Tôi đang cố gắng hiểu sự khác biệt giữa Mô hình nhóm chung (cổ điển) như được mô tả bởi Shoup [Súp] và Mô hình nhóm chung có phần hạn chế như được mô tả bởi Schnorr và Jakobsson trong [SJ00].
Để rõ ràng, tôi sẽ đưa ra định nghĩa của hai mô hình. Đối với điều đó, tôi đang sử dụng các giải thích của Giấy [BL19]. Trong cả hai cài đặt, chúng tôi có một nhóm tuần hoàn nhân $G = \langle g \rangle$ trật tự $p$. (GGM = mô hình nhóm chung)
- Mô hình nhóm chung của Shoup
Từ $G$ đẳng cấu với $\mathbb{Z}_p$, chúng ta có thể chọn một bản đồ tiêm ngẫu nhiên $\tau: \mathbb{Z}_p \rightarrow \mathbb{G}$, ở đâu $\mathbb{G}$ là tập hợp các chuỗi bit có độ dài $l \ (2^l \geq p)$ và chúng tôi mã hóa nhật ký rời rạc của phần tử nhóm thay vì chính phần tử nhóm đó. Ý tưởng chính là bản đồ $\tau$ không nhất thiết phải là một đồng cấu nhóm. GGM giả định rằng một đối thủ không có quyền truy cập vào biểu diễn cụ thể của các thành phần nhóm. Thay vào đó, kẻ thù được cấp quyền truy cập vào một tiên tri được tham số hóa bởi $\tau$, tính toán các phép toán nhóm gián tiếp trong $G$. Chính xác hơn, đối với một đầu vào $(a,b) \in \mathbb{G} \times \mathbb{G}$ các nhà tiên tri hành động như sau $ Mult(a,b) = \tau(\tau^{-1}(a) + \tau^{-1}(b)), \ Inv(a) = \tau(-\tau^{-1 }(a))$. Chúng tôi nhận xét rằng đối thủ không có quyền truy cập vào bản đồ $\tau$ chính nó.
- Schnorr và Jakobssen GGM dựa trên va chạm
Dữ liệu của thuật toán chung được phân vùng thành các phần tử nhóm từ $G$ và dữ liệu phi nhóm. Một bước chung là $mexp: \mathbb{Z}^d_q \times G^d \mapsto G, (\underline{a}, (f_1,...,f_d)) \mapsto \prod_{i=1}^d f_i^{ a_i}$. Định nghĩa chính thức:
Một thuật toán tổng quát là một chuỗi các $t$ các bước chung chung; trong thời gian $1 \leq t' < t$, algortihm lấy đầu vào là $f_1,...,f_{t'}$, ở đâu $(a_1,...,a_{i-1}) \in \mathbb{Z}^{i-1}_p$ phụ thuộc tùy ý vào i, phần tử không thuộc nhóm và tập hợp $CO_{i-1} := \lbrace (j,k) | f_j = f_k, 1 \leq j <k \leq i-1 \rbrace $ của những lần "va chạm" trước đây của nhóm.
Sự khác biệt chính dường như là kẻ tấn công trong mô hình của Shoup được xử lý trực tiếp $\tau(g)$ cho bất kỳ phần tử nhóm nào là đầu ra của bất kỳ truy vấn nhóm chung nào. Trong khi kẻ tấn công trong mô hình thứ hai chỉ có thể tham chiếu gián tiếp các phần tử nhóm đã tính toán trước đó bằng cách gửi truy vấn $(a_i, ..., a_{i-1}) \in \mathbb{Z}_p^{i-1}$ đến oracle nhóm chung. Nhưng hai định nghĩa này dường như rất khác nhau đối với tôi nên tôi sẽ thực sự đánh giá cao nếu ai đó có thể giúp tôi chỉ ra sự khác biệt và tương đồng. Cụ thể, tôi muốn hiểu những ưu điểm của bằng chứng bảo mật trong mô hình của Shoup so với bằng chứng bảo mật trong mô hình của Schnorr.
Rất cám ơn trước!
