înregistrare Logare
Puncte:1
MeV avatar Crypto

Modul diferit în exponent

drapel cn
MeV

Date două valori $g^{a_1}, g^{a_2}$ Unde $a_1, a_2 \in \mathbb{Z}_q$ și $g$ este un generator de grup $\mathbb{G}$ de ordine $q$. Se presupune că logaritmul discret este greu $\mathbb{G}$.

Există vreo modalitate de a găsi valoarea $g^x$ astfel încât $x = a_1 + a_2 \text{ mod } p$ cu p < q. Știm și noi, $a_1, a_2 < p$. Aici $p,q$ sunt numere prime mari, de exemplu $128, 256$ bit respectiv.

102
2 + 3
MeV avatar
drapel cn
MeV
Speram să găsesc o schemă care să nu implice rezolvarea problemei jurnalului discret
0
Răspunde
fgrieu avatar
drapel ng
fgrieu
Bună problemă. Presupun că sunt teme, deci nu va da un răspuns complet, ci doar indicii; de asemenea, nu sunt foarte sigur. Cred că i s-a cerut o dovadă de către [contraposition](https://en.wikipedia.org/wiki/Contraposition) că ceea ce pune întrebarea nu poate fi. Pentru $p$, $q$ și capacitatea de a efectua operațiuni de grup, orice algoritm care face ceea ce este cerut poate fi transformat într-un algoritm care rezolvă orice DLP din grup cu efort fezabil. Dacă ignorăm memoria, cred că acest efort este de aproximativ 2$^{65}$ operațiuni de grup (dacă poate fi redus, vreau să știu cum). [rezumatul comentariilor anterioare, acum eliminat].
0
Răspunde
MeV avatar
drapel cn
MeV
oh, nu, nu sunt teme, dar mulțumesc pentru intrări.
0
Răspunde
Puncte:0
fgrieu avatar Crypto
drapel ng
fgrieu

Lăsa $\mathbb G$ cu generator $g$, este comanda principală de 256 de biți $q$, și primul de 128 de biți $p$ fi cunoscut și fixat.

Să presupunem că obținem un algoritm $\mathcal A$ care la intrare $(h_1,h_2)\in\mathbb G^2$, cu $h_1=g^{a_1}$, $h_2=g^{a_2}$ pentru aleatoriu $a_1,a_2\in\mathbb Z_q$, iesiri $h_3=g^{a_1+a_2\bmod p}$ cu probabilitate nedisparatoare, ca în întrebare.

Definiți algoritmul $\mathcal A'$ că la intrare $h\in\mathbb G$ încercări de ieșire $y$ cu $g^y=h$, iar spre aceasta:

  • remiză $u$ aleatoriu în $\mathbb Z_q$, calculează $h_1=g^u\;h$, care acum este aleatoriu în $\mathbb G$; există astfel un unic (încă necunoscut, aleatoriu) $a_1\in\mathbb Z_q$ cu $g^{a_1}=h_1$
  • remiză $a_2$ aleatoriu în $\mathbb Z_q$, calculează $h_2=g^{a_2}$
  • aleargă $\mathcal A$ cu intrare $(h_1,h_2)$, devine $h_3$ presupus a fi (cu probabilitate care nu dispare) $g^{a_1+a_2\bmod p}$
  • găsește $x\in\mathbb Z_q$ cu $0\le x<p<2^{128}$ astfel încât $g^x=h_3$, care necesită în ordinea lui $2^{66}$ operațiuni de grup folosind rho lui Polard cu puncte distinse, memorie posibilă mică și este ușor de distribuit
  • calculează $r=x-a_2\bmod p$; tine $a_1\equiv r\bmod p$, și $0\le a_1<q$; lăsați (sd încă necunoscut) $s\în\stânga[0,\stânga\lfloor q/p\right\rfloor\right]$ fie astfel încât $a_1=r+s\,p$, prin urmare $g^{r+s\,p}=h_1$, prin urmare $g^{s\,p}=h_1\,g^{q-r}$, prin urmare $g^s=(h_1\,g^{q-r})^{p^{-1}\bmod q}$
  • calculează $h_4=(h_1\,g^{q-r})^{p^{-1}\bmod q}$; tine $g^s=h_4$ și $s<2^{129}$
  • găsește $s$ prin aceeași metodă ca și $x$
  • calculează $a_1=r+s\,p$, care este astfel încât $g^{a_1}=h_1$
  • calculează și ieșire $y=a_1-u\bmod q$, care este astfel încât $g^y=h$.

Algoritmul nostru $\mathcal A'$ este astfel capabil să calculeze logaritmul discret $y$ la baza $g$ a oricărui element dat $h$ în $\mathbb G$ cu o probabilitate nedisparatoare și puține lucrări fezabile. Acest lucru se presupune că este imposibil. De aici presupunem că $\mathcal A$ există este fals.

Răspundem astfel la întrebare negativ.

0 + 1
fgrieu avatar
drapel ng
fgrieu
Acest lucru este provizoriu. Salut critic, care arată o gaură în reducere sau una mai strânsă.
0
Răspunde
Puncte:0
ming alex avatar Crypto
drapel in
ming alex

Se pare că constatarea $g^x$ este o prostie, duo cu existența $g^x=g^{a_1} * g^{a_2}\text{ mod }q$. Cu toate acestea, nu am putea judeca dacă $x=a_1+a_2 \text{ mod } p$.

Alt mod, putem lăsa generatorul $g=r^{(q-1)/p}\text{ mod }q$, Unde $r\in(1,...,q-1)$ și $p$ este un prim mare astfel încât $q-1 \text{ mod } p = 0$. Acum, conform Fermat Therom, rezultatul $g^x\in(g^0,g^1,...,g^{p-1})\text{ mod } q$ pentru orice $x\în Z_q$. Cu toate acestea, încă cred că nu am putut confirma că $x=a_1+a_2 \text{ mod } p$ in caz de $a_1+a_2=(p + b)>p$ Unde $b$ este $x$.

Dacă ecuația a fost $x\equiv a_1+a_2 \text{ mod } p$, atunci metoda de mai sus ar putea confirma asta.

0 + 2
fgrieu avatar
drapel ng
fgrieu
Nu este clar ce vrei să spui prin $g^x=g^{a_1} * g^{a_2}\text{ mod }q$. Grupul considerat este _nu_ $\mathbb Z_q^*$, care are ordinul $\varphi(q)
1
Răspunde
ming alex avatar
drapel in
ming alex
@fgrieu Am crezut că toate operațiunile sunt în $Z_q$, ignorând acel punct. Trebuie să-mi îmbunătățesc și mai mult răspunsul.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.