Điểm:4

Có bất kỳ kết quả nào nói rằng nếu đầu ra của hai hàm này là XOR'd, thì đầu ra XOR'd là giả ngẫu nhiên

lá cờ jp

Để cho $\mathbb{G}$ là một nhóm theo thứ tự nguyên tố $p$ với máy phát điện $g$. Giả sử rằng tôi chọn ngẫu nhiên $r_1,z_1 \leftarrow \mathbb{Z}_p$$r_2, z_2 \leftarrow \mathbb{Z}_p$$c \leftarrow \mathbb{G}$. Để cho $\alpha = g^{r_1z_1}g^{c}$$\beta = g^{r_2z_2}g^c$. Bằng tính bảo mật ngữ nghĩa của mã hóa El-Gamal, cả hai $\alpha$$\beta$ không thể phân biệt với các số ngẫu nhiên ... Giả sử rằng $\alpha$$\beta$ được mã hóa bằng chuỗi bit, có bất kỳ kết quả nào mà XOR của chúng cũng không thể phân biệt được với một số ngẫu nhiên hoặc giả ngẫu nhiên không? I E. $\alpha \oplus \beta$ không thể phân biệt được với một số ngẫu nhiên.

Điểm:4
lá cờ ng

(â¦) là $\alpha\oplus\beta$ không thể phân biệt với một số ngẫu nhiên?

Lưu ý rằng chúng ta cần phải chuyển đổi $\alpha$$\beta$ đến bitstrings để áp dụng XOR theo bit. Vì vậy, thực sự chúng tôi tính toán $\underline\alpha\oplus\underline\beta$ ở đâu $\underline\gamma$ is là ký hiệu cho một đại diện được xác định duy nhất của một phần tử nhóm tùy ý $\gamma$ dưới dạng một chuỗi bit có kích thước cố định và được hỏi liệu $\underline\alpha\oplus\underline\beta$ là một chuỗi bit ngẫu nhiên. Câu trả lời sẽ phụ thuộc vào đại diện được sử dụng.

Thật dễ dàng tìm thấy một phản ví dụ rõ ràng với một nhóm mật mã và biểu diễn quen thuộc, chẳng hạn như một nhóm con của dư lượng bậc hai sau đó nhóm nhân modulo $(2p+1)$, khi nào $p$ là một ngẫu nhiên lớn Sophie Germain thủ tướng nói 1999 bit¹ và các bit hàng đầu 1010và biểu diễn các phần tử nhóm dưới dạng chuỗi bit 2000 bit trên mỗi người lớn quy ước. $\underline\alpha$$\underline\beta$ là các chuỗi bit 2000 bit có độ lệch rõ rệt đối với 0 trong hai bit đầu tiên và có độ lệch tương tự (mặc dù thấp hơn) trong hai bit đầu tiên của $\underline\alpha\oplus\underline\beta$.

Mặt khác, nếu ở trên chúng ta thay thế 1010 với 111â¦111 hơn 200 bit², sau đó $\underline\alpha$ sẽ không thể phân biệt được với ngẫu nhiên ngoại trừ việc đại diện cho một $\alpha$ đó là dư lượng bậc hai³. Mặc dù vậy, và $\alpha$$\beta$ không hoàn toàn độc lậpâ´, tôi phỏng đoán cả hai hiệu ứng đều đủ yếu để $\underline\alpha\oplus\underline\beta$ là tính toán không thể phân biệt từ ngẫu nhiên.

Đối với bất kỳ biểu diễn nào của các phần tử nhóm dưới dạng chuỗi bit, chúng ta có thể tạo ra một biểu diễn khác có cùng kích thước bằng cách áp dụng Hoán vị ngẫu nhiên giả có thể tính toán hiệu quả và có thể đảo ngược công khai cho biểu diễn. Các thuộc tính của nhóm vẫn còn, mã hóa ElGamal vẫn hoạt động và an toàn như nhau. Và bây giờ, đối với bất kỳ $p$ đủ lớn để DLP cứng, $\underline\alpha\oplus\underline\beta$ có thể được chứng minh là không thể phân biệt về mặt tính toán với các thuộc tính sử dụng ngẫu nhiên của PRP.


¹ Như vậy mã hóa ElGamal là an toàn, điều này ẩn chứa trong câu hỏi.

² Chúng tôi có thể muốn tăng kích thước bit của $p$ một chút để bù đắp cho Bài toán logarit rời rạc được giảm bớt một chút bởi $p$ gần với sức mạnh của hai.

³ Một đặc tính có thể kiểm tra hiệu quả bằng cách kiểm tra xem biểu tượng Legendre $\left(\frac\alpha{2p+1}\right)\,\underset{\text{def}}=\,\alpha^p\bmod(2p+1)$$+1$

´ Lưu ý rằng $\alpha^{-1}\beta\bmod(2p+1)$ là một phần tử hơi thiên vị của nhóm.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.