Я пытаюсь понять разницу между (классической) общей моделью группы, как она описана Shoup [Покупать] и несколько ограниченная общая групповая модель, описанная Шнорром и Якобссоном в [SJ00].
Для ясности я собираюсь дать определение двух моделей. Для этого я использую пояснения из статьи [BL19]. В обоих случаях у нас есть мультипликативная циклическая группа $G = \langle g \rangle$ порядка $р$. (GGM = общая групповая модель)
- Общая групповая модель Шупа
С $G$ изоморфен $\mathbb{Z}_p$, мы можем выбрать случайное инъективное отображение $\tau: \mathbb{Z}_p \rightarrow \mathbb{G}$, куда $\mathbb{G}$ это набор битовых строк длины $l \ (2^l \geq p)$ и мы кодируем дискретный журнал элемента группы вместо самого элемента группы. Основная идея заключается в том, что карта $\тау$ не обязательно должен быть гомоморфизмом групп. GGM предполагает, что злоумышленник не имеет доступа к конкретному представлению элементов группы. Вместо этого противнику предоставляется доступ к оракулу, параметризованному $\тау$, который косвенно вычисляет групповые операции в $G$. Точнее, для входа $(a,b) \in \mathbb{G} \times \mathbb{G}$ оракулы действуют следующим образом $ Mult(a,b) = \tau(\tau^{-1}(a) + \tau^{-1}(b)), \ Inv(a) = \tau(-\tau^{-1 }(а))$. Замечаем, что у противника нет доступа к карте $\тау$ сам.
- GGM Шнорра и Якобсена на основе столкновений
Данные общего алгоритма разбиваются на групповые элементы из $G$ и внегрупповые данные. Общий шаг - это $mexp: \mathbb{Z}^d_q \times G^d \mapsto G, (\underline{a}, (f_1,...,f_d)) \mapsto \prod_{i=1}^d f_i^{ а_я}$. Формальное определение:
Общий алгоритм представляет собой последовательность $t$ общие шаги; На время $1 \leq t' < t$, алгоритм принимает входные данные как $f_1,...,f_{t'}$, куда $(a_1,...,a_{i-1}) \in \mathbb{Z}^{i-1}_p$ зависит произвольно от i, негруппового элемента и множества $CO_{i-1} := \lbrace (j,k) | f_j = f_k, 1 \leq j <k \leq i-1 \rbrace $ предыдущих «столкновений» группы.
Основное отличие состоит в том, что злоумышленник в модели Шоупа получает прямой доступ к $\тау(г)$ для любого группового элемента, являющегося результатом любого универсального группового запроса. В то время как злоумышленник во второй модели может только косвенно ссылаться на ранее вычисленные элементы группы, отправив запрос $(a_i, ..., a_{i-1}) \in \mathbb{Z}_p^{i-1}$ к общему групповому оракулу. Но эти два определения кажутся мне настолько разными, что я был бы очень признателен, если бы кто-нибудь помог мне указать на различия и сходства. В частности, я хотел бы понять преимущества доказательств безопасности в модели Шоупа по сравнению с доказательствами безопасности в модели Шнорра.
Спасибо заранее!
