Прежде всего я хотел бы уточнить, что такое «то же самое». $х$" атака.
Первая интерпретация
Алиса и Боб знают свои $х$ подобные. Это не имеет смысла, потому что в этом сценарии они уже обмениваются секретной информацией (они уже могут вычислить общий открытый ключ $г^х$ без всякого общения).
Вторая интерпретация
Теперь, допустим, противник может заставить (мы не знаем как) $х$ быть равным $у$ (Но Алиса и Боб этого не знают и затем общаются $г^х$). Тогда целью противника является вычисление $г^{х^2}$ зная $г^х$. Известно, что эта проблема сложна в общей модели (вы можете посмотреть, например, это), а потом наверное тоже тяжело для конкретной хорошо подобранной группы.
Третья интерпретация
Алиса и Боб соблюдают протокол, но, к несчастью, выбирают его. $х$, примечательно, чем противник может легко обнаружить этот случай. Но вычисления $г^{х^2}$ тяжело, как и во втором случае.
О ЛВЕ
Я учту эта версия обмена ключами DH:
Что касается первой интерпретации, это не имеет смысла для DH.
Важным замечанием является тот факт, что даже у Алисы и Боба одинаковые $х$, отправленные частичные ключи не идентичны (в отличие от ключей в DH). Во-первых, потому что они вычисляют $х^\перп А$ и $топор$, а также потому, что нет причин, по которым они имеют одинаковый шум.
По этой причине обнаружение равенства в третьем случае не является тривиальным (по крайней мере, не тривиальным, как в случае DH).
О том, чтобы вычислить секрет $х$ во втором случае. Это кажется сложным, но насколько я знаю, нет никакого результата о сложности этой конкретной проблемы.
Мы можем переформулировать обе проблемы. Дана квадратная матрица $А$, трудно ли
различать $(Ax+ 2e, x^\perp A+ 2e')$ и $(Ax+ 2e, y^\perp A+ 2e')$?
И дано $(Ax+ 2e, x^\perp A+ 2e')$ трудно ли угадать наименьший значащий бит $x^\perp топор$.
Я склонен думать, что обе проблемы сложны. Но, насколько я знаю, его нельзя свести ни к одной известной сложной задаче.
