อนุญาต $\mathbb{G}$ เป็นคณะลำดับเอก $p$ ด้วยเครื่องกำเนิดไฟฟ้า $g$. สมมติว่าฉันสุ่มเลือก $r_1,z_1 \leftarrow \mathbb{Z}_p$ และ $r_2, z_2 \leftarrow \mathbb{Z}_p$ และ $c \leftarrow \mathbb{G}$. อนุญาต $\alpha = g^{r_1z_1}g^{c}$ และ $\beta = g^{r_2z_2}g^c$. ด้วยความปลอดภัยทางความหมายของการเข้ารหัส El-Gamal ทั้งคู่ $\alpha$ และ $\เบต้า$ แยกไม่ออกจากตัวเลขสุ่ม ... สมมติว่า $\alpha$ และ $\เบต้า$ ถูกเข้ารหัสโดยใช้บิตสตริง มีผลหรือไม่ที่ XOR ของพวกมันแยกไม่ออกจากตัวเลขสุ่มหรือการสุ่มเทียม เช่น. $\alpha \oplus \beta$ แยกไม่ออกจากตัวเลขสุ่ม
(â¦) คือ $\alpha\oplus\beta$ แยกไม่ออกจากตัวเลขสุ่ม?
โปรดทราบว่าเราจำเป็นต้องแปลง $\alpha$ และ $\เบต้า$ เป็น bitstrings เพื่อนำไปใช้ XOR ระดับบิต. ดังนั้นเราจึงคำนวณจริงๆ $\ขีดเส้นใต้\alpha\oplus\ขีดเส้นใต้\beta$ ที่ไหน $\ขีดเส้นใต้\gamma$ is เป็นสัญกรณ์สำหรับการแสดงที่กำหนดไว้โดยเฉพาะขององค์ประกอบกลุ่มตามอำเภอใจ $\gamma$ เป็นบิตสตริงขนาดคงที่ และถามว่า $\ขีดเส้นใต้\alpha\oplus\ขีดเส้นใต้\beta$ เป็นบิตสตริงแบบสุ่ม คำตอบจะขึ้นอยู่กับตัวแทนที่ใช้
เป็นเรื่องง่ายที่จะหาตัวอย่างที่ชัดเจนด้วยกลุ่มการเข้ารหัสและการเป็นตัวแทนที่คุ้นเคย เช่น กลุ่มย่อยของ สารตกค้างกำลังสอง ของ กลุ่มคูณ โมดูโล $(2p+1)$, เมื่อไร $p$ เป็นการสุ่มครั้งใหญ่ โซฟี แชร์กแมง ไพรม์ พูด 1999 bits¹ และบิตชั้นนำ 1010และการแสดงองค์ประกอบของกลุ่มเป็นบิตสตริง 2,000 บิตต่อ บิ๊กเอนด์ การประชุม $\ขีดเส้นใต้\alpha$ และ $\ขีดเส้นใต้\เบต้า$ เป็นบิตสตริง 2,000 บิตที่มีอคติต่อ 0 ในสองบิตแรก และมีอคติที่คล้ายกัน (แต่ต่ำกว่า) ในสองบิตแรกของ $\ขีดเส้นใต้\alpha\oplus\ขีดเส้นใต้\beta$.
ในทางกลับกัน ถ้าในข้างต้นเราแทนที่ 1010 กับ 111â¦111 พูดมากกว่า 200 บิต² แล้ว $\ขีดเส้นใต้\alpha$ จะแยกไม่ออกจากการสุ่มยกเว้นการเป็นตัวแทนของ $\alpha$ นั่นคือเศษซากกำลังสอง อย่างไรก็ตามเรื่องนี้และ $\alpha$ และ $\เบต้า$ ไม่เป็นอิสระอย่างเคร่งครัด ฉันเดาว่าเอฟเฟกต์ทั้งสองนั้นอ่อนแอพอ $\ขีดเส้นใต้\alpha\oplus\ขีดเส้นใต้\beta$ แยกไม่ออกจากการคำนวณจากการสุ่ม
สำหรับการแทนองค์ประกอบกลุ่มเป็นบิตสตริง เราสามารถประดิษฐ์การแทนค่าอื่นที่มีขนาดเท่ากันได้โดยใช้ Pseudo Random Permutation ที่คำนวณได้สาธารณะอย่างมีประสิทธิภาพและพลิกกลับได้กับการแทนค่า คุณสมบัติของกลุ่มยังคงอยู่ การเข้ารหัส ElGamal ยังคงใช้งานได้และปลอดภัยเท่าเทียมกัน และตอนนี้สำหรับทุกคน $p$ ใหญ่พอที่ DLP จะยาก $\ขีดเส้นใต้\alpha\oplus\ขีดเส้นใต้\beta$ สามารถพิสูจน์ความแตกต่างทางคอมพิวเตอร์จากการใช้คุณสมบัติของ PRP แบบสุ่ม
¹ การเข้ารหัส ElGamal นั้นมีความปลอดภัย ซึ่งเป็นนัยในคำถาม
² เราอาจต้องการเพิ่มขนาดบิตของ $p$ เล็กน้อยเพื่อชดเชยปัญหาลอการิทึมไม่ต่อเนื่องที่คลี่คลายลงเล็กน้อย $p$ อยู่ใกล้ยกกำลังสอง
³ คุณลักษณะที่สามารถทดสอบได้อย่างมีประสิทธิภาพโดยการตรวจสอบว่าสัญลักษณ์เลเจนเดร $\left(\frac\alpha{2p+1}\right)\,\underset{\text{def}}=\,\alpha^p\bmod(2p+1)$ เป็น $+1$
â´ สังเกตว่า $\alpha^{-1}\beta\bmod(2p+1)$ เป็นองค์ประกอบที่มีอคติเล็กน้อยของกลุ่ม
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
