Die Entscheidung über die Diffie-Hellman-Entscheidung , kurz DDH, ist ein bekanntes Problem in der Kryptographie. Die DDH-Annahme gilt für eine zyklische Gruppe der (Haupt-) Ordnung , wenn für einen Generator und für zufällig ausgewählte \ mathbb {Z} _q $$ die folgenden Paare gelten sind nicht zu unterscheiden (für probabilistische Polyzeitalgorithmen):
- Typ 1:
- Typ 2:
Nehmen wir nun an, dass eine Gruppe ist, für die DDH schwierig ist, und betrachten Sie die folgende informelle Frage:
Kennen wir einen probabilistischen Poly-Time (PPT) -Algorithmus, der ein Diffie-Hellman-Paar zusammen mit einigen Teilinformationen über (z. B. ist ungerade) erhält und korrekt ausgeben kann, ob das Eingabepaar "Typ 1" ist? oder "Typ 2" (mit nicht zu vernachlässigender Wahrscheinlichkeit)?
Mit Teilinformationen meine ich eine Zeichenfolge , so dass bei gegebenem und einem Diffie-Hellman-Paar kein PPT-Algorithmus mit nicht zu vernachlässigender Wahrscheinlichkeit berechnen kann .
Es ist möglich, die obige Frage zu formalisieren. Da die erforderliche Notation jedoch langwierig ist, versuche ich, eine Analogie zu verwenden.
Eine berühmte, nicht standardmäßige kryptografische Annahme heißt Knowledge-of-Exponent (KEA).
Ein bisschen formeller (aber immer noch nicht vollständig formal):
quelle
Antworten:
Angesichts der neuesten Formulierung Ihrer Frage scheint dies unmöglich zu sein. Stellen Sie sich den Fall vor, in dem Sie (Familien von) zyklischen Gruppen und , in denen und wir eine bilineare Karte . Unter der XDH-Annahme können wir annehmen, dass DDH in und diskretes Protokoll in schwierig ist .G H G≠H e:G×H→T G H
Sei ein Generator von und ein Generator von . Definieren Sie dann als .g G h H f:Z|G|→H f(a)=ha
Wenn nun gegeben ist , können wir leicht bestimmen, ob indem wir . (Sie können auf ähnliche Weise auch die Richtigkeit von überprüfen, wenn Sie möchten.) Es ist jedoch unwahrscheinlich, dass ein Extraktor oder aus einem solchen Tupel extrahieren kann . Das Extrahieren von entspricht offensichtlich dem diskreten Protokoll; Wenn es eine Verzerrungskarte von nach gibt (es kann keine in die andere Richtung geben), entspricht das Extrahieren von dem diskreten Protokoll (in ).(g,ga,gb,gX,z=f(a)=ha) X=ab e(gb,z)=?e(gX,h) z a b b H G a H
quelle