Доказать вариацию CDH сложно

позволять $(\mathbb{G},q,p)$ быть группой $\mathbb{G}$ в порядке очереди $q$ и генератор $г$. Предположим, что CDH является жестким по сравнению с этой установкой (а именно, учитывая $(г,г^а,г^б)$, трудно найти $г^{аб}$).

Теперь рассмотрим следующее: для вероятностно-полиномиального времени противника $\mathcal{А}$, и учитывая $(\mathbb{G},q,p)$, выбрать случайным образом $a,b,c\in \mathbb{Z}_q$ и беги $\mathcal{A}(g,g^a,g^b,g^c)$. $\mathcal{А}$ успешно, если он выводит любой из $g^{ab}, g^{ac}, g^{bc}$.

Я должен показать, что это также трудно. Несколько очевидным подходом было бы сокращение трех возможных результатов, приводящих к успеху, до CDH, например: $g^{bc}$ точно CDH, если вход был $(г,г^б,г^с)$. Однако и в этом случае нам дается $г^а$ так что это не симуляция CDH. Я также пробовал другие подходы, пытаясь выбрать $с$ так что я могу восстановить $г^{аб}$ с большой вероятностью в любом случае. я посмотрел на $г^с=г^{а+б}$ но тогда я не уверен, как добраться до $г^{аб}$ от $г^{а^2+аб}$.

Любая помощь приветствуется, это не домашнее задание.