Регистрация Войти
Рейтинг:1
MeV avatar Crypto

Разный модуль в показателе степени

флаг cn
MeV

Учитывая два значения $г^{а_1}, г^{а_2}$ куда $a_1, a_2 \in \mathbb{Z}_q$ и $г$ является генератором группы $\mathbb{G}$ порядка $q$. Дискретный логарифм считается трудным в $\mathbb{G}$.

Есть ли способ найти значение $г^х$ такой, что $x = a_1 + a_2 \text{ мод } p$ при р < q. Мы также знаем, $а_1, а_2 < р$. Здесь $р,к$ большие простые числа, например $128, 256$ бит соответственно.

102
2 + 3
MeV avatar
флаг cn
MeV
Я надеялся найти какую-нибудь схему, не связанную с решением задачи дискретного логарифма.
0
Ответить
fgrieu avatar
флаг ng
fgrieu
Хорошая проблема. Я предполагаю, что это домашнее задание, поэтому полного ответа не дам, только намеки; тоже не совсем уверен. Я думаю, что [contraposition] (https://en.wikipedia.org/wiki/Contraposition) запросил доказательство того, что то, что задает вопрос, не может быть. При заданных $p$, $q$ и возможности выполнять групповые операции любой алгоритм, выполняющий поставленную задачу, можно превратить в алгоритм, решающий любой DLP в группе с допустимыми усилиями. Если мы пренебрегаем памятью, кажется, что это усилие составляет около $2^{65}$ групповых операций (если это можно уменьшить, я хочу знать, как). [резюме предыдущих комментариев, теперь удалено].
0
Ответить
MeV avatar
флаг cn
MeV
о нет, это не домашнее задание, но спасибо за участие.
0
Ответить
Рейтинг:0
ming alex avatar Crypto
флаг in
ming alex

Кажется, что находка $г^х$ нонсенс $g^x=g^{a_1} * g^{a_2}\text{ мод }q$. Однако мы не можем судить о том, является ли $x=a_1+a_2 \text{ мод } p$.

Другой способ, мы можем позволить генератору $g=r^{(q-1)/p}\text{ мод }q$, куда $r\in(1,...,q-1)$ и $р$ такое большое простое число, что $q-1 \text{ мод } p = 0$. Теперь, согласно Ферма Тером, результат $g^x\in(g^0,g^1,...,g^{p-1})\text{mod} q$ для любой $x\in Z_q$. Тем не менее, я все еще думаю, что мы не могли подтвердить, что $x=a_1+a_2 \text{ мод } p$ в случае $a_1+a_2=(p + b)>p$ куда $b$ это $х$.

Если уравнение было $x\equiv a_1+a_2 \text{mod} p$, то вышеуказанный метод может подтвердить это.

0 + 2
fgrieu avatar
флаг ng
fgrieu
Непонятно, что вы подразумеваете под $g^x=g^{a_1} * g^{a_2}\text{mod}q$. Рассматриваемая группа — это _not_ $\mathbb Z_q^*$, которая имеет порядок $\varphi(q)
1
Ответить
ming alex avatar
флаг in
ming alex
@fgrieu Я думал, что все операции выполняются в $ Z_q $, игнорируя этот момент. Мне нужно еще больше улучшить свой ответ.
0
Ответить
Рейтинг:0
fgrieu avatar Crypto
флаг ng
fgrieu

Позволять $\mathbb Г$ с генератором $г$, это 256-битный простой порядок $q$, и 128-битное простое число $р$ быть известным и фиксированным.

Предположим, мы получили алгоритм $\математический А$ который на входе $(h_1,h_2)\in\mathbb G^2$, с $h_1=g^{a_1}$, $h_2=g^{a_2}$ для случайного $a_1,a_2\in\mathbb Z_q$, выходы $h_3=g^{a_1+a_2\bmod p}$ с ненулевой вероятностью, как в вопросе.

Определить алгоритм $\mathcal А'$ что на входе $h\in\mathbb G$ попытки вывести $у$ с $г^у=ч$, и к этому:

  • рисует $u$ случайно в $\mathbb Z_q$, вычисляет $h_1=g^u\;h$, который теперь является случайным в $\mathbb Г$; таким образом, существует уникальный (пока неизвестный, случайный) $a_1\in\mathbb Z_q$ с $г^{а_1}=ч_1$
  • рисует $a_2$ случайно в $\mathbb Z_q$, вычисляет $h_2=g^{a_2}$
  • работает $\математический А$ с вводом $(ч_1,ч_2)$, получает $h_3$ предполагается (с ненулевой вероятностью) $g^{a_1+a_2\bmod p}$
  • находит $x\in\mathbb Z_q$ с $0\le x<p<2^{128}$ такой, что $г^х=ч_3$, что требует в порядке $2^{66}$ групповые операции с использованием Ро Поларда с выделенными точками, возможно небольшим объемом памяти и легко распределяется
  • вычисляет $r=x-a_2\bmod p$; он держит $a_1\экв г\bмод р$, и $0\le a_1<q$; пусть (sd пока неизвестно) $s\in\left[0,\left\lfloor q/p\right\rfloor\right]$ быть таким, что $a_1=r+s\,p$, таким образом $g^{r+s\,p}=h_1$, таким образом $g^{s\,p}=h_1\,g^{q-r}$, таким образом $g^s=(h_1\,g^{qr})^{p^{-1}\bmod q}$
  • вычисляет $h_4=(h_1\,g^{q-r})^{p^{-1}\bmod q}$; он держит $g^s=h_4$ и $s<2^{129}$
  • находит $s$ практически тем же методом, что и $х$
  • вычисляет $a_1=r+s\,p$, что, таким образом, таково, что $г^{а_1}=ч_1$
  • вычисляет и выводит $y=a_1-u\bmod q$, который таков, что $г^у=ч$.

Наш алгоритм $\mathcal А'$ Таким образом, он может вычислить дискретный логарифм $у$ основать $г$ любого заданного элемента $ч$ в $\mathbb Г$ с ненулевой вероятностью и практически мало работает. Это гипотетически невозможно. Отсюда наше предположение, что $\математический А$ существует ложно.

Таким образом, мы отвечаем на вопрос отрицательно.

0 + 1
fgrieu avatar
флаг ng
fgrieu
Это предварительно. Приветствую критику, указывающую на дыру в сокращении или более тугом.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.