ну это $м$ некоторый элемент в группе $\mathbb{G}$ так что существует какой-то $\альфа\в\mathbb{Z}_q$ такой, что $ м = г ^ {\ альфа} $, следовательно $m \cdot g^r = g^{\alpha+r}$ и заметьте, что с тех пор $г$ выбирается равномерно случайным образом из $\mathbb{Z}_q$, то распределение $\альфа + г$ точно (не только вычислительно, но именно) однородно в $\mathbb{Z}_q$ также.
Интуитивно вы можете думать о $г+\альфа$ как взятие $\альфа$ который кто-то выбрал для вас, а затем добавить к нему случайное число по модулю $q$, и он в точности равномерен, так как для каждого возможного результата $г+\альфа$ есть ровно один $г$ что делает его таким результатом, следовательно, он однороден.
Что касается (a,b,r) - имейте в виду, что предположение DDH пытается сказать что-то вроде: Если вы посмотрите на два случайных элемента группы $г^а, г^б$ и у вас есть третий элемент группы $ч\в\mathbb{G}$, то вы не знаете, если $ ч = г ^ {а \ cdot б} $ или это $ч$ какой-то совершенно случайный, несвязанный групповой элемент $g^r$ для какого-то случайного $г$.
То, как вы это пишете, это то, что вы смотрите на два дистрибутива, в которых $г^а, г^б$ одинаковы в обеих частях равенства, но третий элемент различен (он либо $г^{а \cdot б}$ или же $g^r$ и вы говорите, что в предположении DDH не существует эффективной вероятностной полиномиальной машины Тьюринга, которая может различать $г^{а \cdot б}$ и случайный групповой элемент.
