Является ли дискретный лог вообще трудным в группах Пайе?

user101299

21.08.2023, 17:29

https://en.wikipedia.org/wiki/Paillier_cryptosystem

Криптосистема Пайе использует тот факт, что некоторые дискретные логарифмы могут быть легко вычислены.

Если бы я выбрал $g \in \mathbb{Z}_{n^2}^*$ куда $n$ делит порядок $г$, то дискретный журнал легко (по основанию $г$) если я правильно понимаю.

Но если бы я выбрал любое случайное значение $r \in \mathbb{Z}_{n^2}^*$ куда $n$ не делит порядок $г$Можем ли мы тогда сказать что-нибудь о сложности дискретного журнала?

0 + 0

дискретный логарифм

Пайе

Рейтинг:0

Crypto

Daniel S

22.08.2023, 12:35

Я предполагаю, что типичный Пайе установил, что $n=pq$ с $р$ и $q$ простые числа $(p-1)\не\!| д$ наоборот.

Восстановление дискретного логарифма $х$ общего элемента $а$ относительно генератора эквивалентно восстановлению трех значений: $$x\equiv\cases{x_\lambda\pmod{\lambda(n)}\ x_p\pmod p\ x_q\pmod q}.$$

Если известны значения $р$ и $q$ тогда $x_p$ и $x_q$ легко восстановить с помощью коэффициентов Ферма или $р$-адическая версия логарифмического ряда Тейлора. Самые известные методы восстановления $x_\лямбда$ полагаться на сито числового поля и для криптографического размера * $р$ и $q$, это должно быть невыполнимо. Если выбрать генератор таким образом, что порядок генератора делит $n$, это означает, что $x_\лямбда$ можно игнорировать, а дискретные логарифмы относительно этого генератора может легко вычислить любой, кто знает $р$ и $q$.

В вашем первом случае, когда $n$ делит порядок $г$, это только говорит нам, что $x_p$ и $x_q$ нельзя игнорировать. Это не гарантирует, что $x_\лямбда$ можно игнорировать, и, следовательно, наша проблема может оставаться неразрешимой.

В вашем втором случае, когда $n$ не делит порядок $г$ это говорит нам, что либо $x_p$ можно игнорировать или $x_q$ могут быть проигнорированы (возможно, оба могут быть проигнорированы). Это не гарантирует, что $x_\лямбда$ можно игнорировать, и наша проблема может остаться неразрешимой.

В общем:

если $р$ не делит порядок генератора, то $x_p$ можно игнорировать,
если $q$ не делит порядок генератора, то $x_q$ можно игнорировать,
если $\лямбда(п)$ не делит порядок генератора, то $x_\лямбда$ можно принять без внимания.

Также обратите внимание, что если мы знаем ограничение на размер $х$, то может не потребоваться восстановление всех трех компонентов. например если мы это знаем $x<pq$ затем восстановление $x_p$ и $x_q$ позволяет нам однозначно восстанавливать $х$ из китайской теоремы об остатках.

*- Обратите внимание, что $р$ и $q$ должны быть большими модулями, чем можно атаковать с помощью решета числового поля, а не просто $n$ модуль больше, чем можно атаковать с помощью решета числового поля.

0 + 0

Admin

Этот вопрос на других языках:

EN: Is the discrete log in general hard in Paillier groups?

TH: บันทึกแยกโดยทั่วไปยากในกลุ่ม Paillier หรือไม่

RO: În general, jurnalul discret este greu în grupurile Paillier?

RU: Является ли дискретный лог вообще трудным в группах Пайе?

VI: Nhật ký rời rạc nói chung có khó trong nhóm Paillier không?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.