Tham gia Đăng nhập
Điểm:3
avatar Crypto

Người ta có thể tìm thấy GCD của hai điểm trên một đường cong không?

lá cờ ca
Colton

Về mặt toán học, có thể tìm GCD của hai điểm trên một đường cong nguyên tố, một trong số chúng không theo thứ tự như bạn làm trong Thuật toán Euclide mở rộng không?

159
0 + 0
poncho avatar
lá cờ my
poncho
'GCD của hai điểm trên một đường cong nguyên tố' nghĩa là gì?
2
Hồi đáp
meshcollider avatar
lá cờ gb
meshcollider
Không có thứ gọi là "chia" hay "nhân" các điểm trên một đường cong, do đó cũng không thể có "ước số chung lớn nhất"
2
Hồi đáp
Điểm:3
fgrieu avatar Crypto
lá cờ ng
fgrieu

TLDR: Nếu chúng tôi chuyên môn hóa một điểm máy phát điện $G$ của một nhóm Đường cong Elliptic theo thứ tự nguyên tố, chúng ta có thể nhất quán định nghĩa GCD của hai điểm cho trình tạo đó. Nhưng chúng ta không thể hiệu quả tìm thấy nó cho các điểm tùy ý và một nhóm lợi ích mật mã, trong đó Bài toán logarit rời rạc là khó.

Trước khi tìm một thứ gì đó, chúng ta phải biết nó là gì. Do đó, câu hỏi phụ của poncho:

'GCD của hai điểm trên một đường cong nguyên tố' nghĩa là gì?

GCD là viết tắt của Ước chung lớn nhất. Như vậy chúng ta cần định nghĩa ba khái niệm

  • "Đường cong nguyên tố" là gì. Trong này, đường cong viết tắt của Đường cong elip. Và nguyên tố là một tài sản của một trong hai
    • cơ sở trường hữu hạnthứ tự của (thứ tự nguyên tố đó thường được ghi chú $p$, và khi đó trường đơn giản là các số nguyên modulo $p$);
    • thứ tự của đường cong, tức là có bao nhiêu phần tử trong nhóm hữu hạn của các điểm của đường cong, bao gồm cả trung tính;
    • hoặc thứ tự của một phân nhóm của đường cong (sau đó thường được ghi chú $n$, như chúng ta sẽ làm).
  • Khái niệm "ước số" của một điểm trên đường cong elip nguyên tố, mà chúng ta sẽ giả định là một điểm của đường cong elip với một số tính chất được xác định.
  • Khái niệm "lớn nhất" giữa các điểm của đường cong elip.

Chúng ta có thể định nghĩa những điều như vậy một cách nhất quán! Chúng tôi cho rằng một "đường cong nguyên tố" là một số nhóm con của thứ tự nguyên tố $n$ của một đường cong elip (có lẽ là toàn bộ đường cong, có thể sử dụng trường nguyên tố; ví dụ: secp256k1, secp256r1), và $G$ một điểm nhất định của đường cong / một yếu tố của nhóm, không phải là trung tính. Bây giờ bộ $n$ số nguyên trong $[0,n)$ đẳng cấu với đường cong, bởi đẳng cấu tầm thường $i\mapsto i\,G$ định nghĩa như bình thường: $0\,G$ là trung lập của nhóm, $i\,G$$((i-1)\,G)+G$ bất cứ gì $i\in[1,n)$ với $+$ luật của nhóm.

Chúng ta có thể định nghĩa "số chia" và "lớn nhất" trên tập hợp $[0,n)$. Và chúng ta có thể xác định GCD của hai phần tử của tập hợp đó (cùng với phần tùy ý $\gcd(0,0)=0$ ). Sau đó, chúng ta có thể sử dụng đẳng cấu này để xác định Ước chung lớn nhất của hai điểm của Nhóm đường cong Elliptic theo thứ tự nguyên tố được cung cấp với một điểm tạo $G$.

Nói cách khác, tôi xác định GCD của các điểm $P$$Q$ là điểm phù hợp với khóa riêng (đối với trình tạo $G$) là GCD của các khóa riêng phù hợp $P$$Q$, với khóa riêng phù hợp một số nguyên trong $[0,n)$.

Nếu chúng ta có thể giải một cách hiệu quả Bài toán Logarit rời rạc trong nhóm được xem xét, thì chúng ta có thể tính GCD một cách hiệu quả (chúng ta giải hai DLP, tính GCD của các số nguyên và quay lại đường cong).

Cập nhật: điều ngược lại đúng ở một mức độ nào đó. Nếu chúng ta có thể tính toán hiệu quả GCD của không tí nào hai điểm $P$$Q$, thì chúng ta có thể sử dụng thuật toán đó để tính Logarit rời rạc một cách hiệu quả $i$ của bất kỳ $P$. Phác thảo: chúng tôi chọn các số nguyên tố đầu tiên $r_j$ cho đến khi $n<\prod r_j$, và cho mỗi $j$ chúng ta tìm thấy $i\bmod r_j$ bằng cách yêu cầu GCD của $(P+k\,G,r_j\,G)$ đó là một trong hai $G$ hoặc $r_j\,G$, trong trường hợp sau tiết lộ rằng $i+k\equiv0\pmod{r_j}$. Sau đó, chúng tôi tìm thấy $i$ bởi Định lý phần dư Trung Quốc. Tối ưu hóa có thể nhóm một số lượng lớn các truy vấn thành một. Ví dụ. đệ trình $(P+k\,G,30\,G)$ và kiểm tra nếu kết quả là $G$, $2\,G$, $3\,G$, $5\,G$, $6\,G$, $10\,G$, $15\,G$ hoặc $30\,G$. Có thể giảm thêm bằng cách tính logarit rời rạc của đầu ra của nhà tiên tri bằng cách sử dụng các biến thể của Baby-Step/Giant-Step.

Tôi không biết bất kỳ ứng dụng nào, trong mật mã hay cách khác.

0 + 0
meshcollider avatar
lá cờ gb
meshcollider
Vì vậy, bạn giải thích nó là GCD của "khóa bí mật"?
1
Hồi đáp
fgrieu avatar
lá cờ ng
fgrieu
@meshcollider: về bản chất là có, và tôi đã đánh cắp công thức của bạn trong bản sửa đổi câu trả lời, với cách viết lại sao cho GCD của các điểm là một điểm.
1
Hồi đáp
poncho avatar
lá cờ my
poncho
Hai điều: 1) định nghĩa như vậy về "GCD của hai điểm" sẽ phụ thuộc vào $G$ là gì" (nếu chúng ta chọn một $G$ khác, GCD của hai điểm sẽ khác nhau) 2) được cung cấp một hàm tính toán GCD như đã chỉ định, người ta có thể tính toán DLog một cách hiệu quả (do đó không dễ hơn bài toán DLog)
1
Hồi đáp
fgrieu avatar
lá cờ ng
fgrieu
@poncho: 1) vâng, và tôi đã cẩn thận nêu rõ điều đó bằng "được cung cấp điểm tạo $G$" (bản dịch tạm thời của _muni d'un générateur_, sẽ có nghĩa mong muốn trong tiếng Pháp, nhưng tôi không biết tiếng Anh có hiểu không). 2) Cảm ơn, lúc đầu tôi không biết. Tôi đã cập nhật câu trả lời bằng một bằng chứng, nhưng nó không chặt chẽ: nó yêu cầu chúng ta có thể tính toán GCD của hai điểm bất kỳ $P$ và $Q$ một cách hiệu quả. Tôi tự hỏi nếu điều này có thể được cải thiện, và làm thế nào.
0
Hồi đáp
Điểm:2
G. Stergiopoulos avatar Crypto
lá cờ lu
G. Stergiopoulos

Phiên bản ngắn gọn là bạn không thể xác định GCD của các điểm vì điều đó trước tiên sẽ yêu cầu xác định một khái niệm rõ ràng về so sánh trình tự được sắp xếp của chúng, tức là một cách để kiểm tra $[k]P > [j]P , k>j$$P \in E$, ở đâu $E$ là tập hợp các điểm được xác định bởi đường cong elip và trình tạo tương ứng của bạn $P$.

So sánh thứ tự như vậy liên quan đến khái niệm khoảng cách giữa $[k]P$$[j]P$ bên trong không gian xác định. Liên quan đến khoảng cách trong một trường hữu hạn với phần tử p $F_p$ ở đâu $E$ được xác định, tiếc là chúng tôi không thể so sánh khoảng cách theo bất kỳ cách nào trong $F_p$.

Như Silverman đã nói, có một cách tốt để xác định khoảng cách giữa các phần tử trong $Z_p$$Q_p$, nhưng không có cách nào tốt để xác định khoảng cách giữa các phần tử của $F_p$, cũng như đối với các điểm trên đường cong elip có tọa độ nằm trong $F_p$.

Có bản đồ tự nhiên $E(Q_p) đến E(F_p)$ nhưng thật không may là không có bất kỳ bản đồ nghịch đảo tốt nào. Silverman thảo luận vấn đề này trong bài báo sau đây, trong bối cảnh cố gắng nâng và sau đó sử dụng thang máy để giải ECDLP.

Logarit rời rạc và đường cong elliptic, Selected Areas of Cryptography (SAC 2008), Bài giảng Khoa học Máy tính 5381, Springer--Verlag, Berlin, 2009, 82-102.

0 + 0
kodlu avatar
lá cờ sa
kodlu
câu trả lời của bạn có mâu thuẫn với câu trả lời khác không? hãy bình luận
0
Hồi đáp
G. Stergiopoulos avatar
lá cờ lu
G. Stergiopoulos
Hai điều. Trước tiên, tôi cung cấp câu trả lời rõ ràng cho câu hỏi ban đầu về lý do tại sao bạn không thể tạo thuật toán phù hợp cho GCD, bằng cách giải thích tại sao/làm thế nào bạn không thể chuyển thuật toán Euclide sang nhóm đường cong ellipctic trên một trường hữu hạn do thiếu định nghĩa phù hợp của khoảng cách. Tôi tin rằng điều này không được cung cấp bởi câu trả lời đầu tiên giải thích chi tiết về cách một thuật toán có thể như thế nào, nhưng không thực sự cung cấp câu trả lời nếu điều này thực sự có thể xảy ra hay không. [tiếp]
1
Hồi đáp
G. Stergiopoulos avatar
lá cờ lu
G. Stergiopoulos
[tiếp theo] Thứ hai, tôi lập luận rằng bạn không thể _define_ GCD của hai điểm như đã nêu trong câu trả lời trước vì một định nghĩa cần phải chính xác một cách chặt chẽ dựa trên các tập hợp/luật cụ thể mà tôi phác thảo ở đây: Đó là, vì khoảng cách hoặc so sánh phần tử theo thứ tự không thể được định nghĩa, thì câu trả lời trước đó không phải là một định nghĩa mà là một lý thuyết (mặc dù là một lý thuyết sâu sắc).
0
Hồi đáp
kodlu avatar
lá cờ sa
kodlu
cảm ơn bạn đã bình luận rộng rãi của bạn
0
Hồi đáp
poncho avatar
lá cờ my
poncho
Ngoài ra, nếu chúng ta có một cách, với $[j]G$, $[k]G$, xác định xem $j > k$, chúng ta có thể sử dụng cách đó để tính toán các nhật ký rời rạc một cách hiệu quả (sử dụng tìm kiếm nhị phân) - do đó, chúng ta hy vọng đó là một vấn đề khó khăn.
2
Hồi đáp
G. Stergiopoulos avatar
lá cờ lu
G. Stergiopoulos
Đúng @poncho. Nhưng tôi khá chắc chắn, như tôi đã giải thích trong câu trả lời của mình, rằng (ít nhất là vấn đề này) chắc chắn không thể giải được bằng cách sử dụng các phép biến đổi đã biết.
0
Hồi đáp
fgrieu avatar
lá cờ ng
fgrieu
Tôi đồng ý rằng chúng ta không thể xác định khoảng cách hoặc ước số, do đó là GCD, trên một đường cong elip _alone_. Nhưng chúng ta có thể nếu chúng ta thêm một điểm tạo $G$ (ngụ ý rằng đó là một đường cong có thứ tự nguyên tố). Khoảng cách giữa $P$ và $Q$ trên đường cong là số nguyên nhỏ nhất $d\in[0,\lfloor n/2\rfloor)$ sao cho $P=Q+d\,G$ hoặc $Q=P +d\,G$. $P$ chia $Q$ với $P/Q=R$ iif tồn tại $u,v,w\in[0,n)$ với $P=u\,G$, $Q=v\,G$, $R=w\,G$, $v\ne0$ và $u=v\,w$.
0
Hồi đáp
G. Stergiopoulos avatar
lá cờ lu
G. Stergiopoulos
Chúng tôi không thể xác định khoảng cách ngay cả khi sử dụng trình tạo làm điểm tham chiếu. Hãy để tôi giải thích. Những gì bạn đang mô tả là một khái niệm về khoảng cách trên hệ số _scalar_, không giống với khoảng cách của hai điểm. GCD của các điểm trên đường cong yêu cầu khái niệm so sánh trên mặt phẳng. Thực tế, so sánh vô hướng là một loại biến đổi về điều này. Nhưng như tôi đã giải thích trong câu trả lời của mình, ít nhất là cho đến khi biết, các phép đo khoảng cách trong các mặt phẳng phức hoặc số nguyên trong các trường hữu hạn là không thể và đây là lý do thực sự khiến phép so sánh vô hướng của bạn không thể xác định GCD trên các đường cong
0
Hồi đáp
fgrieu avatar
lá cờ ng
fgrieu
Tôi không thấy có gì sai với định nghĩa mà tôi đưa ra trong câu trả lời của mình hoặc trong nhận xét (mở rộng) trước đây của tôi. [đã cập nhật]: Tôi đồng ý rằng đây _không phải là GCD trên đường cong, mà là GCD trên đường cong được thực hiện bằng một trình tạo cụ thể. Tôi đồng ý rằng không có cách nào hiệu quả để tính toán GCD này, trái ngược với GCD thông thường, trừ khi DLP dễ dàng đối với nhóm được xem xét. Và tôi đồng ý rằng tôi thấy không có ứng dụng nào cho khái niệm này.
1
Hồi đáp
G. Stergiopoulos avatar
lá cờ lu
G. Stergiopoulos
Vấn đề không phải là câu trả lời của bạn sai, mà là về mặt lý thuyết, cách tiếp cận theo thuật toán của bạn là hợp lý. Tôi trả lời về *tại sao* bạn không thể tìm ra cách sử dụng phương pháp của mình để thực sự tạo ra một GCD đang hoạt động, lý do toán học cơ bản là do giới hạn hình học và những gì một chuyên gia trong lĩnh vực này (Silverman) đã làm khi tìm kiếm câu trả lời này.Thực tế, lập luận toán học của tôi là những gì Silverman đã nói về khoảng cách. Đối số thứ hai của tôi là câu trả lời của bạn là một thuật toán lý thuyết chứ không phải định nghĩa về GCD như đã giải thích trong nhận xét trước.
1
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.