พิจารณาเส้นโค้งวงรี $E$ กำหนดไว้ในฟิลด์ที่มีขอบเขตจำกัด $\mathbb{F}_{\!q}$ ด้วยค่าคงที่ที่ไม่ใช่ศูนย์ $\mathbb{F}_{\!q}$-จุด $พี$. เพื่อความง่ายให้ลำดับของ $\mathbb{F}_{\!q}$กลุ่มจุด $E(\mathbb{F}_{\!q})$ เป็นนายกและด้วยเหตุนี้กลุ่มจึงถูกสร้างขึ้นโดย $พี$. เพื่อความปลอดภัย ในโปรโตคอลจำนวนมากของการเข้ารหัสแบบวงรี (เช่น ในเวอร์ชันที่ปลอดภัยของ Dual_EC_DRBG) เราต้องสร้าง "อิสระ" ขึ้นอีก $\mathbb{F}_{\!q}$-จุด $คิว$ บน $E$.
กรุณาตอบคำถาม คุณรู้หรือไม่ว่าโปรโตคอลที่จำเป็นต้องได้รับ "อิสระ" มากขึ้น $\mathbb{F}_{\!q}$- จุดบนเส้นโค้งเดียวกัน ? กล่าวอีกนัยหนึ่ง ปาร์ตี้เกี่ยวข้องกับ "อิสระ" $\mathbb{F}_{\!q}$จุด $Q_1$, $Q_2$, $\ldots$, $Q_n$ นอกจาก $พี$. โดย "อิสระ" ฉันหมายถึงจุดที่ไม่มีใครรู้ลอการิทึมที่ไม่ต่อเนื่องซึ่งสัมพันธ์กัน
ฉันถามคุณเพราะสำหรับบางคน $E$ และ $n$ ฉันรู้วิธีการผลิตพร้อมกันหลายๆ $Q_i$ เร็วกว่ารุ่นที่แยกจากกัน ฉันต้องการที่จะเข้าใจว่าวิธีการของฉันมีค่าควรแก่การตีพิมพ์ในวารสารทางวิทยาศาสตร์ที่ดีหรือไม่ หรืออาจมีบางอย่างเกี่ยวข้องกับการเข้ารหัสในโลกแห่งความเป็นจริง
คุณรู้จักโปรโตคอลที่จำเป็นในการรับจุด "อิสระ" หลายจุดบนเส้นโค้งวงรีเดียวกันหรือไม่?
สถานที่หนึ่งที่ชัดเจนซึ่งสิ่งนี้จะเกิดขึ้นหากคุณกำลังใช้ความมุ่งมั่นของ Pedersen ในเรื่องเวกเตอร์ของค่า คุณกระทำกับเวกเตอร์ $(x_1, x_2, ..., x_n)$ โดยเผยแพร่ค่า $rH + x_1G_1 + x_2G_2 + ... + x_nG_n$; เพื่อให้ใช้งานได้คุณต้องมี $n+1$ จุดอิสระ $H, G_1, G_2, ..., G_n$
แม้ว่าสิ่งนี้จะค่อนข้างคลุมเครือ แต่ก็เกิดขึ้น Google ค้นหาได้อย่างรวดเร็ว กระดาษแผ่นนี้ดังนั้นจึงมีความเกี่ยวข้องบางประการ มากกว่ากระดาษบางแผ่นที่ฉันเคยเห็นมาอย่างแน่นอน...
มีฟังก์ชัน "hash-to-point" ที่ใช้ในหลายรูปแบบ ซึ่งจำเป็นต้องสร้างจุด EC โดยที่บันทึกแยก w.r.t. ไม่ทราบจุด EC อื่นใด โดยเฉพาะอย่างยิ่ง:
ลายเซ็นแหวนที่เชื่อมโยงได้ ต้องสร้าง 'ภาพคีย์' ซึ่งความถูกต้องของ 'ภาพคีย์' ที่ประกาศด้วยลายเซ็นนั้นสามารถตรวจสอบได้ และในกรณีที่ผู้ลงนามคนเดียวกัน (ใช้คีย์ส่วนตัวเดียวกัน) จะสร้างลายเซ็นแบบวงแหวนอีกครั้ง (แม้ว่าจะแตกต่างกัน ผู้เข้าร่วมรหัสสาธารณะของสมาชิกวงคนอื่นๆ) จะเห็นได้ชัดว่าพวกเขาใช้รหัสส่วนตัวเดียวกันเพื่อลงชื่อเข้าใช้อีกครั้ง ดู ที่นี่ สำหรับรายละเอียด
ฟังก์ชันสุ่มเทียมแบบลืมเลือนใช้แฮชทูพอยต์เพื่อเข้ารหัสค่าอินพุต PRF เป็นจุด EC ที่นี่.
การถ่ายโอนแบบลืมเลือนใช้แฮชไปยังจุด และ EC El Gamal สามารถใช้แฮชไปยังจุดได้ หากคุณต้องการเพียงเข้ารหัสข้อความเป็นจุดเพื่อไปในทิศทางเดียว ดูตัวอย่างทั้งสองอย่าง ที่นี่.
นี้ หลักฐานการไม่เป็นสมาชิก ใช้ hash-to-point สำหรับการเปลี่ยนแปลงในข้อผูกมัดของ Pedersen โดยที่ข้อผูกมัดนั้นจำเป็นต้องปิดตา แต่ไม่จำเป็นต้องเป็นแบบโฮโมมอร์ฟิคเพิ่มเติม
โดยพื้นฐานแล้วคำถามของคุณคือ: การสุ่มตัวอย่างทูเพิลมีประโยชน์หรือไม่ $(Q_1, Q_2, \dots, Q_n) \in E(F)^n$ โดยที่ไม่ทราบความสัมพันธ์ระหว่างจุดต่างๆ แต่ทูเพิลไม่ได้สุ่มตัวอย่างจากการแจกแจงแบบสม่ำเสมอ
จากมุมมองเชิงปฏิบัติมีสองประเด็น:
นั่นคือในทางปฏิบัติแล้วมักจะไม่มีประโยชน์มากนัก แต่ก็มักจะไม่ปลอดภัย อย่างน้อยก็ดูเหมือน
ข้อโต้แย้งหลักก็คือการพิสูจน์ความปลอดภัยของแผนการเหล่านี้บางครั้งขึ้นอยู่กับความสามารถในการสุ่มตัวอย่างทูเพิล $(Q_1, \จุด, Q_n)$ ด้วยประตูกลที่ฝังอยู่ ซึ่งมักจะทำได้ยากหากคุณต้องการการกระจายที่ไม่สม่ำเสมอบนทูเพิล สิ่งนี้จะทำลายหลักฐานความปลอดภัย (ตัวอย่าง: สมมติว่าฉันต้องการที่จะสามารถหักล้างการเปิดของข้อตกลงหลายข้อของ Pedersen ได้)
บางคนอาจไม่สนใจเรื่องนั้น แต่ฉันคิดว่านักเข้ารหัสส่วนใหญ่จะลังเลที่จะยอมรับสิ่งนี้โดยไม่มีผลประโยชน์ที่ชัดเจน
กล่าวอีกนัยหนึ่ง ฉันคาดว่าอัลกอริทึมที่คุณต้องไม่มีประโยชน์และใช้งานไม่ได้ในบางครั้งเป็นส่วนใหญ่
ที่กล่าวว่า อัลกอริทึมที่คุณคิดขึ้นอาจน่าสนใจสำหรับบางคนด้วยเหตุผลบางประการ โดยไม่คำนึงถึงอุปสรรคเหล่านี้ หรืออาจมีอสังหาริมทรัพย์อื่นๆ ที่น่าสนใจ ดังนั้นมันอาจจะคุ้มค่าที่จะเผยแพร่ต่อไป
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
