Nhật ký rời rạc nói chung có khó trong nhóm Paillier không?

https://en.wikipedia.org/wiki/Paillier_cryptosystem

Hệ thống mật mã Paillier khai thác thực tế là một số logarit rời rạc có thể được tính toán dễ dàng.

Nếu tôi chọn $g \in \mathbb{Z}_{n^2}^*$ ở đâu $n$ chia thứ tự của $g$, thì nhật ký rời rạc rất dễ dàng (cơ sở w.r.t $g$) nếu tôi hiểu đúng.

Nhưng nếu tôi chọn bất kỳ giá trị ngẫu nhiên nào $r \in \mathbb{Z}_{n^2}^*$ ở đâu $n$ không phân chia thứ tự của $r$, thì chúng ta có thể nói bất cứ điều gì về độ khó của nhật ký rời rạc không?

Tôi sẽ cho rằng Paillier điển hình đã thiết lập điều đó $n=pq$ với $p$ và $q$ số nguyên tố $(p-1)\not\!| q$ và ngược lại.

Sự phục hồi của logarit rời rạc $x$ của một yếu tố chung $a$ đối với một trình tạo tương đương với việc khôi phục ba giá trị: $$x\equiv\cases{x_\lambda\pmod{\lambda(n)}\ x_p\pmod p\ x_q\pmod q}.$$

Nếu biết các giá trị của $p$ và $q$ sau đó $x_p$ và $x_q$ dễ dàng phục hồi bằng cách sử dụng thương số Fermat hoặc $p$phiên bản -adic của chuỗi Taylor logarit. Các phương pháp được biết đến tốt nhất để phục hồi $x_\lambda$ dựa vào sàng trường số và cho kích thước mật mã* $p$ và $q$, điều này sẽ không khả thi. Nếu một người chọn một trình tạo sao cho thứ tự của trình tạo chia $n$, điều này có nghĩa rằng $x_\lambda$ có thể được bỏ qua và logarit rời rạc đối với trình tạo này có thể dễ dàng được tính toán bởi bất kỳ ai biết $p$ và $q$.

Trong trường hợp đầu tiên của bạn, nơi $n$ chia thứ tự của $g$, điều này chỉ cho chúng ta biết rằng $x_p$ và $x_q$ không thể bỏ qua. Nó không đảm bảo rằng $x_\lambda$ có thể bị bỏ qua và do đó vấn đề của chúng ta vẫn có thể khó giải quyết.

Trong trường hợp thứ hai của bạn, nơi $n$ không phân chia thứ tự của $r$ điều này cho chúng ta biết rằng một trong hai $x_p$ có thể bỏ qua hoặc $x_q$ có thể bỏ qua (có thể bỏ qua cả hai). Nó không đảm bảo rằng $x_\lambda$ có thể bị bỏ qua và vấn đề của chúng tôi vẫn có thể khó giải quyết.

Nói chung:

• nếu $p$ không phân chia thứ tự của trình tạo, sau đó $x_p$ có thể bỏ qua,
• nếu $q$ không phân chia thứ tự của trình tạo, sau đó $x_q$ có thể bỏ qua,
• nếu $\lambda(n)$ không phân chia thứ tự của trình tạo, sau đó $x_\lambda$ có thể được bỏ qua.

Cũng lưu ý rằng nếu chúng ta tình cờ biết được một giới hạn về kích thước của $x$, thì có thể không cần khôi phục cả ba thành phần này. ví dụ. nếu chúng ta biết điều đó $x<pq$ sau đó phục hồi của $x_p$ và $x_q$ cho phép chúng tôi phục hồi duy nhất $x$ từ định lý phần dư Trung Hoa.

*- Lưu ý rằng $p$ và $q$ phải có mô đun lớn hơn mức có thể bị tấn công bằng sàng trường số thay vì chỉ đơn giản là $n$ là một mô-đun lớn hơn mức có thể bị tấn công bằng sàng trường số.