Decidindo DDH com base em informações parciais

A suposição decisória de Diffie-Hellman , ou DDH, em resumo, é um problema famoso na criptografia. A suposição DDH se aplica a um grupo cíclico $(G,*)$ de ordem (principal) , se for para um gerador e escolhido aleatoriamente \ mathbb {Z} _q $$, o os seguintes pares são indistinguíveis (para algoritmos probabilísticos de politempo):g ∈ L um , b , c $q$$g \in G$$a,b,c \in$

• Tipo 1:$(g,g^a,g^b,g^{ab})$
• Tipo 2:$(g,g^a,g^b,g^{c})$

Agora, suponha que seja um grupo no qual o DDH seja difícil e considere a seguinte pergunta informal :$G$

Conhecemos um algoritmo probabilístico de poli-tempo (PPT), que obtém um par Diffie-Hellman, juntamente com algumas informações parciais sobre (digamos, é ímpar) e pode produzir corretamente se o par de entrada é "Tipo 1" ou "Tipo 2" (com probabilidade não negligenciável)?$a$$a$

Por informações parciais, quero dizer uma cadeia , de modo que, dado e um par Diffie-Hellman, nenhum algoritmo PPT possa calcular , com probabilidade não desprezível.z $z$$z$$a$

É possível formalizar a pergunta acima. No entanto, como a quantidade de notação necessária é tediosa, tento usar uma analogia.

Uma suposição criptográfica famosa e não-padrão é chamada de Conhecimento do Expoente (KEA).

Para qualquer adversário A que recebe a entrada , , e retornos , existe um "extractor" B , o qual, dadas as mesmas entradas como retorno tal que .g g a ( C , C a ) A c g c = $q$$g$$g^a$$(C,C^a)$$A$$c$$g^c = C$

Intuitivamente, ele afirma que, como o adversário não pode resolver um log discreto para obter , a única maneira de gerar um par é "conhecer" o expoente onde( C , C a ) $a$$(C,C^a)$$c$ .$g^c = C$

Agora, estou fazendo uma pergunta semelhante, com base no DDH (em vez de log discreto): para distinguir os pares Diffie-Hellman "Tipo 1" e "Tipo 2", devemos "conhecer" ou b ?$a$$b$

Um pouco mais formal (mas ainda não totalmente formal):

Seja um grupo de ordem primordial q e seja f ( ⋅ ) uma função arbitrária cujo comprimento de saída seja polinomial no comprimento de sua entrada. Escolher um , b , e c aleatoriamente de Z q , e deixar z = f ( a ) . Jogue uma moeda e deixe X = a b se o resultado for cara. Caso contrário, deixe X = c .$(G,*)$$q$$f(\cdot)$$a$$b$$c$$\mathbb{Z}_q$$z=f(a)$$X = ab$$X=c$

Para qualquer adversário de PPT A que recebe entrada e decide corretamente entre o Tipo 1 e o Tipo 2 com probabilidade não negligenciável, existe um "extrator" B do PPT , que recebe a mesma entrada que A , gera a ou b (com probabilidade não desprezível).$(q,g,g^a,g^b,g^X,z)$$a$$b$

Dada a formulação mais recente da sua pergunta, isso parece impossível. Considere o caso onde você tem (famílias de) grupos cíclicos e H , onde G ≠ H e temos um mapa bilinear e : G × H → T . Sob a hipótese de XDH podemos supor que DDQ é difícil em L e registo discreta é difícil em H .$\mathbb{G}$$\mathbb{H}$$\mathbb{G} \ne \mathbb{H}$$e: \mathbb{G} \times \mathbb{H} \to \mathbb{T}$$\mathbb{G}$$\mathbb{H}$

Vamos ser um gerador de G e H ser um gerador de H . Em seguida, defina f : Z | G | → H como f ( a ) = h a .$g$$\mathbb{G}$$h$$\mathbb{H}$$f : \mathbb{Z}_{|\mathbb{G}|} \to \mathbb{H}$$f(a) = h^a$

Agora dados , podemos determinar facilmente se X = a b verificando e ( g b , z ) ? = e ( g X , h ) . (Você também pode verificar da mesma forma a correção de z, se quiser.) No entanto, parece improvável que um extrator possa extrair$(g, g^a, g^b, g^X, z=f(a)=h^a)$$X = ab$$e(g^b, z) \overset{?}= e(g^X,h)$$z$ ou b dessa tupla. Extrair b é obviamente equivalente a log discreto; se houver um mapa de distorção de H a G (não pode haver um na outra direção), extrair a é equivalente a log discreto (em H ).$a$$b$$b$$\mathbb{H}$$\mathbb{G}$$a$$\mathbb{H}$