ความสามารถในการแยกแยะด้วยคอมพิวเตอร์โดยใช้สมมติฐาน DDH

อย่างนี้นี่เอง $m$ เป็นองค์ประกอบบางอย่างในกลุ่ม $\mathbb{G}$ จึงมีอยู่บ้าง $\alpha \in \mathbb{Z}_q$ ดังนั้น $m=g^{\alpha}$, เพราะฉะนั้น $m \cdot g^r = g^{\alpha+r}$ และสังเกตว่าตั้งแต่นั้นเป็นต้นมา $r$ ถูกเลือกอย่างเท่าเทียมกันโดยการสุ่มจาก $\mathbb{Z}_q$แล้วการกระจายของ $\อัลฟ่า + r$ เป็นชุดเดียวกัน (ไม่ใช่แค่การคำนวณ แต่เหมือนกันทุกประการ) $\mathbb{Z}_q$ เช่นกัน.

คุณสามารถคิดได้โดยสัญชาตญาณ $r+\alpha$ เป็นการ $\alpha$ ซึ่งมีคนเลือกให้คุณ แล้วเพิ่มโมดูโลตัวเลขแบบสุ่มลงไป $คิว$และมันก็เหมือนกันทุกประการเพราะสำหรับทุกผลลัพธ์ที่เป็นไปได้ของ $r+\alpha$ มีที่เดียว $r$ ที่ทำให้ได้ผลลัพธ์นั้น ดังนั้นมันจึงเหมือนกัน

สำหรับ (a,b,r) - โปรดจำไว้ว่าข้อสันนิษฐานของ DDH พยายามที่จะพูดบางอย่างเช่น: หากคุณดูองค์ประกอบกลุ่มสุ่มสององค์ประกอบ $g^a, g^b$ และคุณมีองค์ประกอบกลุ่มที่สาม $h\in\mathbb{G}$แล้วคุณไม่รู้ว่า $h=g^{a\cdot b}$ หรือว่า $h$ เป็นองค์ประกอบกลุ่มแบบสุ่มที่ไม่เกี่ยวข้องกันโดยสิ้นเชิง $g^r$ สำหรับการสุ่ม $r$. วิธีที่คุณเขียนนี้ คือคุณดูการกระจายสองตัวโดยที่ $g^a, g^b$ เท่ากันทั้งสองด้านของความเท่าเทียมกัน แต่องค์ประกอบที่สามแตกต่างกัน (เป็นอย่างใดอย่างหนึ่ง $g^{a \cdot b}$ หรือ $g^r$ และคุณบอกว่าภายใต้สมมติฐาน DDH ไม่มีเครื่องทัวริงเวลาโพลิโนเมียลเชิงความน่าจะเป็นที่มีประสิทธิภาพที่สามารถแยกความแตกต่างระหว่าง $g^{a \cdot b}$ และองค์ประกอบกลุ่มแบบสุ่ม