Ce înseamnă ca g și h să fie indentate în angajamentele pedersen?

Mă uit la o lucrare de cercetare despre insecuritatea unei utilizări specifice (eronate) a angajamentelor Pedersen.

În primul rând, voi parcurge pașii angajamentelor Pedersen, astfel încât să se arate dacă am o neînțelegere de bază.

Înțelegerea mea despre angajamentele lui Pedersen

În primul rând spunem că Bob vrea ca Alice să se angajeze la un mesaj, prin urmare generează două numere prime p și q.

p <--- prim aleatoriu q <--- prim aleatoriu

Bob generează apoi generatorul g, care este de ordinul lui q si este in grup $Z_{p}^*$.

g <--- $\în Z_{q}^*$

Apoi alege o valoare secretă X în $Z_{q} $:

x <--- $\în Z_{q} $

x este cheia secretă, pe care o folosește pentru a obține cheia publică:

$h = g^{x} mod p $

Alice acum vrea să se angajeze la un anumit mesaj și are acces la cheia publică și cheia secretă a lui bob. Ea alege mai întâi mesajul m și un număr întreg aleatoriu rși apoi își calculează angajamentul c:

c = $ g^{m}*h^{r}$

Alice îi poate trimite acum angajamentul lui Bob. Când Alice vrea să-și dezvăluie angajamentul, ea trimite m și `r`` lui Bob. Bob este acum capabil să facă același calcul și să compare.

Aplicarea la vot și problema independenței

În articolul menționat mai devreme, schema este utilizată pentru a confirma integritatea unui set de voturi amestecate. În acest context, o listă de n voturile criptate sunt notate cu $ m_{1},...,m_{n} $. Angajamentul pedersen pentru o listă de voturi este apoi calculat prin:

$ c = G_{1}^{m_1} ... G_{n}^{m_n} * H^{r}$

Și apoi ziarul spune asta despre valorile lui G și H (s-ar putea să existe o confuzie de notație, deoarece sunt obișnuit să folosesc minuscule g și h pentru generator pentru generator și PK, în timp ce lucrarea optează pentru majuscule). Dar apoi lucrarea precizează următoarea problemă care poate apărea:

„Dacă independența este încălcată între H și o singură valoare Gi, atunci angajamentul extins c poate fi deschis pentru orice vector de mesaje alternative mâ²1,..., mâ²n. Dacă se întâmplă acest lucru, atunci întregul argument al probei amestecate se prăbușește , adică este posibil să construiți o dovadă falsă pentru o amestecare incorectă"

Sunt puțin confuz cu privire la ce înseamnă pentru valorile lui $G_{i}$ și H să fie „independenți” și ce înseamnă probabil atunci când avem mai multe versiuni ale G, deci am doua intrebari:

1

dacă avem n G, atunci înseamnă că grupul în care lucrăm trebuie să aibă n generatoare?

2 Cum poate exista un H și mai multe generatoare? dacă H se calculează utilizând G, apoi care G este folosit pentru a calcula cheia publică H. Poate am înțeles greșit ceva de bază despre construcția conturată în hârtie?

Sunt puțin confuz cu privire la ce înseamnă pentru valorile lui $G_i$ și $H$ a fi „independent”,

De fapt, lucrarea a dat o definiție destul de decentă:

Independența înseamnă că respectivii logaritmi discreti $h = \log_G H$ și $g = \log_H G$ sunt necunoscute tuturor.

Adică nimeni nu ar trebui să știe soluția $x$ la $G^x = H$

Cu toate acestea, pentru că lucrăm cu mai multe generatoare, se dovedește că avem nevoie de o afirmație mai puternică: nimeni nu cunoaște o soluție netrivială. $(a_1, a_2, ..., a_n, b)$ pentru relatie $G_1^{a_1} \cdot G_2^{a_2} \cdot ... \cdot G_n^{a_n} \cdot H^b = 1$, unde este soluția banală $a_1 \equiv a_2 \equiv ... \equiv a_n \equiv b \equiv 0$.

Cu toate acestea, aceeași idee se aplică.

daca avem $n$ $G$atunci înseamnă că trebuie să avem grupul în care lucrăm $n$ generatoare?

Da. De fapt, avem mult mai multe - dacă avem de-a face cu un grup cu o dimensiune $q$ Unde $q$ este prim, atunci va exista $q-1$ generatoare. Pentru că avem nevoie $q$ să fie de cel puțin 256 de biți (pentru a îngreuna problema jurnalului discret), asta înseamnă că avem un imens numărul de generatoare disponibile pentru noi.

Cum poate fi unul $H$, și mai multe generatoare? dacă $H$ se calculează utilizând $G$,

De fapt, noi nu calculăm $H$ folosind $G$, îl alegem independent.

Acum, dacă te întorci la lucrarea originală Pedersen, el a sugerat ca verificatorul să selecteze $H$ (și, prin urmare, ar putea face această selecție prin alegerea unei valori aleatorii $h$ și de calcul $H = G^h$, și dăruind $H$ (dar nu $h$) la doveditor); în acest fel, verificatorul ar putea avea încredere că probatorul nu cunoștea jurnalul discret.

Cu toate acestea, în zilele noastre generăm $G$ și $H$ independent (deci, literalmente, nimeni nu știe relația) - această abordare se extinde în mod evident la multiple $G$ valorile.