Безопасность варианта DDH

filter hash

12.06.2023, 13:44

Стандартное предположение DDH гласит, что при заданном $(г,г^а,г^б,г^с)$, трудно определить, является ли $с$ является $ab$ или не.

Вариант предположения DDH: данный $(g,g^a,g^b,g^c, g^{ab},g^{bc},g^{ac})$, трудно определить, являются ли последние три члена случайными или нет.

Вариант все еще безопасен? Если да, то как это доказать?

0 + 0

доказуемая безопасность

Диффи-Хеллман

теория вычислительной сложности

filter hash

12.06.2023, 14:13

Пусть Adv — преимущество варианта, а Adv_DDH — преимущество DDH. Тогда верно ли, что $Adv \le c* Adv_DDH$ для некоторой константы $c$?

Ответить

poncho

12.06.2023, 14:24

Что такое отрицательное распределение (то есть распределение, которому Oracle должен сказать «ложь»)? Это $(g, g^a, g^b, g^c, g^d, g^e, g^f)$? Или это $(g, g^a, g^b, g^c, g^{ab}, g^{bc}, g^d)$ (для некоторого порядка последних трех членов)?

Ответить

filter hash

12.06.2023, 14:30

@poncho Спасибо за комментарии. $(g,g^a,g^b,g^c,g^d,g^e,g^f)$ верно. То есть вариант предположения состоит в том, что любому противнику PPT трудно отличить $(g,g^a,g^b,g^c,g^d,g^e,g^f)$ и $(g, g^a,g^b,g^c,g^{ab},g^{bc},g^{ca})$. Я думаю, что преимущество может быть ограничено $c\cdot Adv_{DDH}$ для некоторого $c$, поскольку при заданном сложном запросе $(g,g^a,g^b,g^c,g^d,g^e ,g^f)$, если противник варианта может получить доступ к оракулу для решения DDH, он может попробовать все возможные тройки. Это правильно?

Ответить

kelalaka

12.06.2023, 15:50

У нас был похожий вопрос https://crypto.stackexchange.com/q/98535/18298

Ответить

filter hash

13.06.2023, 02:20

@kelalaka Спасибо

Ответить

Admin

Этот вопрос на других языках:

EN: Security of a variant of DDH

TH: ความปลอดภัยของตัวแปร DDH

RO: Securitatea unei variante de DDH

RU: Безопасность варианта DDH

VI: Bảo mật của một biến thể của DDH

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.