Безопасность DDH с несколькими экземплярами?

filter hash

23.12.2022, 12:53

Позволять $G$ — конечная группа простого порядка $р$, и $г$ генератор $G$. В стандартном DDH трудно различить два дистрибутива $$ \{ (g, g^a, g^b, g^{ab}) : a, b \leftarrow \mathbb{Z}_p\} \text{ и } \{ (g, g^a,g^{ b}, g^r) : a, r \leftarrow \mathbb{Z}_p\}. $$

Является ли по-прежнему безопасным DDH с несколькими экземплярами? То есть трудно различить два следующих дистрибутива? $$ \{ (g, g^a, g^{b_i}, g^{ab_i}) : a, b_i \leftarrow \mathbb{Z}_p\} \text{ и } \{ (g, g^a,g ^{b_i}, g^r) : a, r_i \leftarrow \mathbb{Z}_p\}. $$ Мы также предполагаем, что мощность множества $|\{b_i\}|$, намного меньше, чем $р$ чтобы избежать легких случаев.

1 + 3

определение безопасности

предположения о твердости

filter hash

23.12.2022, 13:07

Является ли это естественно верным из-за самовосстановимости DDH?

Ответить

Geoffroy Couteau

23.12.2022, 14:05

Это домашнее задание? Если да, то следует уточнить.

Ответить

filter hash

23.12.2022, 14:26

@GeoffroyCouteau Нет. Не домашнее задание. просто любопытные вещи

Ответить

Рейтинг:4

Crypto

Yehuda Lindell

24.12.2022, 10:49

Это можно решить с помощью стандартного гибридного аргумента. Я не буду рассказывать вам все подробности. Однако обратите внимание, что для одного кортежа $(г,ч_1,ч_2,ч_3)$ вы можете создать кортеж формы $(г,г^а,г^{b_i},г^{аб_я})$ выбрав $b_i$ и формирование $(г, ч_1, г ^ {b_i}, ч_1 ^ {b_i})$ и вы можете создать кортеж формы $(г,г^а,г^{b_i},г^г)$ выбрав $b_i$ и формирование $(г, ч_1, г ^ {b_i}, г ^ г) $. Этого достаточно для построения гибридных дистрибутивов, необходимых для гибридного аргумента.

0 + 1

filter hash

24.12.2022, 13:59

Спасибо за ваши обнадеживающие комментарии!

Ответить

Admin