Qaror Diffie-Hellman taxmin - Decisional Diffie–Hellman assumption

The qaror Diffie-Hellman (DDH) taxmin a hisoblash qattiqligini taxmin qilish bilan bog'liq ma'lum bir muammo haqida alohida logarifmalar yilda tsiklik guruhlar. Bu ko'pchilikning xavfsizligini isbotlash uchun asos sifatida ishlatiladi kriptografik protokollar, eng muhimi ElGamal va Cramer – Shoup kriptosistemalari.

Ta'rif

(Multiplikativ) ni ko'rib chiqing tsiklik guruh ${ displaystyle G}$ tartib ${ displaystyle q}$va bilan generator ${ displaystyle g}$. DDH taxminida berilgan deb aytilgan ${ displaystyle g ^ {a}}$ va ${ displaystyle g ^ {b}}$ bir xil va mustaqil ravishda tanlanganlar uchun ${ displaystyle a, b in mathbb {Z} _ {q}}$, qiymati ${ displaystyle g ^ {ab}}$ tasodifiy element "o'xshaydi" ${ displaystyle G}$.

Ushbu intuitiv tushunchani quyidagi ikkita ehtimollik taqsimoti deyish bilan rasmiy ravishda aytish mumkin hisoblash jihatidan farq qilmaydi (ichida xavfsizlik parametri, ${ displaystyle n = log (q)}$):

• ${ displaystyle (g ^ {a}, g ^ {b}, g ^ {ab})}$, qayerda ${ displaystyle a}$ va ${ displaystyle b}$ tasodifiy va mustaqil ravishda tanlanadi ${ displaystyle mathbb {Z} _ {q}}$.
• ${ displaystyle (g ^ {a}, g ^ {b}, g ^ {c})}$, qayerda ${ displaystyle a, b, c}$ tasodifiy va mustaqil ravishda tanlanadi ${ displaystyle mathbb {Z} _ {q}}$.

Birinchi turdagi uchliklar ko'pincha chaqiriladi DDH uchtasi yoki DDH kanallari.

Boshqa taxminlar bilan bog'liqlik

DDH taxminlari bilan bog'liq diskret jurnal taxminlari. Agar diskret jurnallarni samarali hisoblash imkoni bo'lsa ${ displaystyle G}$, keyin DDH gumoni ushlab turilmaydi ${ displaystyle G}$. Berilgan ${ displaystyle (g ^ {a}, g ^ {b}, z)}$yoki yo'qligini samarali hal qilish mumkin ${ displaystyle z = g ^ {ab}}$ birinchi navbatda diskretni olish orqali ${ displaystyle log _ {g}}$ ning ${ displaystyle g ^ {a}}$va keyin taqqoslash ${ displaystyle z}$ bilan ${ displaystyle (g ^ {b}) ^ {a}}$.

DDH a deb hisoblanadi kuchliroq diskret logaritma taxminiga qaraganda taxmin, chunki diskret jurnallarni hisoblash qiyin deb hisoblanadigan guruhlar mavjud (va shu sababli DL taxminini to'g'ri deb hisoblashadi), ammo DDH korreklarini aniqlash oson (Va shuning uchun DDH noto'g'ri). Shu sababli, DDH gipotezasini guruhda bo'lishini talab qilish DL ga qaraganda ancha cheklovchi talab deb hisoblanadi.

DDH gumoni shuningdek bilan bog'liq hisoblash Diffie-Hellman taxmin (CDH). Agar samarali hisoblash mumkin bo'lsa ${ displaystyle g ^ {ab}}$ dan ${ displaystyle (g ^ {a}, g ^ {b})}$, keyin yuqoridagi ikkita ehtimollik taqsimotini osongina ajratish mumkin edi. Yuqoridagilarga o'xshab, DDH CDHga qaraganda kuchliroq taxmin hisoblanadi.

Boshqa xususiyatlar

DDH kanallarini aniqlash muammosi tasodifiy o'z-o'zidan kamaytirilishi mumkin, ma'nosi, taxminan, agar bu kirishning kichik bir qismi uchun ham qiyin bo'lsa, deyarli barcha kirishlar uchun qiyin; agar bu kirishning kichik bir qismi uchun ham oson bo'lsa, deyarli barcha kirishlar uchun osondir.

DDH o'tkazilishi taxmin qilingan guruhlar

Xavfsizligi DDH taxminiga bog'liq bo'lgan kriptografik protokoldan foydalanganda, protokol DDH mavjud deb hisoblanadigan guruhlar yordamida amalga oshirilishi muhimdir:

• Ning kichik guruhi ${ displaystyle k}$qoldiqlar asosiy modul ${ displaystyle p}$, qayerda ${ displaystyle (p-1) / k}$ shuningdek, katta tub (shuningdek, a deb ham nomlanadi Schnorr guruhi ). Ishi uchun ${ displaystyle k = 2}$, bu guruhiga to'g'ri keladi kvadratik qoldiqlar modul a xavfsiz bosh.
• Asosiy buyurtma elliptik egri chiziq ${ displaystyle E}$ ustidan maydon ${ displaystyle GF (p)}$, qayerda ${ displaystyle p}$ asosiy hisoblanadi, taqdim etiladi ${ displaystyle E}$ katta ko'mish darajasiga ega.
• A Jacobian a giperelliptik egri chiziq ustidan maydon ${ displaystyle GF (p)}$ kamaytirilgan bo'linuvchilarning asosiy soni bilan, qaerda ${ displaystyle p}$ Yakobian katta ko'mish darajasiga ega bo'lsa, u eng yaxshi hisoblanadi.

Muhimi, DDH taxmin ushlamaydi multiplikativ guruhda ${ displaystyle mathbb {Z} _ {p} ^ {*}}$, qayerda ${ displaystyle p}$ asosiy hisoblanadi. Buning sababi, agar ${ displaystyle g}$ ning generatoridir ${ displaystyle mathbb {Z} _ {p} ^ {*}}$, keyin Legendre belgisi ning ${ displaystyle g ^ {a}}$ agar ekanligini aniqlasa ${ displaystyle a}$ juft yoki toq. Berilgan ${ displaystyle g ^ {a}}$, ${ displaystyle g ^ {b}}$ va ${ displaystyle g ^ {ab}}$Shunday qilib, eng kam ahamiyatga ega bo'lgan bitni samarali tarzda hisoblash va taqqoslash mumkin ${ displaystyle a}$, ${ displaystyle b}$ va ${ displaystyle ab}$navbati bilan, bu ajratish uchun ehtimollik usulini beradi ${ displaystyle g ^ {ab}}$ tasodifiy guruh elementidan.

DDH gumoni elliptik egri chiziqlarni ushlab turmaydi ${ displaystyle GF (p)}$ kichik ko'mish darajasi bilan (aytaylik, kamroq ${ displaystyle log ^ {2} (p)}$) o'z ichiga olgan sinf supersingular elliptik egri chiziqlar. Buning sababi Vayl juftligi yoki Tate juftligi muammoni to'g'ridan-to'g'ri quyidagi tarzda hal qilish uchun ishlatilishi mumkin: berilgan ${ displaystyle P, aP, bP, cP}$ bunday egri chiziqda hisoblash mumkin ${ displaystyle e (P, cP)}$ va ${ displaystyle e (aP, bP)}$. Juftliklarning aniqligi bo'yicha, ikkita ifoda teng bo'ladi va agar shunday bo'lsa ${ displaystyle ab = c}$ tartibini modullash ${ displaystyle P}$. Agar ko'mish darajasi katta bo'lsa (aytaylik ${ displaystyle p}$) keyin DDH taxmin hali ham saqlanib qoladi, chunki bu juftlikni hisoblash mumkin emas. O'rnatish darajasi kichik bo'lsa ham, egri chiziqning ba'zi kichik guruhlari mavjud bo'lib, ular DDH faraziga asoslanadi.

Shuningdek qarang

• Diffie-Hellman muammosi
• Diffie-Hellman kalit almashinuvi
• Hisoblash qattiqligi haqidagi taxminlar
• XDH taxmin
• Qarorli chiziqli taxmin

Adabiyotlar

• Boneh, Dan (1998). Qaror Diffie-Hellman muammosi. Uchinchi algoritmik sonlar nazariyasi simpoziumi materiallari. Kompyuter fanidan ma'ruza matnlari. 1423. 48-63 betlar. CiteSeerX  10.1.1.461.9971. doi:10.1007 / BFb0054851. ISBN  978-3-540-64657-0.