ฉันพยายามทำความเข้าใจความแตกต่างระหว่าง Generic Group Model (คลาสสิก) ตามที่ Shoup อธิบายไว้ [โชว] และโมเดลกลุ่มทั่วไปที่ค่อนข้างจำกัดตามที่ Schnorr และ Jakobsson อธิบายไว้ [SJ00]. เพื่อความชัดเจน ฉันจะให้คำจำกัดความของทั้งสองรุ่น เพื่อสิ่งนั้น ฉันใช้คำอธิบายของเปเปอร์ [BL19]. ในการตั้งค่าทั้งสอง เรามีกลุ่มวงจรทวีคูณ $G = \langle ก \range$ ของการสั่งซื้อ $p$. (GGM = โมเดลกลุ่มทั่วไป)
เนื่องจาก $G$ เป็นไอโซมอร์ฟิคไป $\mathbb{Z}_p$เราสามารถเลือกแผนที่การฉีดแบบสุ่มได้ $\tau: \mathbb{Z}_p \rightarrow \mathbb{G}$, ที่ไหน $\mathbb{G}$ คือเซตของความยาวของสตริงบิต $l \ (2^l \geq พี)$ และเราเข้ารหัสบันทึกแยกขององค์ประกอบกลุ่มแทนองค์ประกอบกลุ่มเอง แนวคิดที่สำคัญคือแผนที่ $\tau$ ไม่จำเป็นต้องเป็นโฮโมมอร์ฟิซึมแบบกลุ่ม GGM ถือว่าฝ่ายตรงข้ามไม่สามารถเข้าถึงตัวแทนที่เป็นรูปธรรมขององค์ประกอบกลุ่มได้ ฝ่ายตรงข้ามจะได้รับสิทธิ์เข้าถึงออราเคิลที่พาราเมตริกโดย $\tau$ซึ่งคำนวณการดำเนินการของกลุ่มทางอ้อมใน $G$. แม่นยำยิ่งขึ้นสำหรับการป้อนข้อมูล $(a,b) \in \mathbb{G} \times \mathbb{G}$ ออราเคิลดำเนินการดังนี้ $ Mult(a,b) = \tau(\tau^{-1}(a) + \tau^{-1}(b)), \ Inv(a) = \tau(-\tau^{-1 }(ก))$. เราสังเกตว่าฝ่ายตรงข้ามไม่สามารถเข้าถึงแผนที่ได้ $\tau$ นั่นเอง
ข้อมูลของอัลกอริทึมทั่วไปถูกแบ่งออกเป็นกลุ่มองค์ประกอบจาก $G$ และข้อมูลที่ไม่ใช่กลุ่ม ขั้นตอนทั่วไปคือ $mexp: \mathbb{Z}^d_q \times G^d \mapsto G, (\underline{a}, (f_1,...,f_d)) \mapsto \prod_{i=1}^d f_i^{ a_i}$. คำนิยามอย่างเป็นทางการ: อัลกอริทึมทั่วไปคือลำดับของ $t$ ขั้นตอนทั่วไป สำหรับเวลา $1 \leq t' < t$อัลกอริทึมรับอินพุตเป็น $f_1,...,f_{t'}$, ที่ไหน $(a_1,...,a_{i-1}) \in \mathbb{Z}^{i-1}_p$ ขึ้นอยู่กับ i องค์ประกอบที่ไม่ใช่กลุ่มและชุดโดยพลการ $CO_{i-1} := \lbrace (j,k) | f_j = f_k, 1 \leq j <k \leq i-1 \rbrace $ ของ "การปะทะกัน" ของกลุ่มก่อนหน้านี้
ข้อแตกต่างที่สำคัญคือผู้โจมตีในแบบจำลองของ Shoup จะได้รับการจัดการโดยตรง $\tau(g)$ สำหรับองค์ประกอบกลุ่มที่เป็นผลลัพธ์ของการสืบค้นกลุ่มทั่วไป ในขณะที่ผู้โจมตีในรูปแบบที่ 2 อาจอ้างอิงองค์ประกอบกลุ่มที่คำนวณก่อนหน้านี้โดยทางอ้อมโดยการส่งคำถาม $(a_i, ..., a_{i-1}) \in \mathbb{Z}_p^{i-1}$ ไปยังกลุ่มทั่วไป oracle แต่คำจำกัดความทั้งสองนี้ดูแตกต่างกันมากสำหรับฉัน ซึ่งฉันจะขอบคุณมากหากมีใครสามารถช่วยฉันชี้ให้เห็นความแตกต่างและความคล้ายคลึงกันได้ โดยเฉพาะอย่างยิ่ง ฉันต้องการเข้าใจข้อดีของการพิสูจน์ความปลอดภัยในแบบจำลองของ Shoup เมื่อเปรียบเทียบกับการพิสูจน์ความปลอดภัยในแบบจำลองของ Schnorr
ขอบคุณมากล่วงหน้า!
ทั้งสองรุ่นมี "พลังการคำนวณ" เท่ากัน : คุณสามารถสร้างได้ $มัลติ$, และ $Inv$ กิจวัตรด้วย $mexp$และคุณสามารถสร้าง $mexp$ กับ $มัลติ$ (โดยใช้อัลกอริทึมกำลังสองและคูณ)
เราสามารถคิดได้ว่าในรูปแบบที่สองฝ่ายตรงข้ามสามารถเข้าถึงมูลค่าที่แท้จริงขององค์ประกอบได้ แต่สามารถใช้เพื่อให้มีประสิทธิภาพที่ดีขึ้นได้เนื่องจากค่าสัมประสิทธิ์ $f_i$ ไม่สามารถขึ้นอยู่กับค่าเหล่านี้ได้ (ยกเว้นว่าตรวจพบความเท่าเทียมกันเหมือนในรุ่นแรก)
สำหรับฉัน ข้อแตกต่างเพียงอย่างเดียวคือความไม่สม่ำเสมอของโมเดลที่สอง (สำหรับฉันแล้ว โมเดลที่สองดูเหมือนวงจร ตรงกันข้ามกับอันแรกซึ่งเหมือนกับ Turing Machine ที่มี oracle มากกว่า) และความซับซ้อนของเวลา :
คุณไม่สามารถเปรียบเทียบความซับซ้อนของเวลาของสองอัลกอริทึมในทั้งสองรุ่นได้ง่ายๆ เนื่องจากการดำเนินการบางอย่าง (เช่น การยกกำลัง) จะพิจารณาได้เร็วกว่ามากในโมเดลที่สองเหมือนกับในโมเดลแรก ดังนั้นขอบเขตล่างของโมเดลแรกอาจใหญ่กว่า/ดีกว่า (และยังคงมีความเกี่ยวข้องเท่าที่ฉันรู้ว่ามีการใช้งาน Elliptic curve ในทางปฏิบัติ)
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
