înregistrare Logare
Puncte:0
yankovs avatar Crypto

Demonstrarea unei variații a CDH este dificilă

drapel ke
yankovs

lăsa $(\mathbb{G},q,p)$ fi un grup $\mathbb{G}$ cu ordin primar $q$ si generator $g$. Să presupunem că CDH este greu în raport cu această configurație (și anume, dat $(g,g^a,g^b)$, este greu de găsit $g^{ab}$).

Acum luați în considerare următoarele: pentru un adversar de timp probabilistic-polinom $\mathcal{A}$, și dat $(\mathbb{G},q,p)$, alege aleatoriu $a,b,c\in \mathbb{Z}_q$ și fugi $\mathcal{A}(g,g^a,g^b,g^c)$. $\mathcal{A}$ reușește dacă scoate oricare dintre $g^{ab}, g^{ac}, g^{bc}$.

Trebuie să arăt că și asta este greu. Abordarea oarecum evidentă ar fi reducerea celor trei rezultate posibile care au ca rezultat succesul pentru CDH, de exemplu: $g^{bc}$ este exact CDH dacă intrarea ar fi $(g,g^b,g^c)$. Totuși, în acest caz ni se dă și noi $g^a$ deci aceasta nu este o simulare a CDH. Am încercat și alte abordări, încercând să aleg $c$ astfel încât să mă pot recupera $g^{ab}$ cu mare probabilitate în orice caz. M-am uitat la $g^c=g^{a+b}$ dar apoi nu sunt sigur cum să ajung $g^{ab}$ din $g^{a^2+ab}$.

Orice ajutor este apreciat, aceasta nu este teme.

65
0 + 0
Daniel S avatar
drapel ru
Daniel S
SUGESTIE: Generați un $x$ aleatoriu; dă cu banul.Cu capete considera $c=a+x$ iar cu cozi ia in considerare altceva.
0
Răspunde
yankovs avatar
drapel ke
yankovs
@DanielS cand scrii c = a + x te referi la c = a + x mod q?
0
Răspunde
Daniel S avatar
drapel ru
Daniel S
Da, în mod similar, la prima încercare $a+b$ ar trebui să fie considerat $a+b\mod q$.
0
Răspunde
yankovs avatar
drapel ke
yankovs
@DanielS Presupunând că setăm $c=a+x$, știm și $-x$ (ar putea la fel de bine să luăm $q-x$), astfel încât să putem elimina $bx$ din $g^{ab+bx}$ sau să-l pătram și să obținem $g^{(a+x)^2}$ din $g^{a^2+ax}$. Dar nu știm ce rezultate am obținut, nu sunt chiar sigur unde ne duce asta
0
Răspunde
Daniel S avatar
drapel ru
Daniel S
Două din cele trei succese posibile de la $\mathcal A$ ar duce la o soluție pentru CDH, dar nu există o modalitate probabilistică consistentă ca $\mathcal A$ să returneze întotdeauna răspunsul inutil.
0
Răspunde
poncho avatar
drapel my
poncho
De fapt, dacă avem o modalitate probabilistică a cărei probabilitate de succes este delimitată de zero și pentru care putem determina când are loc succesul, câștigăm (de fapt, trebuie să ne asigurăm că probabilitatea de succes nu este afectată de algoritmul pe care Oracle îl folosește pentru a selectați ce răspuns oferă). Putem face asta (indiciu: da)
0
Răspunde
poncho avatar
drapel my
poncho
Există, de asemenea, abordarea calculării $g^{a^2}$ prin simpla trecere a $\mathcal{A}( g, g^a, g^a, g^a )$ (și CDH poate fi redus la acea problemă) . Cu toate acestea, Oracolul s-ar putea refuza la intrări ciudate de genul acesta; soluția anterioară la care am eludat sună mai robustă
0
Răspunde
kelalaka avatar
drapel in
kelalaka
@poncho de ce oracolul va fi în vrac? din cauza non-aleatoriei? Poate altul este $(a,b,1)$ și putem testa rezultatul
0
Răspunde
kelalaka avatar
drapel in
kelalaka
Chiar nu știm? Știm $a,c,x,$ apoi știm $g^{\text{pereche}}$
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.