Регистрация Войти
Рейтинг:2
avatar Crypto

Распределение групповых элементов с выбранными битами и сложность дискретной логарифмической задачи

флаг do
Panos

Для генератора $г$ порядка $n$ элементы группы $у=г^х$мод $n$ распределены равномерно из-за операции по модулю.

Предположим, однако, что из исходного выходного пространства $Y$, мы рассматриваем только те элементы $у$ у которых некоторые биты «фиксированы» в их двоичном представлении. Например, для $y = y_1,y_2...y_m$ (куда $y_i$ является битом m-битного представления $у$), рассмотрим выходное пространство $Y'$ где все $y \in Y'$ иметь статический бит $y_i$ в положении $я$ установлен. Те $х$ действительны такие, что $g^x \in Y'$ (а также набор дополнений $\бар{Y'}$) все еще равномерно распределены? Другими словами, эквивалентна ли сложность задачи дискретного логарифмирования при рассмотрении выходного пространства $Y$ и $Y'$? Моя интуиция говорит да из-за операции по модулю и циклической группы, но я ищу более убедительный ответ (с случаями $n$ является либо простым числом, либо степенью 2)

Я видел работы, в которых говорится о «Битовой безопасности» (например, https://dl.acm.org/doi/pdf/10.1145/972639.972642 ), но они говорят о битах $х$, а я рассматриваю "обратную" задачу для битов $у$..

176
0 + 0
kelalaka avatar
флаг in
kelalaka
Простой аргумент: если $n$ не является степенью числа 2, то нет!
0
Ответить
флаг do
Panos
Итак, давайте различать 2 случая (а), если $n$ — простое число, и (б), если $n$ — степень числа 2. Вы говорите, что в случае (а) распределение $x$, где $g^x$, имеет некоторое выбранный префикс перекошен?
0
Ответить
флаг do
Panos
перефразировал вопрос, если поможет
0
Ответить
Рейтинг:1
Daniel S avatar Crypto
флаг ru
Daniel S

ОБНОВЛЕНИЕ 20220330: новый ответ после уточнения вопроса; старый ответ сохранен, чтобы понять комментарии.

Я думаю, что вы спрашиваете, являются ли биты $у$ действовать как аппаратная функция, обратная односторонней функции (в данном случае функция дискретного логарифма по модулю $n$).Справочную информацию о аппаратных функциях см., например, в разделе 2.4. Основы криптографии). Однако, если обратную одностороннюю функцию легко вычислить (что верно в вашем случае, поскольку функция возведения в степень может быть вычислена за полиномиальное время), то нет жестких функций.

Криптографы выражают это не в терминах равномерного распределения, а в терминах дискриминаторов, которые могут быть вычислены за полиномиальное время и дают нетривиальное преимущество (см. определение 2.4 примечаний). Говорят, что предикат $б(у)$ является хардкорным для $f$ если для всех полиномиальных временных дискриминаторов мы имеем $$\mathbb P(A(f(U_n)),1^n)=b(U_n)<1/2+1/p(n).$$ В твоем случае $f$ это функция $y=g^x\mod n\mapsto x$ и твоя функция $b$ это $я$й бит $у=г^х\мод п$. Однако у меня есть дискриминатор контрпримера $А(г,1^п)$ который должен вычислить $g^z\мод п$ (за полиномиальное время) и посмотрите на $я$й бит. Это различает ответы с вероятностью 1, потому что с первым аргументом $ф(у)=х$ он возвращается $б(у)$.

Другими словами, существует вычислительно проверяемое отсутствие единообразия, потому что я могу быстро проверить $х$ значения, чтобы увидеть, производят ли они вывод, который лежит в $Y'$.

Старый ответ.

Да. Позволять $|Y'|=M$ и разреши $z$ быть любым элементом $Y'$ то теорема Байеса говорит нам, что $$\mathbb P(g^x\mod n=z|g^x\mod n\in Y')=\frac{\mathbb P(g^x\mod n=z)\mathbb P(g^x \mod n\in Y'|g^c\mod n=z)}{\mathbb P(g^x\mod n\in Y')}.$$ Теперь отметим, что $\mathbb P(g^x\mod n=z)=1/\phi(n)$ (по единообразию, отмеченному в вопросе), $\mathbb P(g^x\mod n\in Y'|g^c\mod n=z)=1$ и что $\mathbb P(g^x\mod n\in Y')=M/\phi(n)$ (опять же по единообразию в вопросе). Таким образом $$\mathbb P(g^x\mod n=z|g^x\mod n\in Y')=1/M$$ для всех $z\in Y'$ которое описывает равномерное распределение.

0 + 0
флаг do
Panos
Спасибо, но действительно ли байесовский подход отражает распределение $x$? т.е. те $x$, которые «действительны», такие, что $g^x \in Y'$ потенциально могут быть искажены с точки зрения всего пространства $Y$? Например. может быть, для «фиксации» некоторого бита $y_b$ эти $x$ потенциально могут иметь вероятность того, что один из его битов будет равен 0, чтобы быть больше 1/2?
0
Ответить
Daniel S avatar
флаг ru
Daniel S
Я не уверен, что следую вашему комментарию.Если вы спрашиваете: «Возможно ли построить условное распределение вероятностей, где теорема Байеса неприменима?» Тогда ответ "Нет". Также обратите внимание, что, хотя значения $g^x$ распределены равномерно, биты, например, не равны. для $B$-бита $p$ старший бит равен 0 с вероятностью $(2^{B-1}-1)/(p-1)$ и 1 с вероятностью $(p-2^{B-1} )/2$.
0
Ответить
флаг do
Panos
Поэтому я спрашиваю о распределении $x$, а не $g^x$. И мой вопрос заключается в том, изменится ли как-то распределение $x$ (то есть вероятность того, что какой-то бит $x$ равен 0 или 1), если я «фиксирую» какой-то бит в представлении $y = g^x$. Я не понимаю, как тот факт, что P = $1/M$ для всех $z \in Y'$ показывает, что $x$ по-прежнему равномерно распределены по *исходному* выходному пространству $Y$..
0
Ответить
Daniel S avatar
флаг ru
Daniel S
Я думаю, что теперь я понимаю ваш вопрос и изменил свой ответ.
0
Ответить
флаг do
Panos
Таким образом, вопрос заключается в том, раскрывает ли конкретный бит вывода $y$ некоторую информацию о любом бите прообраза $x$. Поэтому я думаю, что функция $b$ должна быть *любым* битом $x$ (**не** $y$), и если дискриминатор с установленным битом $y$ может предсказать с вероятностью больше 1 /2 любой бит $x$ (присуждается награда, потому что срок ее действия истекает)
0
Ответить
Daniel S avatar
флаг ru
Daniel S
Если мы ограничимся однобитовыми линейными аппроксимациями, как вы описываете, то любая взаимная информация между одним битом $y$ и одним битом $x$ работает в обоих направлениях, и оба предиката легко вычислить. Помимо смещения битов из-за модуля, любая дополнительная информация будет жестким предикатом битов дискретного логарифма, который, как мы верим, не существует.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.