Puncte:4

Există vreun rezultat care afirmă că, dacă rezultatul acestor două funcții este XOR, ieșirea XOR este pseudoaleatoare

drapel jp

Lăsa $\mathbb{G}$ fie un grup de ordin prim $p$ cu generator $g$. Să presupunem că aleg la întâmplare $r_1,z_1 \leftarrow \mathbb{Z}_p$ și $r_2, z_2 \leftarrow \mathbb{Z}_p$ și $c \leftarrow \mathbb{G}$. Lăsa $\alpha = g^{r_1z_1}g^{c}$ și $\beta = g^{r_2z_2}g^c$. Prin securitatea semantică a criptării El-Gamal, ambele $\alpha$ și $\beta$ nu se pot distinge de numere aleatoare... Să presupunem că $\alpha$ și $\beta$ sunt codificate folosind șiruri de biți, a existat vreun rezultat că XOR-ul lor nu poate fi, de asemenea, distins de un număr aleator sau pseudoaleatoriu? adică $\alpha \oplus \beta$ nu se distinge de un număr aleatoriu.

Puncte:4
drapel ng

(â¦) este $\alpha\oplus\beta$ imposibil de distins de un număr aleatoriu?

Rețineți că trebuie să convertim $\alpha$ și $\beta$ la șiruri de biți pentru a se aplica XOR pe biți. Deci cu adevărat calculăm $\subliniat\alpha\oplus\subliniat\beta$ Unde $\subliniat\gamma$ is este notația pentru o reprezentare definită în mod unic a unui element de grup arbitrar $\gamma$ ca șir de biți de dimensiune fixă ​​și este întrebat dacă $\subliniat\alpha\oplus\subliniat\beta$ este un șir de biți aleatoriu. Răspunsul va depinde de reprezentarea folosită.

Este ușor să găsiți un contraexemplu clar cu un grup criptografic familiar și o reprezentare, cum ar fi subgrupul de reziduuri pătratice al grup multiplicativ modulo $(2p+1)$, când $p$ este un mare aleatoriu Sophie Germain prim de exemplu, 1999 biți¹ și biți conducători 1010, și reprezentarea elementelor grupului ca șiruri de biți de 2000 de biți per big-endian convenţie. $\subliniat\alpha$ și $\subliniat\beta$ sunt șiruri de biți de 2000 de biți cu o părtinire marcată către 0 în primii doi biți și există o părtinire similară (deși mai mică) în primii doi biți ai $\subliniat\alpha\oplus\subliniat\beta$.

Pe de altă parte, dacă în cele de mai sus înlocuim 1010 cu 111â¦111 deci peste 200 de biți² $\subliniat\alpha$ va fi imposibil de distins de aleatoriu, cu excepția reprezentării unui $\alpha$ acesta este un reziduu pătratic. În ciuda acestui fapt, și $\alpha$ și $\beta$ nefiind strict independentâ´, presupun că ambele efecte sunt suficient de slabe încât $\subliniat\alpha\oplus\subliniat\beta$ nu se distinge din punct de vedere computațional de aleatoriu.

Pentru orice reprezentare a elementelor de grup ca șir de biți, putem concepe o altă reprezentare de aceeași dimensiune prin aplicarea unei Pseudo-Permutații aleatorii reversibile și calculabilă publică la reprezentare. Proprietățile grupului rămân, criptarea ElGamal încă funcționează și este la fel de sigură. Și acum, pentru orice $p$ suficient de mare încât DLP-ul să fie greu, $\subliniat\alpha\oplus\subliniat\beta$ poate fi dovedit că nu se poate distinge din punct de vedere computațional de aleatoriu folosind proprietățile PRP.


¹ Astfel încât criptarea ElGamal este sigură, ceea ce este implicit în întrebare.

² Poate dorim să mărim dimensiunea biților a $p$ ușor pentru a compensa problema logaritmului discret fiind ușor ușurată de $p$ fiind aproape de o putere de doi.

³ O caracteristică care poate fi testată eficient verificând simbolul Legendre $\left(\frac\alpha{2p+1}\right)\,\underset{\text{def}}=\,\alpha^p\bmod(2p+1)$ este $+1$

â' Observă asta $\alpha^{-1}\beta\bmod(2p+1)$ este un element ușor părtinitor al grupului.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.