Регистрация Войти
Рейтинг:3
Turbo avatar Crypto

Общая проблема экспоненты, связанная с дискретными логарифмами, предполагающая оракул Диффи Хеллмана

флаг ru
Turbo

Позволять $г$ быть генератором мультипликативного группового мода $р$ премьер.

Предположим, мы знаем $$g^{a+km_1}\bmod p$$ $$g^{b-km_2}\bmod p$$ $$g^{a+k'm_3}\bmod p$$ $$g^{b-k'm_4}\bmod p$$ куда $m_2m_3-m_4m_1=\фи(р)$ куда $\фи$ Тотиент и $а,б,к,к'$ единственные неизвестные и все $а$ через $m_4$ имеют размер $\квт р$ (мы знаем $m_1$ через $m_4$ над $\mathbb Z$) можем ли мы определить $г^а$, $г^б$ за полиномиальное время?

Нам позволено принять оракула Диффи Хеллмана.?

164
0 + 0
poncho avatar
флаг my
poncho
Это домашнее задание? Или это «сложная проблема», с которой вы столкнулись при анализе криптопротокола?
0
Ответить
Turbo avatar
флаг ru
Turbo
Это сложная проблема... Я не могу добиться прогресса. Я не знаю, есть ли у него решение.
0
Ответить
kelalaka avatar
флаг in
kelalaka
трудная задача == Домашнее задание?
0
Ответить
Turbo avatar
флаг ru
Turbo
«Я не знаю, есть ли у него решение» == исследование.
0
Ответить
Рейтинг:2
poncho avatar Crypto
флаг my
poncho

Что ж, одно очевидное наблюдение заключается в том, что если мы назовем четыре обнаруженные ценности $C_1, C_2, C_3, C_4$ (так $C_1 = г^{а+км_1}$), тогда:

$$C_1^{-m_4} \cdot C_2^{m_3} \cdot C_3^{m_2} \cdot C_4^{-m_1} = (g^a)^{m_2-m_4} \cdot (g^b)^ {м_3-м_1}$$

Это может быть использовано для различения предположений $g_a, g_b$ от правильных значений; следовательно, если «можем ли мы идентифицировать» означает «отличить», то да, мы можем это сделать.

Я не знаю, есть ли способ добавить второе наблюдение, которое позволит вам восстановить $г^а, г^б$ ценности.

0 + 0
Daniel S avatar
флаг ru
Daniel S
Это необходимое условие для $g^a$ и $g^b$, но недостаточное. Например, пара $g^{a+m_3-m_1}$ и $g^{b-m_2+m_4}$ также пройдет этот тест.
0
Ответить
Turbo avatar
флаг ru
Turbo
Что, если мы предположим оракул DH? Хотя думаю может и не надо.
0
Ответить
Daniel S avatar
флаг ru
Daniel S
@Turbo Оракул DH не изменит того факта, что существует большое семейство решений, которые проходят тест пончо и любой другой тест, основанный на возведении в степень и умножении $C_i$. Действительно, это семейство позволяет нам взять любое произвольное значение для $g^a$ и найти предполагаемые значения для $g^b$, $g^k$ и $g^{k'}$, которые проходят все такие проверки.
0
Ответить
Turbo avatar
флаг ru
Turbo
@DanielS Но операции DH - это не BB .. так что, может быть, есть надежда?
0
Ответить
Turbo avatar
флаг ru
Turbo
Я думаю, это должно быть $C_1^{m_4} \cdot C_2^{m_3} \cdot C_3^{m_2} \cdot C_4^{m_1} = (g^a)^{m_2+m_4} \cdot (g^b )^{m_3+m_1}$ в подходе Пончо. Или проблема решается банально.
0
Ответить
Turbo avatar
флаг ru
Turbo
@DanielS Мне непонятно, почему DH не может дать благоприятных отношений, как в ошибочной личности Пончо. Следующие работы, если личность Пончо сохранилась.
0
Ответить
Turbo avatar
флаг ru
Turbo
$$C_1^{-m_4} \cdot C_2^{m_3} \cdot C_3^{m_2} \cdot C_4^{-m_1} = (g^a)^{m_2-m_4} \cdot (g^b)^ {m_3-m_1}\equiv(g^a)^{m_2-m_4} \cdot (g^{bm_1})^{\frac{m_3-m_1}{m_1}}$$ $$\equiv(g^a)^{m_2-m_4} \cdot (g^{am_2+bm_1})^{\frac{m_3-m_1}{m_1}}\cdot (g^{-am_2})^ {\ гидроразрыва {m_3-m_1} {m_1}}$$ $$\equiv(g^a)^{m_2-m_4-m_2\frac{m_3-m_1}{m_1}} \cdot (g^{am_2+bm_1})^{\frac{m_3-m_1}{m_1} }\bмод р$$ $$\ подразумевает g^a\equiv\Big((C_1^{-m_4} \cdot C_2^{m_3} \cdot C_3^{m_2} \cdot C_4^{-m_1})\cdot(g^{am_2+ bm_1}) ^ {\ frac {m_3-m_1} {m_1}} \ Big) ^ {\ frac1 {m_2-m_4-m_2 \ frac {m_3-m_1} {m_1}}} \ bmod p $ $
0
Ответить
Turbo avatar
флаг ru
Turbo
@poncho Возможно, DH может дать личности, которые помогут.
0
Ответить
Daniel S avatar
флаг ru
Daniel S
Дело в том, что ваши первые пять уравнений дают систему из четырех неизвестных с тремя ограничениями, так что существует бесконечное семейство решений пяти уравнений. Оракул DH позволит вам формировать полиномиальные тождества, а не только линейные тождества, но если тождества основаны на системе пяти уравнений, все некаузальные решения также будут им удовлетворять.
0
Ответить
Turbo avatar
флаг ru
Turbo
@DanielS Понятно. Что вы подразумеваете под непричинными решениями?
0
Ответить
Turbo avatar
флаг ru
Turbo
@DanielS также обратите внимание, что с учетом $a+km$ мы можем получить $a$ с помощью модульной арифметики... но здесь у нас есть $g^{a+km}\bmod p$.
0
Ответить
Daniel S avatar
флаг ru
Daniel S
Давайте [продолжим это обсуждение в чате](https://chat.stackexchange.com/rooms/134667/discussion-between-daniel-s-and-turbo).
0
Ответить
Рейтинг:1
Daniel S avatar Crypto
флаг ru
Daniel S

Думаю, нет. Если бы мы могли распространить такую ​​конструкцию на группу черного ящика, это дало бы $q^{1/4}$ метод решения дискретных логарифмов в этой группе. Также обратите внимание, что если ограничение размера на $а$, $b$, $к$ и $к'$ удаляется, проблема не определена четко (может быть несколько решений даже в случае с ограничениями; я не уверен).

Несколько решений, если ограничения по размеру игнорируются

В общем случае мы можем считать это изоморфным задаче линейной алгебры в показателях. Мы пишем $c_1=а+км_1$, $C_i=g^c_i\mod p$ и так далее. Умножая термины $C_iC_j$ или возведения в степень членов $C_i^d$ мы можем добавить $c_i+c_j$ или умножить наши неизвестные показатели на константы $dc_i$, чтобы мы могли найти $г^х$ куда $х$ представляет собой произвольную линейную комбинацию этих $c_i$ (оракул Диффи-Хеллмана позволил бы нам сформировать $g^y$ куда $у$ является произвольным полиномиальным выражением в $c_i$). Ограничившись такими линейными комбинациями (как это было бы в случае с группой черного ящика), проблема сводится к тому, чтобы найти линейную комбинацию наших $c_i$ что равно $а$ или же $b$.

У нас есть система $$\left(\matrix{1&0&m_1&0\ 0&1&0&-m_2\ 1&0&m_3&0\ 0&1&0&-m_4}\right)\left(\matrix{a\ b\ k\ k'}\right)=\left (\matrix{c_1\ c_2\c_3\c_4}\right)\pmod{\phi(p)}$$ если мы напишем $ млн $ для матрицы 4x4 и $\mathbf с$ для правого вектора мы могли бы надеяться найти нашу линейную комбинацию из $M^{-1}\mathbf c$. Однако мы видим, что $$\mathrm{det}(M)=m_1m_4-m_2m_3\equiv 0\pmod{\phi(p)}$$ так что наша матрица необратима.

Линейная алгебра средней школы теперь говорит нам, что у нас либо нет решений, либо их много. Тот факт, что наша конструкция определяет одно решение, говорит нам о том, что существует множество решений. Небольшое сокращение строки говорит нам, что $m_2c_1+m_1c_2-m_3c_3-m_1c_4\экв 0\pmod{\phi(p)}$. В частности, если, например. $m_1$ взаимно прост с $\фи(р)$, мы можем определить $C_4$ данный $C_1$, $C_2$ и $C_3$ и поэтому 4-е уравнение не дает нам никакой дополнительной информации. При отсутствии дальнейшего вырождения отсюда следует, что мы можем, например, выбрать произвольное $г^а$ а затем найти $g^k\эквив(C_1/g^a)^{1/m_1}\pmod p$, $g^b\эквив C_2(g^k)^{m_2}\pmod p$ и $g^{k'}\эквив(C_3/g^a)^{1/m_3}$ которые производят $C_1$, $C_2$, $C_3$ и $C_4$ что нам представляют.Однако $а$, $b$, $к$ и $к'$ связанные с ними, не обязательно будут соответствовать ограничениям по размеру.

Недопустимая модель черного ящика

Теперь предположим, что мы можем расширить такой решатель до мультипликативной группы черного ящика. Предположим, что нам дана задача дискретного логарифмирования для генератора $г$ порядка $q$ и элемент $C_1$ такая группа. Мы выбираем произвольно $m_1$ и по счетному аргументу существует большая вероятность того, что $c_1$ можно записать в виде $c_1\экв а+км_1\pmod q$ с $a,k\le q^{1/2}$. Написать $d=[q^{1/2}]$. Теперь мы вызываем наш решатель с $C_1=C_1$, $C_2=g^d/C_1$, $C_3=C_1g^{m_1}$ и $C_4=g^d/C_3$ и $m_1=m_2=m_3=m_4$ (соответствует значениям $b=d-a$ и $k'=k+1$ которые удовлетворяют ограничениям по размеру). Наш решатель вернется $г^а$ от которого мы можем восстановить $а$ используя метод маленьких шагов/гигантских шагов в $O(\корень 4\из q)$ шаги. Точно так же мы можем восстановить $g^k=(C_1/g^a)^{1/m_1}$ и $к$ в другой $O(\корень 4\из q)$ шаги. Это позволяет нам вычислить $c_1$ с $O(\корень 4\из q)$ групповые операции, которые невозможны для группы черного ящика.

0 + 0
Daniel S avatar
флаг ru
Daniel S
Да, $\sqrt q$ можно вычислить $c_1$, но $\root 4\of q$ — нет. Напомним, что $c_1$ произвольно, и мы получили противоречие.
0
Ответить
Turbo avatar
флаг ru
Turbo
Что такое $C_1$ и что такое $c_1$? Они такие же?
0
Ответить
Daniel S avatar
флаг ru
Daniel S
@Турбо как в первой части $C_1=g^c_1\mod p$. Аргумент не исключает использования структуры $\mathbb Z/p\mathbb Z$, но означает, что для восстановления $g^a$ мы должны сделать что-то другое, кроме возведения $C_i$ в степени и умножения.
0
Ответить
Daniel S avatar
флаг ru
Daniel S
Вы можете использовать решето общего числового поля для восстановления $c_1$ (не полиномиальное время, но, конечно, субэкспоненциальное), а затем использовать редукцию базиса решетки, чтобы найти $a, k\приблизительно\sqrt p$ такие, что $a+km_1\equiv c_1\ пмод п$.
0
Ответить
Turbo avatar
флаг ru
Turbo
Здесь $m_1m_4-m_2m_3=0$, а не $\lambda(p)$.
0
Ответить
Turbo avatar
флаг ru
Turbo
Является ли $\neq\lambda(p)$ проблемой для нижней границы, которую вы доказываете?
0
Ответить
Daniel S avatar
флаг ru
Daniel S
Условие $m_1m_4-m_2m_3\equiv 0\pmod{\phi(p0}$ включает случай $m_1m_4-m_2m_3=\phi(p)=\lambda(p)$, поэтому все сказанное остается в силе в конкретном случае .
0
Ответить
Turbo avatar
флаг ru
Turbo
Да согласен. Но в вашей ситуации $m_1=\dots=m_4$ обеспечивает ровно $m_1m_4-m_2m_3=0$, тогда как мне нужно именно $\lambda(p)$. $m_1m_4-m_2m_3=0\подразумевает m_1m_4-m_2m_3\equiv0\bmod\lambda(p)$, но не $m_1m_4-m_2m_3=\lambda(p)$.
0
Ответить
Turbo avatar
флаг ru
Turbo
нижняя граница черного ящика работает, только если вы работаете с групповыми элементами по модулю p. Но a,k не являются элементами группы по модулю p.
0
Ответить
Turbo avatar
флаг ru
Turbo
Я думаю, что нижняя граница bb неверна. Вы получаете окончательный показатель степени через промежуточные объекты, которые являются a,k, и это не элементы группы по модулю p. См. https://crypto.stackexchange.com/questions/99282/does-generic-group-black-box-model-prohibit-msb-of-discrete-logarithm?noredirect=1&lq=1, где вместо a,k мы используем man, который не является элементом группы по модулю p. Можете ли вы дважды проверить и сравнить с ответом msb, чтобы сказать, что отличается?
0
Ответить
Daniel S avatar
флаг ru
Daniel S
Я не думаю, что что-то отличается: предполагаемый алгоритм для решения MSB дискретного логарифма группы BB невозможен, поскольку он превзошел бы границу $q^{1/2}$, а также предполагаемый алгоритм для решения вашей проблемы. в группе BB невозможно, так как это также превысит ограничение $q^{1/2}$.
0
Ответить
Turbo avatar
флаг ru
Turbo
Дело в том, что MSB не является элементом группы блоков BB. Точно так же здесь a,k не являются элементами группы блоков BB. Вы уверены в своей привязанности?
0
Ответить
Daniel S avatar
флаг ru
Daniel S
MSB, $a$ и $k$ определяются как компоненты индекса циклического группового элемента, и поэтому все они существуют в контексте черного ящика.
0
Ответить
Turbo avatar
флаг ru
Turbo
тогда какой смысл там делать? Я не понимаю. В нем говорится, что выполняется переход через msb, потому что msb не является элементом группы.
0
Ответить
Daniel S avatar
флаг ru
Daniel S
Дело в том, что как оракул MSB не существует для группы BB, так и оракул для вашей проблемы не существует для группы BB.
0
Ответить
Turbo avatar
флаг ru
Turbo
Является ли нижняя граница BB только для детерминированных алгоритмов или она применима и к рандомизированным алгоритмам?
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.