Tham gia Đăng nhập
Điểm:3
Mahsa Bastankhah avatar Crypto

Nhận biết liệu hai giá trị ngẫu nhiên có được nâng lên cùng một lũy thừa hay không

lá cờ de
Mahsa Bastankhah

Alice chọn hai số ngẫu nhiên từ một trường hữu hạn $Z_p$ : $a$$b$.

Bob thực hiện ngẫu nhiên một trong hai bước sau (đôi khi anh ấy thực hiện bước 1; đôi khi anh ấy thực hiện bước 2):

  1. Anh ấy chọn một số ngẫu nhiên $r$ từ $Z_p$ và tính toán $a^r\;mod\;p$$b^r\;mod\;p$ và đưa hai giá trị này cho Alice
  2. Anh ấy chọn hai số ngẫu nhiên khác nhau $r$$r'$ từ $Z_p$ và tính toán $a^r\;mod\;p$$b^{r'}\;mod\;p$ và đưa hai giá trị này cho Alice

Có bất kỳ thuật toán hiệu quả nào mà Alice có thể sử dụng để nhận ra bước nào Bob đã thực hiện không?

357
2 + 1
poncho avatar
lá cờ my
poncho
Như Manish đã chỉ ra, đây dường như là một vấn đề khó khăn (ít nhất là đối với các nhóm có kích thước bằng mật mã). Nếu bạn muốn nó trở thành một vấn đề dễ dàng, bạn có thể thực hiện thao tác tương tự trên một đường cong thân thiện với việc ghép đôi; trong trường hợp đó, $r = r'$ có thể được kiểm tra bằng cách so sánh $e( [r]a, b )$ và $e( a, [r']b )$
3
Hồi đáp
Điểm:3
Manish Adhikari avatar Crypto
lá cờ us
Manish Adhikari

ít ở đây $a$$b$ nên được chọn từ $\mathbb{Z}^*_p$$r$ ở giữa $1$$p-1$ loại trừ

Trông như thế này, nó có vẻ liên quan trực tiếp đến vấn đề DDH, ít nhất là nếu có tồn tại một số $w$ như vậy mà một trong hai $a = b^w$ hoặc $b = a^w$. Đó là nếu ít nhất một trong số $a$ hoặc $b$ tạo ra nhóm con chứa nhóm kia nếu $p$ là một số nguyên tố an toàn [nếu cả hai đều là dư bậc hai/không dư hoặc tồn tại nếu không thì cái nào không phải là dư là một trình tạo], không chắc chắn về các trường hợp khác. Trong trường hợp này $a, b^{r'}, a^{r}$ tạo bộ ba DDH được tạo từ $b$ hoặc $b,a^r,b^{r'}$ tạo bộ ba DDH từ $a$. Trong trường hợp của bạn vấn đề DDH có khó không phụ thuộc vào việc lựa chọn $a$$b$. Nếu cả hai $a$$b$ tạo cùng một nhóm con với số nguyên tố lớn thì bài toán DDH được cho là khó trong máy tính cổ điển. Vì vậy, không có thuật toán cổ điển hiệu quả nào được biết đến trong trường hợp đó. Bài toán DDH có thể được giải với xác suất cao hơn đáng kể so với đoán ngẫu nhiên trong nhiều trường hợp khác. Chẳng hạn nếu cả hai $a$, $b$ không dư thừa modulo $p$ và trong số $a^r, b^{r'}$ một là dư bậc hai và một là dư không, bạn có thể nói rằng một trong $r,r'$ là số lẻ và số khác là số chẵn và do đó $r \neq r'$.

trong câu hỏi của bạn $a$$b$ được tạo ngẫu nhiên, vì vậy tôi có thể nói rằng nó có thể phân biệt được. Không phải trong mọi trường hợp nhưng có lợi thế trong các trường hợp tôi đã đề cập trước đó mà trong khoa học máy tính được coi là quan trọng được coi là không thể phân biệt được

Tôi không chắc chắn về trường hợp mà cả hai $a$ cũng không $b$ tạo ra nhóm con chứa nhóm kia bởi vì tôi không thể nghĩ ra cách liên hệ nó với DDH, ít nhất là không nằm trong đầu tôi. Cũng có thể có một số trường hợp phụ có lợi thế trong điều kiện đó

CẬP NHẬT: Bạn đã tuyên bố rằng bạn đang cố gắng thiết kế một giao thức. Thứ nhất, sẽ không khôn ngoan khi thử làm như vậy nếu không có hiểu biết sâu sắc về mật mã học. Giả sử rằng toàn bộ bảo mật của hệ thống dựa vào điều này, thì bạn nên sử dụng một $g$ được sử dụng để tạo ra $a$$b$ trở thành một trình tạo của một nhóm con bậc nguyên tố lớn $q$ và lựa chọn $r,r'$ ở giữa $1$$q$ để đảm bảo rằng vấn đề DDH được phỏng đoán là khó trong các máy tính cổ điển. Hoặc sử dụng các nhóm EC thân thiện không ghép nối đã biết trong đó vấn đề DDH được phỏng đoán là khó về mặt kinh điển. Nhưng tôi vẫn không biết chi tiết về một giao thức. Và việc triển khai nó vẫn có các vấn đề như tấn công kênh phụ, v.v.

0 + 5
Mahsa Bastankhah avatar
lá cờ de
Mahsa Bastankhah
bạn chỉ ra một điểm tốt. $a$ và $b$ không hoàn toàn ngẫu nhiên và được tạo như sau: $a = g^{xk}\;mod\;p$ và $b=g^k\;mod\;p$. $k$ và $x$ được chọn ngẫu nhiên. Tôi đã không đề cập đến điều đó để làm cho câu hỏi ngắn hơn. Tôi không có bất kỳ ý tưởng nó là quan trọng.
0
Hồi đáp
Manish Adhikari avatar
lá cờ us
Manish Adhikari
Trong trường hợp này, chúng ta có thể xem $b$ là bộ tạo của nhóm và $a,b^{r'},a^r$ tạo bộ ba DDH. Theo như tôi biết, vấn đề được cho là khó đối với các máy tính cổ điển nếu $b$ tạo ra một nhóm con có thứ tự nguyên tố lớn. Mặt khác, có một số trường hợp phân biệt, một là nếu $b$ là căn bậc hai không dư modulo $p$ và $x$ là số lẻ và chỉ một trong số $r,r'$ là số chẵn, chúng ta biết rằng chúng không bằng nhau như trong câu trả lời ở trên
2
Hồi đáp
Manish Adhikari avatar
lá cờ us
Manish Adhikari
Bạn có thể cho tôi biết bạn đã nhận được câu hỏi ở đâu không? Bởi vì việc trả lời các câu hỏi về bài tập nhiều hơn các gợi ý và hướng dẫn là vi phạm chính sách cộng đồng nên tôi có thể phải xóa câu trả lời của mình. Nó dường như không được diễn đạt như vậy nên...
0
Hồi đáp
Mahsa Bastankhah avatar
lá cờ de
Mahsa Bastankhah
Nó không phải là bài tập về nhà của tôi. Đó chỉ là một câu hỏi mà tôi gặp phải khi cố gắng thiết kế một giao thức. Tôi muốn xem liệu có bất kỳ thông tin nào bị rò rỉ trong giao thức của tôi hay không
0
Hồi đáp
Manish Adhikari avatar
lá cờ us
Manish Adhikari
Nếu vậy, hãy đọc các chỉnh sửa của tôi ở trên
0
Hồi đáp
Điểm:0
Vadym Fedyukovych avatar Crypto
lá cờ in
Vadym Fedyukovych

Nếu Bob sẵn sàng giúp Alice nhận ra trường hợp 1, anh ấy có thể chạy một giao thức giống như Schnorr như một phép chứng minh. Anh ấy sẽ tạo ra một phản ứng điều trị $r$ như một khóa riêng chính xác như được chỉ định bởi giao thức. Alice sẽ xác minh xem phản hồi này có khớp với cả hai số ngẫu nhiên hay không, được coi là hai khóa chung.

0 + 4
Mahsa Bastankhah avatar
lá cờ de
Mahsa Bastankhah
Không, nó không phải là trường hợp. thực ra, Bob thích mà Alice không thể nhận ra. nhưng Alice tò mò
0
Hồi đáp
Manish Adhikari avatar
lá cờ us
Manish Adhikari
Đó không phải là câu hỏi của OP nhưng tôi chỉ nhận thấy rằng người xác minh sử dụng giao thức của Schnorr là đủ để chứng minh rằng cô ấy biết DL của $a^rb^{r'}$ trên $ab$ nếu người xác minh có thể đảm bảo rằng người xác minh không biết DL của $a$ trên $b$ hoặc ngược lại. Như một bằng chứng $a = b^x$ (theo nhận xét của OP ở trên). Sau đó, nếu người tục ngữ biết $c$ s.t. $(ab)^c = a^rb^{r'}$ tức là $c+cx \equiv xr + r' \pmod q $. Nếu $r \not\equiv r' \pmod q$ thì $c \not\equiv r \not\equiv r' \pmod q$ và người chứng minh có thể tính được $x$.
0
Hồi đáp
Manish Adhikari avatar
lá cờ us
Manish Adhikari
Nhưng nó nên được thực hiện trên một nhóm con thứ tự nguyên tố của thứ tự $q$ nếu không người chứng minh có thể gian lận bằng cách sử dụng $r' = r+q$ hoặc một cái gì đó nếu $a$ và $b$ tạo thành các nhóm con thứ tự nhỏ
0
Hồi đáp
Manish Adhikari avatar
lá cờ us
Manish Adhikari
*chỉnh sửa cho nhận xét ở trên$(ab)^c \equiv a^rb^{r'} \pmod p$, thay vào đó tôi đã viết $=$
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.