ความปลอดภัยของตัวแปร DDH

ให้ Adv เป็นข้อได้เปรียบของตัวแปร และ Adv_DDH เป็นข้อได้เปรียบของ DDH ถ้าอย่างนั้น จริงหรือไม่ที่ $Adv \le c* Adv_DDH$ สำหรับค่าคงที่ $c$

การกระจายเชิงลบคืออะไร (นั่นคือการกระจายที่ Oracle คาดว่าจะพูดว่า 'เท็จ') มันคือ $(g, g^a, g^b, g^c, g^d, g^e, g^f)$ หรือไม่ หรือ $(g, g^a, g^b, g^c, g^{ab}, g^{bc}, g^d)$ (สำหรับการเรียงลำดับของสามคำสุดท้าย)

@poncho ขอบคุณสำหรับความคิดเห็น $(g,g^a,g^b,g^c,g^d,g^e,g^f)$ ถูกต้อง นั่นคือ ข้อสันนิษฐานที่แตกต่างกันคือว่าฝ่ายตรงข้าม PPT ใด ๆ ยากที่จะแยกแยะระหว่าง $(g,g^a,g^b,g^c,g^d,g^e,g^f)$ และ $(g, g^a,g^b,g^c,g^{ab},g^{bc},g^{ca})$ ฉันคิดว่าข้อได้เปรียบอาจถูกผูกไว้โดย $c\cdot Adv_{DDH}$ สำหรับบาง $c$ ตั้งแต่ได้รับคำค้นหาที่ท้าทาย $(g,g^a,g^b,g^c,g^d,g^e ,g^f)$ หากฝ่ายตรงข้ามของตัวแปรสามารถเข้าถึง oracle เพื่อแก้ปัญหา DDH เขาสามารถลอง 3-tuples ที่เป็นไปได้ทั้งหมด มันใช่เหรอ?

เรามีคำถามที่คล้ายกัน https://crypto.stackexchange.com/q/98535/18298

@kelalaka ขอบคุณค่ะ

คำถามนี้เป็นภาษาอื่นๆ: