Регистрация Войти
Рейтинг:2
J. Doe avatar Crypto

Существуют ли криптографические методы $f,g,h$ с $f(g(h(x)))=h(g(f(x)))=g(h(f(x)))$) и нахождение $ x$ для данного $c=f^ig^jh^k(x)$ сложнее, чем $O(i+j+k)$?

флаг at
J. Doe

Существуют ли какие-либо криптографические методы $ф,г,ч$ которые могут быть применены в любом порядке к входу $х$ при этом все равно приводя к тому же результату $г$: $$f(g(h(x)))=h(g(f(x)))=ghf(x)=fhg(x)=hfg(x)=gfh(x) = r$$ То же самое для их обратной функции: $$f^{-1}(g^{-1}(h^{-1}(r)))=h^{-1}(g^{-1}(f^{-1}(r )))=g^{-1}(h^{-1}(f^{-1}(r))) =...= x$$ Если сейчас $ф,г,ч,$ применены $i,j,k$-раз на вход $х$ поиск/вычисление $х$ для данного $с$ $$c=f^i(g^j(h^k(x)))$$ должно быть максимально жестким и при этом занимать более $O(|i|+|j|+|k|)$ шаги.
Вычисления $ф,г,ч$ и их обратные должны занимать одинаковое время для каждого входа (независимо от $i,j,k$).

более того $ф,г,ч$ создать цикл, подобный $f(f(....f(x)...)) = x$ с размером $F,G,H$ с $F\приблизительно G \приблизительно H \gg 1$

И случайный $х$ может быть сгенерирован без знания секретного параметра из $ф,г,ч$.

Цель: Даны два случайных $x_1,x_2$ с $x_2=f^ig^jh^k(x_1)$ вычисление/нахождение $i,j,k$ должно быть как можно сложнее, а количество различных $х$ должно быть как можно меньше.
Не предпочтительнее, но некоторые комбинации $x_1,x_2$ может не иметь никакого $i,j,k$

107
0 + 0
kodlu avatar
флаг sa
kodlu
вам придется мотивировать и распаковать этот алфавитный суп, если вы хотите, чтобы кто-то серьезно посмотрел на это. во-первых, почему вы выбираете композиции именно в таком порядке? есть 3! возможные композиции, и вы выбираете 3 из них. как мотивированы/связаны обратные свойства. наконец, вы говорите O(i+j+k). Должны ли мы предположить, что вы принимаете сложность f и инверсию (f) и т. д. как постоянную. Пожалуйста, отредактируйте вопрос напрямую, а не отвечайте в комментариях.
0
Ответить
Рейтинг:3
Daniel S avatar Crypto
флаг ru
Daniel S

Позволять $N$ быть произведением двух больших сильных простых чисел, т.е. $N=pq$, $p=2r+1$, $д=2с+1$ с $р$, $q$, $г$ и $s$ все премьер. Мы также требуем, чтобы требовалось 3 числа, которые являются примитивными корнями для обоих $г$ и $s$ (учитывая мод первобытных корней $г$ объявление $s$ мы можем сделать это с помощью китайской теоремы об остатках). Мы возьмем эти три числа как 3, 5 и 7 ниже. Мы предполагаем, что $N$ трудно разложить на множители и решить дискретные логарифмы по модулю $N$ тоже тяжело.

Позволять $х$ быть любой квадрат в $\mathbb Z/N\mathbb Z$ (например, выберите случайный элемент и возведите его в квадрат). Теперь пусть $f(x)=x^3\mod N$, $ г (х) = х ^ 5 \ мод N $ и $ ч (х) = х ^ 7 \ мод N $. Запись $f(g(h(x))=x^{105}\mod N$ и то же самое для других заказов. Существует аналогичная взаимосвязь инверсий (хотя вычисление инверсии так же сложно, как и расшифровка RSA).

Быстрое вычисление $f^ig^jh^k(x)$ позволит нам использовать гигантское шифрование RSA, которое считается сложным, если мы не знаем факторов $N$.

Наконец итерированные приложения $f$, $г$ и $ч$ произвести цикл длины $\mathrm{lcm}((r-1),(s-1))$ пока не $х$ либо $г$й или $s$модуль мощности $N$ (что исчезающе маловероятно).

0 + 0
J. Doe avatar
флаг at
J. Doe
Выглядит интересно. Сделаю некоторый тест / подумаю об этом, прежде чем пометить его как ответ. Например. инверсия уникальна? например квадратный корень из $5 \mod 11$ может равняться $4$ и $7$. При этом сколько шагов вычисления $f,g,h$ необходимо, чтобы найти $i,j,k$ для заданных $x_1,x_2$. Проекция невозможна? Разве $N$ не должно быть очень большим, чтобы избежать факторизации? Меньше, чем простое число по модулю [$N = 2 pqr+1$](https://crypto.stackexchange.com/questions/70282/how-safe-is-a-prime-with-p-2-cdot-q- cdot-r-cdot-s-cdot-t1-for-discrete-lo)?
0
Ответить
Daniel S avatar
флаг ru
Daniel S
Инверсии уникальны, если мы придерживаемся показателей, которые являются первообразными корнями как для $r$, так и для $s$. «Проекция» должна быть возможна только в том случае, если известен групповой порядок, что эквивалентно разложению на множители $N$, и да, $N$ должно быть большим, а ваш противник не должен иметь квантовых способностей. Если вместо составного используется простое число, то возможен гигантский шаг, поскольку известен групповой порядок.
2
Ответить
J. Doe avatar
флаг at
J. Doe
Вроде получилось, очень интересно, еще раз спасибо за ответ. Единственным недостатком является большой размер $N$. Насколько я знаю, нужно не менее 1000 бит, чтобы избежать факторизации. В случае, если факторизация известна, проекция и гигантский шаг возможны, и при этом для решения этой задачи требуется $\приблизительно 2^{250}$ шагов (найдите $i,j,k$ для случайных $x_1$ до $x_2$) что невыполнимо. Изменение его на что-то более разумное, например, $2^{128}$, сделало бы возможным разложение $N$ на $512$битное число снова. Для действительно целевого варианта использования я ищу меньшее количество различных значений ($
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.