Есть ли какой-либо результат, в котором говорится, что если вывод этих двух функций является XOR'd, вывод XOR'd является псевдослучайным

Link L

25.03.2023, 05:12

Позволять $\mathbb{G}$ быть группой простого порядка $р$ с генератором $г$. Предположим, что я случайно выбираю $r_1,z_1 \leftarrow \mathbb{Z}_p$ и $r_2, z_2 \leftarrow \mathbb{Z}_p$ и $c \leftarrow \mathbb{G}$. Позволять $\альфа = г^{r_1z_1}г^{с}$ и $\бета = г^{r_2z_2}г^с$. По семантической безопасности шифрования Эль-Гамаля оба $\альфа$ и $\бета$ неотличимы от случайных чисел... Предположим, что $\альфа$ и $\бета$ кодируются с использованием битовых строк, был ли какой-либо результат, что их XOR также неотличим от случайного числа или псевдослучайного числа? то есть $\альфа\оплюс\бета$ неотличимо от случайного числа.

334

0 + 0

xor

псевдослучайная функция

Рейтинг:4

Crypto

fgrieu

25.03.2023, 06:56

( ¦ ) $\альфа\оплюс\бета$ неотличимо от случайного числа?

Обратите внимание, что нам нужно преобразовать $\альфа$ и $\бета$ к битовым строкам, чтобы применить побитовое исключающее ИЛИ. Так что на самом деле мы вычисляем $\подчеркивание\альфа\oplus\подчеркивание\бета$ куда $\подчеркивание\гамма$ is - это обозначение однозначно определенного представления произвольного элемента группы. $\гамма$ как битовую строку фиксированного размера, и задается вопрос, $\подчеркивание\альфа\oplus\подчеркивание\бета$ является случайной битовой строкой. Ответ будет зависеть от используемого представления.

Легко найти четкий контрпример со знакомой криптографической группой и представлением, таким как подгруппа квадратичные вычеты принадлежащий мультипликативная группа по модулю $(2п+1)$, когда $р$ большой случайный Софи Жермен премьер скажем, 1999 бит¹ и начальные биты 1010, а также представление элементов группы в виде 2000-битных битовых строк на обратный порядок байтов соглашение. $\подчеркивание\альфа$ и $\подчеркивание\бета$ представляют собой 2000-битные битовые строки с заметным смещением в сторону 0 в первых двух битах, и есть подобное (хотя и меньшее) смещение в первых двух битах $\подчеркивание\альфа\oplus\подчеркивание\бета$.

С другой стороны, если в приведенном выше мы заменим 1010 с 111–111 более 200 бит², тогда $\подчеркивание\альфа$ будет неотличим от случайного, за исключением представления $\альфа$ это квадратичный вычет³. Несмотря на это, и $\альфа$ и $\бета$ не будучи строго независимыми, я предполагаю, что оба эффекта достаточно слабы, чтобы $\подчеркивание\альфа\oplus\подчеркивание\бета$ вычислительно неотличима от случайной.

Для любого представления элементов группы в виде строки битов мы можем разработать другое представление того же размера, применив к представлению общедоступную, эффективно вычислимую и обратимую псевдослучайную перестановку. Свойства группы сохраняются, шифрование Эль-Гамаля по-прежнему работает и одинаково безопасно. А теперь для любого $р$ достаточно большой, чтобы DLP был жестким, $\подчеркивание\альфа\oplus\подчеркивание\бета$ можно доказать вычислительную неотличимость от случайной, используя свойства PRP.

¹ Таким образом, шифрование Эль-Гамаля является безопасным, что подразумевается в вопросе.

Â² Мы можем захотеть увеличить разрядность $р$ немного, чтобы компенсировать проблему дискретного логарифмирования, которая немного облегчается $р$ быть близкой к степени двойки.

Â³ Характеристика, которую можно эффективно проверить, проверив, что символ Лежандра $\left(\frac\alpha{2p+1}\right)\,\underset{\text{def}}=\,\alpha^p\bmod(2p+1)$ является $+1$

Обратите внимание, что $\альфа^{-1}\бета\bmod(2p+1)$ является слегка необъективным элементом группы.

0 + 0

Admin

Этот вопрос на других языках:

EN: Is there any result which states that if the output of these two functions is XOR'd, the XOR'd output is pseudorandom

TH: มีผลลัพธ์ใดที่ระบุว่าหากเอาต์พุตของฟังก์ชันทั้งสองนี้คือ XOR'd เอาต์พุต XOR'd จะเป็นแบบหลอก

RO: Există vreun rezultat care afirmă că, dacă rezultatul acestor două funcții este XOR, ieșirea XOR este pseudoaleatoare

RU: Есть ли какой-либо результат, в котором говорится, что если вывод этих двух функций является XOR'd, вывод XOR'd является псевдослучайным

VI: Có bất kỳ kết quả nào nói rằng nếu đầu ra của hai hàm này là XOR'd, thì đầu ra XOR'd là giả ngẫu nhiên

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.