Score:3

รับรู้ว่าค่าสุ่มสองค่าถูกยกกำลังเท่ากันหรือไม่

ธง de

อลิซเลือกตัวเลขสุ่มสองตัวจากเขตข้อมูลจำกัด $Z_p$ : $a$ และ $ข$.

Bob ทำหนึ่งในสองขั้นตอนต่อไปนี้แบบสุ่ม (บางครั้งเขาทำขั้นตอนที่ 1 บางครั้งทำขั้นตอนที่ 2):

  1. เขาเลือกหมายเลขสุ่ม $r$ จาก $Z_p$ และคำนวณ $a^r\;mod\;p$ และ $b^r\;mod\;p$ และมอบคุณค่าทั้งสองนี้ให้กับอลิซ
  2. เขาเลือกตัวเลขสุ่มที่แตกต่างกันสองตัว $r$ และ $r'$ จาก $Z_p$ และคำนวณ $a^r\;mod\;p$ และ $b^{r'}\;mod\;p$ และมอบคุณค่าทั้งสองนี้ให้กับอลิซ

มีอัลกอริธึมใดที่มีประสิทธิภาพที่อลิซสามารถใช้เพื่อจดจำขั้นตอนที่บ็อบทำไปแล้วบ้าง

poncho avatar
my flag
ดังที่ Manish ชี้ให้เห็น ปัญหานี้ดูเหมือนจะเป็นปัญหาหนัก (อย่างน้อยก็สำหรับกลุ่มที่มีขนาดเข้ารหัส) หากคุณต้องการให้เป็นโจทย์ที่ง่าย คุณสามารถทำแบบเดียวกันบนเส้นโค้งที่เป็นมิตรต่อการจับคู่ ในกรณีนั้น $r = r'$ สามารถทดสอบได้โดยเปรียบเทียบ $e( [r]a, b )$ กับ $e( a, [r']b )$
Score:3
ธง us

น้อยนี่ $a$ และ $ข$ ควรเลือกจาก $\mathbb{Z}^*_p$ และ $r$ ระหว่าง $1$ และ $p-1$ พิเศษ

ดูเหมือนว่าจะเกี่ยวข้องโดยตรงกับปัญหา DDH อย่างน้อยถ้ามีอยู่บ้าง $w$ เช่นนั้น $a = b^w$ หรือ $b = a^w$. นั่นคือถ้าอย่างน้อยหนึ่งใน $a$ หรือ $ข$ สร้างกลุ่มย่อยที่มีอีกกลุ่มหนึ่งซึ่งจะได้รับหาก $p$ เป็นไพรม์ที่ปลอดภัย [หากทั้งคู่เป็นสารตกค้างกำลังสอง/ไม่มีสารตกค้างอยู่ มิฉะนั้นสิ่งใดก็ตามที่ไม่ใช่สารตกค้างคือเครื่องกำเนิด] ไม่แน่ใจเกี่ยวกับกรณีอื่นๆ ในกรณีนี้ $a, b^{r'}, a^{r}$ ทำให้ DDH triplet สร้างขึ้นจาก $ข$ หรือ $b,a^r,b^{r'}$ ทำ DDH triplet จาก $a$. ในกรณีของคุณปัญหา DDH ยากหรือไม่ขึ้นอยู่กับทางเลือกของ $a$ และ $ข$. ถ้าทั้งสอง $a$ และ $ข$ สร้างกลุ่มย่อยเดียวกันด้วยคำสั่งเฉพาะจำนวนมาก จากนั้นปัญหา DDH นั้นถือว่ายากในคอมพิวเตอร์แบบคลาสสิก ดังนั้นจึงไม่มีอัลกอริธึมแบบคลาสสิกที่มีประสิทธิภาพในกรณีนี้ ปัญหา DDH สามารถแก้ไขได้ด้วยความน่าจะเป็นที่สูงกว่าการคาดเดาแบบสุ่มในหลาย ๆ กรณี เช่น ถ้าทั้งคู่ $a$, $ข$ เป็นโมดูโล่ที่ไม่มีสารตกค้าง $p$ และในหมู่ $a^r, b^{r'}$ อันหนึ่งเป็นเศษซากกำลังสองและอีกอันหนึ่งเป็นเศษที่เหลือซึ่งคุณสามารถบอกได้ว่าอันใดอันหนึ่ง $r,r'$ เป็นคี่และอีกอย่างคือคู่และดังนั้น $r \neq r'$.

ในคำถามของคุณ $a$ และ $ข$ ถูกสร้างขึ้นแบบสุ่ม ดังนั้นฉันจะบอกว่ามันแยกแยะได้ ไม่ใช่ทุกกรณีแต่มีประโยชน์ในกรณีที่กล่าวมาแล้วซึ่งในทางวิทยาการคอมพิวเตอร์ถือว่ามีนัยสำคัญจนแยกไม่ออก

ฉันไม่แน่ใจเกี่ยวกับกรณีที่ทั้งสอง $a$ ก็ไม่เช่นกัน $ข$ สร้างกลุ่มย่อยที่มีอีกกลุ่มหนึ่งเพราะฉันไม่สามารถคิดวิธีเชื่อมโยงกับ DDH ได้ อย่างน้อยที่สุดก็ไม่อยู่ในหัวของฉัน อาจมีกรณีย่อยที่ได้เปรียบในเงื่อนไขนั้นด้วย

การปรับปรุง: คุณได้ระบุว่าคุณกำลังพยายามออกแบบโปรโตคอล ประการแรก ไม่ควรลองทำโดยปราศจากความเข้าใจอย่างลึกซึ้งเกี่ยวกับการเข้ารหัส สมมติว่าความปลอดภัยทั้งหมดของระบบขึ้นอยู่กับสิ่งนี้ คุณควรใช้ $g$ ที่ใช้สร้าง $a$ และ $ข$ เพื่อเป็นตัวกำเนิดของกลุ่มย่อยลำดับความสำคัญขนาดใหญ่ $คิว$ และเลือก $r,r'$ ระหว่าง $1$ และ $คิว$ เพื่อให้แน่ใจว่าปัญหา DDH คาดเดาได้ยากในคอมพิวเตอร์แบบคลาสสิก หรือใช้กลุ่ม EC ที่เป็นมิตรซึ่งไม่มีการจับคู่ที่รู้จักซึ่งปัญหา DDH ถูกคาดเดาว่ายากแบบคลาสสิก แต่ฉันยังไม่รู้รายละเอียดของโปรโตคอล และการนำมันไปใช้ก็ยังมีปัญหา เช่น การโจมตีจากช่องทางด้านข้าง เป็นต้น

Mahsa Bastankhah avatar
de flag
คุณชี้ให้เห็นถึงจุดที่ดี $a$ และ $b$ ไม่ได้สุ่มทั้งหมด และถูกสร้างขึ้นดังนี้: $a = g^{xk}\;mod\;p$ และ $b=g^k\;mod\;p$ $k$ และ $x$ จะถูกสุ่มเลือก ฉันไม่ได้พูดถึงเรื่องนั้นเพื่อทำให้คำถามสั้นลง ฉันไม่มีความคิดใด ๆ ว่ามันสำคัญ
Manish Adhikari avatar
us flag
ในกรณีนี้ เราสามารถเห็น $b$ เป็นตัวกำเนิดของกลุ่ม และ $a,b^{r'},a^r$ สร้าง DDH triplet เท่าที่ฉันรู้ ปัญหานี้คิดว่ายากสำหรับคอมพิวเตอร์แบบคลาสสิกหาก $b$ สร้างกลุ่มย่อยลำดับความสำคัญขนาดใหญ่ มีบางกรณีที่แตกต่างกัน ตัวอย่างเช่น ถ้า $b$ เป็นโมดูโลกำลังสองที่ไม่ใช่เรซิดิว $p$ และ $x$ เป็นคี่ และมีเพียงหนึ่งใน $r,r'$ เป็นเลขคู่ เรารู้ว่าพวกมันไม่เท่ากันในคำตอบ ข้างต้น
Manish Adhikari avatar
us flag
คุณบอกฉันได้ไหมว่าคุณได้รับคำถามจากที่ใด เนื่องจากเป็นการขัดต่อนโยบายของชุมชนที่จะตอบคำถามการบ้านมากกว่าคำใบ้และคำแนะนำ ดังนั้นฉันอาจต้องลบคำตอบของฉัน มันดูไม่มีคำพูดแบบนั้นเลย...
Mahsa Bastankhah avatar
de flag
มันไม่ใช่การบ้านของฉัน มันเป็นเพียงคำถามที่ฉันเผชิญเมื่อฉันพยายามออกแบบโปรโตคอล ฉันต้องการดูว่ามีข้อมูลใดรั่วไหลในโปรโตคอลของฉันหรือไม่
Manish Adhikari avatar
us flag
ถ้าเป็นเช่นนั้น โปรดอ่านการแก้ไขของฉันด้านบน
Score:0
ธง in

หาก Bob เต็มใจช่วย Alice จดจำกรณีที่ 1 เขาสามารถใช้โปรโตคอลที่คล้ายกับ Schnorr เป็นตัวพิสูจน์ได้ เขาจะตอบสนองการรักษา $r$ เป็นคีย์ส่วนตัวตรงตามที่โปรโตคอลกำหนด อลิซจะตรวจสอบว่าคำตอบนี้ตรงกับตัวเลขสุ่มหรือไม่ ซึ่งถือว่าเป็นคีย์สาธารณะสองคีย์

Mahsa Bastankhah avatar
de flag
ไม่ มันไม่ใช่อย่างนั้น จริง ๆ แล้ว บ็อบชอบให้อลิซจำไม่ได้มากกว่า แต่อลิซอยากรู้อยากเห็น
Manish Adhikari avatar
us flag
ไม่ใช่คำถามของ OP แต่ฉันเพิ่งสังเกตว่าเพียงพอแล้วที่ผู้พิสูจน์ใช้โปรโตคอลของ Schnorr เพื่อพิสูจน์ว่าเธอรู้ DL ของ $a^rb^{r'}$ มากกว่า $ab$ หากผู้ตรวจสอบสามารถมั่นใจได้ว่าผู้พิสูจน์ไม่รู้ DL ของ $a$ มากกว่า $b$ หรือในทางกลับกัน เป็นหลักฐาน $a = b^x$ (ตามความคิดเห็นของ OP ด้านบน) แล้วถ้าผู้พิสูจน์รู้ $c$ s.t. $(ab)^c = a^rb^{r'}$ เช่น $c+cx \equiv xr + r' \pmod q $ ถ้า $r \not\equiv r' \pmod q$ แล้ว $c \not\equiv r \not\equiv r' \pmod q$ และตัวพิสูจน์สามารถคำนวณ $x$
Manish Adhikari avatar
us flag
แต่ควรทำมากกว่าหนึ่งกลุ่มย่อยของคำสั่ง $q$ มิฉะนั้น ผู้พิสูจน์สามารถโกงได้โดยใช้ $r' = r+q$ หรือบางอย่างถ้า $a$ และ $b$ สร้างกลุ่มย่อยคำสั่งขนาดเล็ก
Manish Adhikari avatar
us flag
*การแก้ไขสำหรับความคิดเห็นด้านบน$(ab)^c \equiv a^rb^{r'} \pmod p$ ฉันเขียน $=$ แทน

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา