, para que

possa depender apenas de

z

$z$

a

$a$

b

$b$

X

$X$

z

$z$

a

$a$

— MS Dousti

Dada a formulação mais recente da sua pergunta, isso parece impossível. Considere o caso onde você tem (famílias de) grupos cíclicos e , onde e temos um mapa bilinear . Sob a hipótese de XDH podemos supor que DDQ é difícil em e registo discreta é difícil em . $\mathbb{G}$ $\mathbb{H}$ $\mathbb{G} \ne \mathbb{H}$ $e: \mathbb{G} \times \mathbb{H} \to \mathbb{T}$ $\mathbb{G}$ $\mathbb{H}$

Vamos ser um gerador de e ser um gerador de . Em seguida, defina como . $g$ $\mathbb{G}$ $h$ $\mathbb{H}$ $f : \mathbb{Z}_{|\mathbb{G}|} \to \mathbb{H}$ $f(a) = h^a$

Agora dados , podemos determinar facilmente se verificando . (Você também pode verificar da mesma forma a correção de se quiser.) No entanto, parece improvável que um extrator possa extrair $(g, g^a, g^b, g^X, z=f(a)=h^a)$ $X = ab$ $e(g^b, z) \overset{?}= e(g^X,h)$ $z$ ou dessa tupla. Extrair é obviamente equivalente a log discreto; se houver um mapa de distorção de a (não pode haver um na outra direção), extrair é equivalente a log discreto (em ). $a$ $b$ $b$ $\mathbb{H}$ $\mathbb{G}$ $a$ $\mathbb{H}$

— mikero
fonte

Ótima resposta, obrigado! Sua resposta me ajudou a me concentrar mais no que eu realmente queria: DDH, XDH e similares não propõem que a suposição correspondente seja difícil para todos os grupos, mas que existem grupos nos quais o problema associado é difícil. Então, meu erro foi propor a minha suposição em um grupo geral . Eu tenho que especificar o grupo (digamos,

é um subgrupo cíclico de

de ordem primordial q), ou declarar a suposição de uma forma existencial: existe um grupo

, sobre o qual distinguir resulta em extração. Ainda estou faltando alguma coisa?

G

$G$

Z_{p}^{*}

$\mathbb{Z}_p^*$

(G, *)

$(G,*)$

— MS Dousti