Рейтинг:2

Существуют ли криптографические методы $f,g,h$ с $f(g(h(x)))=h(g(f(x)))=g(h(f(x)))$) и нахождение $ x$ для данного $c=f^ig^jh^k(x)$ сложнее, чем $O(i+j+k)$?

флаг at

Существуют ли какие-либо криптографические методы $ф,г,ч$ которые могут быть применены в любом порядке к входу $х$ при этом все равно приводя к тому же результату $г$: $$f(g(h(x)))=h(g(f(x)))=ghf(x)=fhg(x)=hfg(x)=gfh(x) = r$$ То же самое для их обратной функции: $$f^{-1}(g^{-1}(h^{-1}(r)))=h^{-1}(g^{-1}(f^{-1}(r )))=g^{-1}(h^{-1}(f^{-1}(r))) =...= x$$ Если сейчас $ф,г,ч,$ применены $i,j,k$-раз на вход $х$ поиск/вычисление $х$ для данного $с$ $$c=f^i(g^j(h^k(x)))$$ должно быть максимально жестким и при этом занимать более $O(|i|+|j|+|k|)$ шаги.
Вычисления $ф,г,ч$ и их обратные должны занимать одинаковое время для каждого входа (независимо от $i,j,k$).

более того $ф,г,ч$ создать цикл, подобный $f(f(....f(x)...)) = x$ с размером $F,G,H$ с $F\приблизительно G \приблизительно H \gg 1$

И случайный $х$ может быть сгенерирован без знания секретного параметра из $ф,г,ч$.


Цель: Даны два случайных $x_1,x_2$ с $x_2=f^ig^jh^k(x_1)$ вычисление/нахождение $i,j,k$ должно быть как можно сложнее, а количество различных $х$ должно быть как можно меньше.
Не предпочтительнее, но некоторые комбинации $x_1,x_2$ может не иметь никакого $i,j,k$

kodlu avatar
флаг sa
вам придется мотивировать и распаковать этот алфавитный суп, если вы хотите, чтобы кто-то серьезно посмотрел на это. во-первых, почему вы выбираете композиции именно в таком порядке? есть 3! возможные композиции, и вы выбираете 3 из них. как мотивированы/связаны обратные свойства. наконец, вы говорите O(i+j+k). Должны ли мы предположить, что вы принимаете сложность f и инверсию (f) и т. д. как постоянную. Пожалуйста, отредактируйте вопрос напрямую, а не отвечайте в комментариях.
Рейтинг:3
флаг ru

Позволять $N$ быть произведением двух больших сильных простых чисел, т.е. $N=pq$, $p=2r+1$, $д=2с+1$ с $р$, $q$, $г$ и $s$ все премьер. Мы также требуем, чтобы требовалось 3 числа, которые являются примитивными корнями для обоих $г$ и $s$ (учитывая мод первобытных корней $г$ объявление $s$ мы можем сделать это с помощью китайской теоремы об остатках). Мы возьмем эти три числа как 3, 5 и 7 ниже. Мы предполагаем, что $N$ трудно разложить на множители и решить дискретные логарифмы по модулю $N$ тоже тяжело.

Позволять $х$ быть любой квадрат в $\mathbb Z/N\mathbb Z$ (например, выберите случайный элемент и возведите его в квадрат). Теперь пусть $f(x)=x^3\mod N$, $ г (х) = х ^ 5 \ мод N $ и $ ч (х) = х ^ 7 \ мод N $. Запись $f(g(h(x))=x^{105}\mod N$ и то же самое для других заказов. Существует аналогичная взаимосвязь инверсий (хотя вычисление инверсии так же сложно, как и расшифровка RSA).

Быстрое вычисление $f^ig^jh^k(x)$ позволит нам использовать гигантское шифрование RSA, которое считается сложным, если мы не знаем факторов $N$.

Наконец итерированные приложения $f$, $г$ и $ч$ произвести цикл длины $\mathrm{lcm}((r-1),(s-1))$ пока не $х$ либо $г$й или $s$модуль мощности $N$ (что исчезающе маловероятно).

J. Doe avatar
флаг at
Выглядит интересно. Сделаю некоторый тест / подумаю об этом, прежде чем пометить его как ответ. Например. инверсия уникальна? например квадратный корень из $5 \mod 11$ может равняться $4$ и $7$. При этом сколько шагов вычисления $f,g,h$ необходимо, чтобы найти $i,j,k$ для заданных $x_1,x_2$. Проекция невозможна? Разве $N$ не должно быть очень большим, чтобы избежать факторизации? Меньше, чем простое число по модулю [$N = 2 pqr+1$](https://crypto.stackexchange.com/questions/70282/how-safe-is-a-prime-with-p-2-cdot-q- cdot-r-cdot-s-cdot-t1-for-discrete-lo)?
Daniel S avatar
флаг ru
Инверсии уникальны, если мы придерживаемся показателей, которые являются первообразными корнями как для $r$, так и для $s$. «Проекция» должна быть возможна только в том случае, если известен групповой порядок, что эквивалентно разложению на множители $N$, и да, $N$ должно быть большим, а ваш противник не должен иметь квантовых способностей. Если вместо составного используется простое число, то возможен гигантский шаг, поскольку известен групповой порядок.
J. Doe avatar
флаг at
Вроде получилось, очень интересно, еще раз спасибо за ответ. Единственным недостатком является большой размер $N$. Насколько я знаю, нужно не менее 1000 бит, чтобы избежать факторизации. В случае, если факторизация известна, проекция и гигантский шаг возможны, и при этом для решения этой задачи требуется $\приблизительно 2^{250}$ шагов (найдите $i,j,k$ для случайных $x_1$ до $x_2$) что невыполнимо. Изменение его на что-то более разумное, например, $2^{128}$, сделало бы возможным разложение $N$ на $512$битное число снова. Для действительно целевого варианта использования я ищу меньшее количество различных значений ($

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.