Рейтинг:1

Является ли $H:\mathbb{Z} \rightarrow \mathbb{Z}_{p}^{*}$ и $a \mapsto g^a\bmod p$ с $p$ простым (сильно) свободным от коллизий?

флаг us

Позволять $H:\mathbb{Z} \rightarrow \mathbb{Z}_{p}^{*}$ и $a \mapsto g^a\bmod p$ за $g \in \mathbb{Z}_{p}^{*}$ куда $р$ является простым. Является ли эта функция (сильно) бесколлизионной в смысле, что мы не можем найти практически $x_1$,$x_2$ такой, что $Ч(х_1)=Ч(х_2)$?

Я возражаю против следующего рассуждения: пусть $А$ быть алгоритмом, который генерирует $x_1 \neq x_2$ такой, что $Ч(х_1)=Ч(х_2)$ и определить $A: \mathbb{N} \rightarrow (X_1,X_2)$ $A: n \mapsto (n,n+(p-1))=(x_1,x_2)$ мы действительно находим с помощью малой теоремы Ферма, что $g^{x_2}=g^{n+(p-1)}=g^{n}g^{p-1}=g^{n}=g^{x_1}$

Мой большой страх заключается в том, что я перепутал (слабое) отсутствие столкновений с сильным без столкновений. Если что-то не так, любые намеки, что сделать лучше.

fgrieu avatar
флаг ng
Подсказка: снова посмотрите на входной набор для $H$. Если $p$ простое число (или, в более общем случае, известное разложение на множители), позволяет ли это показать второй прообраз? Соответствует ли это определению «(строго) без столкновений», которое вы используете (и должно быть частью вопроса, кстати)?
Iwan5050 avatar
флаг us
Я вижу ошибку, лол. Нет, по нашему определению, которое мы используем, он действительно не (сильно) свободен от столкновений. Потому что мы можем найти такие $x_1,x_2$ практически (даже за секунды) с $H(x_1)=H(x_2)$, таким образом, не (сильно) без коллизий.
SSA avatar
флаг ng
SSA
ваше отображение является сюръективным гомоморфизмом, где x и x + p будут отображаться в один и тот же элемент кодового домена. ${x \equiv x+p}$, также ядром вашего отображения является ${
fgrieu avatar
флаг ng
@SSA: если простое число $p$ общедоступно, то большое значение $p$ недостаточно, чтобы сделать $H$ устойчивым к коллизиям. В криптографии мы рассматриваем интеллектуальных противников (моделируемых алгоритмами, теоретически любой алгоритм, на практике алгоритм, разработанный людьми или ИИ), и ожидается, что они (противники, алгоритмы) будут использовать любую общедоступную информацию, включая параметры. Они не обязаны генерировать коллизии случайным образом (что не получится при больших $p$).
SSA avatar
флаг ng
SSA
@fgrieu, хэш-функция Чаума-ван Хейста-Пфитцмана, похожа на эту. он удовлетворяет всем трем свойствам, которые необходимы хеш-функции, но не используется, поскольку на практике он медленный.
Рейтинг:1
флаг us

Нет, по нашему определению, которое мы используем, он действительно не (сильно) свободен от коллизонов. Потому что с алгоритмом $А$ мы уже построили очень быстрый способ вычисления таких $x_1,x_2$ с $Ч(х_1)=Ч(х_2)$ а это практически по определению противоречит условию бесколлизийности.

fgrieu avatar
флаг ng
Вы сможете принять этот ответ через несколько дней. Затем я постараюсь удалить этот комментарий.
fgrieu avatar
флаг ng
Я бы предпочел доказательство на примере: «Входные данные $a=1$ и $a=p$ $H$ принадлежат области определения $\mathbb Z$, и согласно FLT выходы сталкиваются, поскольку $p$ — простое число» ( и, возможно, «Такая сталкивающаяся пара может быть продемонстрирована противником, поскольку $p$ является общедоступным параметром»), за которым следует «Таким образом, $H$ не является устойчивым к столкновению».

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.