Score:0

มีห้องใต้ดินหรือไม่วิธีการ $f,g,h$ ซึ่งการเดินทางและการค้นหา $x$ สำหรับ $c=f^ig^jh^k(x)$ นั้นยากกว่า $O(i+j+k)$ แต่มีเพียง $

ธง at

มีวิธีการเข้ารหัสใดบ้าง $f,g,h$ ซึ่งสามารถนำไปใช้ในการสั่งซื้อใด ๆ กับอินพุต $x$ ในขณะที่ยังให้ผลลัพธ์เหมือนเดิม $r$: $$f(g(h(x)))=h(g(f(x)))=ghf(x)=fhg(x)=hfg(x)=gfh(x) = r$$

เหมือนกันสำหรับฟังก์ชันผกผัน: $$f^{-1}(g^{-1}(h^{-1}(r)))=h^{-1}(g^{-1}(f^{-1}(r )))=g^{-1}(h^{-1}(f^{-1}(r))) =...= x$$

ถ้าตอนนี้ $f,g,h,$ นำไปใช้ $i,j,k$- ครั้งในการป้อนข้อมูล $x$ ค้นหา/คำนวณ $x$ สำหรับ $ค$ $$c=f^i(g^j(h^k(x)))$$ ควรจะหนักที่สุดเท่าที่จะเป็นไปได้และใช้เวลามากกว่านี้ $O(|i|+|j|+|k|)$ ขั้นตอน
นอกจากนี้วิธีการ $f,g,h$ กำลังรักษารูปแบบ: $X \mapsto X$ดังนั้นทุกเอาต์พุตสามารถทำหน้าที่เป็นอินพุตใหม่ได้
จำนวนของค่าต่างๆ $|X|$ ควรมีขนาดเล็กที่สุดเท่าที่จะเป็นไปได้ในขณะที่ยังคงรักษาความปลอดภัยเพียงพอ
ขนาดสูงสุดควรเป็น: $$|X| < 2^{256}$$


โหนดเพิ่มเติม:
คอมพิวเตอร์ $f,g,h$ และการผกผันต้องใช้เวลาใกล้เคียงกันสำหรับแต่ละอินพุต (ไม่ขึ้นกับ $i,j,k$).

นอกจากนี้ $f,g,h$ ต้องเกิดวงจรเช่น $f(f(....f(x)...)) = x$ ด้วยขนาด $F,G,H$ กับ $F\ประมาณ G \ประมาณ H \gg 1$

และสุ่ม $x$ สามารถสร้างได้โดยไม่ต้องรู้พารามิเตอร์ลับจาก $f,g,h$ (ฝ่ายตรงข้ามสามารถเข้าถึงรหัสที่รันอยู่)


เป้า: ให้สองสุ่ม $x_1,x_2$ กับ $x_2=f^ig^jh^k(x_1)$ คำนวณ/หา $i,j,k$ ควรจะยากที่สุดเท่าที่จะเป็นไปได้ในขณะที่จำนวนที่แตกต่างกัน $x$ ควรมีขนาดเล็กที่สุด
ไม่เป็นที่นิยม แต่บางชุดของ $x_1,x_2$ อาจไม่มีก็ได้ $i,j,k$วิธีการ $f,g,h: X_d \mapsto X_d$ กับ $d<\ประมาณ 10$

ความปลอดภัยเป้าหมาย $\ประมาณ 2^{100}$ ขั้นตอน (= จำนวนของการคำนวณของ $ฉ,ก$ หรือ $h$ (หรือเทียบเท่า)) ที่จำเป็น
ด้วยความสมบูรณ์แบบ $f,g,h$ (ถ้ามี) ก็ควรต้องการเท่านั้น $|X| \ประมาณ 2^{150}$ (เช่น จุดตัดของเส้น $f^l(x_1)$ ด้วยพื้นผิว $g^mh^n(x_2)$)
(ฝ่ายตรงข้ามไม่มีคอมพิวเตอร์ควอนตัม)


คำถามที่เกี่ยวข้อง: หากเราเพิกเฉยต่อขนาดโดเมนสูงสุด $|X|<2^{256}$ คำตอบของฉัน คำถามที่คล้ายกันมาก นำไปสู่ขนาดใหญ่ $|X|$ เพื่อหลีกเลี่ยงการแยกตัวประกอบ ฉันกำลังมองหาขนาดเล็กที่สุด $|X|$.

kodlu avatar
sa flag
วงเล็บบางส่วนขาดหายไปในองค์ประกอบชุดแรก
J. Doe avatar
at flag
@kodlu คุณหมายถึง 'ghf(x)' หรือไม่ ฉันทิ้งมันไว้เพื่อดูภาพรวมที่ดีขึ้น หากพวกเขาเดินทางด้วยกันก็ไม่น่าจะสร้างความแตกต่าง หรือ?
Score:1
ธง my

นี่คือแนวคิดที่จะตอบสนองความต้องการที่ระบุไว้ทั้งหมดของคุณ ตอนนี้ไม่เป็นไปตามข้อกำหนดการเข้ารหัสที่สมเหตุสมผลอื่นๆ แต่คุณไม่เคยขอพวกเขา

นี่คือแนวคิด: เราทำงานในกลุ่ม Elliptic Curve ที่มีขนาดเหมาะสม (เช่น P224) ด้วยขนาดกลุ่ม $คิว$ (ซึ่งเป็นจำนวนเฉพาะ) และเลือกเครื่องกำเนิดไฟฟ้าสามเครื่อง $F, G, H$ (ด้วยความสัมพันธ์ที่ไม่รู้จัก; อาจสร้างขึ้นโดยใช้เมธอด Hash2Curve); และ:

$$f(X) = F + X$$

$$g(X) = G + X$$

$$h(X) = H + X$$

เห็นได้ชัดว่าการดำเนินการเหล่านี้เดินทางและเรามี $f^i(g^j(h^k(X))) = iF + jG + kH + X$.

ทำตามข้อกำหนดของคุณ:

ถ้าตอนนี้ $f,g,h$, นำไปใช้ $i,j,k$- ครั้งในการป้อนข้อมูล $x$ ค้นหา/คำนวณ $x$ สำหรับ $c = f^i(g^j(h^k(x)))$ ควรจะหนักที่สุดเท่าที่จะเป็นไปได้และใช้เวลามากกว่านี้ $O(|i|+|j|+|k|)$ ขั้นตอน

ฉันคิดว่าในข้อกำหนดนี้ ผู้โจมตีไม่ทราบค่าของ $i, j, k$ (เขารู้ช่วงสัมพัทธ์). ในกรณีนั้น การค้นหาที่ดีที่สุดที่ฉันสามารถหาได้เพื่อยืนยันค่า $ค$ ใช้เวลา $O( \sqrt{i \cdot j \cdot k } )$ เวลา (สมมติ $i \cdot j \cdot k < q$, อย่างชัดเจน); นี้มีขนาดใหญ่กว่า $O(i + j + k)$. การค้นหานี้ทำโดยการ $0F, 1F, ..., iF$, $0G, 1G, ..., jG$, $0H, 1H, ..., kG$แบ่งพวกเขาออกเป็นสองรายการโดยที่ผลรวมของสามรายการใดๆ ในสามรายการสามารถแสดงเป็นผลรวมของสองถ้ารายการอยู่ในรายการ จากนั้นใช้อัลกอริทึมสไตล์ 'ก้าวใหญ่/ก้าวน้อย'

นอกจากนี้วิธีการ $f,g,h$ กำลังรักษารูปแบบ: $X \ลูกศรขวา X$ดังนั้นทุกเอาต์พุตสามารถทำหน้าที่เป็นอินพุตใหม่ได้

ตราบใดที่คุณใจเย็น $X$ เป็นเซตของจุดโค้งวงรี เราทำได้ดีตรงนี้

ขนาดสูงสุดควรเป็น: $|X|<2^{256}$

ด้วย P-224 นี่เป็นเรื่องจริง

คอมพิวเตอร์ $f,g,h$ และการผกผันต้องใช้เวลาใกล้เคียงกันสำหรับแต่ละอินพุต (ไม่ขึ้นกับ $i,j,k$).

เราสบายดีที่นี่

นอกจากนี้ $f,g,h$ ต้องเกิดวงจรเช่น $f(f(....f(x)...))=x$ ด้วยขนาด $F,G,H$ กับ $F \ประมาณ G \ประมาณ H \gg 1$

จริง; $f, g, h$ ทั้งหมดมีการสั่งซื้อ $คิว$ซึ่งมากกว่า 1 มาก

คุณสามารถเลือกช่วงได้อย่างง่ายดาย $i, j, k$ เพื่อให้เป็นไปตามเป้าหมายการรักษาความปลอดภัย

ทีนี้ สิ่งหนึ่งที่ความคิดนี้ไม่มีให้ก็คือ $c, x$ กับ $c = f^i(g^j(h^k(x)))$มันเป็นเรื่องเล็กน้อยในการคำนวณ $c' = f^i(g^j(h^k(x')))$. แต่คุณไม่เคยถามว่ายาก...

dave_thompson_085 avatar
cn flag
ITYM f,g,h การเดินทางไม่ได้กระทำ
J. Doe avatar
at flag
ใช่ คุณพูดถูก นั่นไม่ใช่สิ่งที่ฉันกำลังมองหาจริง ๆ แต่เป็นคำตอบสำหรับคำถามที่เขียนไว้และยังมีแผนสำรองที่เป็นไปได้หากฉันไม่พบสิ่งที่ดีกว่า ฉันควรเพิ่มลำดับที่ $f,g,h$ กำลังสร้างมีค่าต่างกัน หรือสามารถสร้างค่าที่แตกต่างกันมากกว่าร่วมกัน หรือผลิตภัณฑ์ของขนาดลำดับแต่ละรายการควรใกล้เคียงกับ $|X|$ หรืออย่างน้อยที่สุดก็ทำเช่นนั้น ยากที่จะรวมทั้งหมดโดยไม่ต้องเขียนโรมันไม่มีใครอ่าน ดังนั้นขอขอบคุณสำหรับการตอบอีกครั้ง
J. Doe avatar
at flag
'ตราบใดที่คุณเจ๋งกับ $X$ ที่เป็นชุดของจุดโค้งวงรี เราก็ทำได้ดี' -> ฉันสบายดีกับทุกสิ่งที่สามารถสร้างขึ้นโดยการสุ่มโดยไม่ต้องมีความรู้เรื่องพารามิเตอร์ลับ นอกจากนี้ยังใช้ได้หากไม่สามารถสร้างสมาชิกบางคนของ $X$ โดยการสุ่ม ### 'ตอนนี้ สิ่งหนึ่งที่ไอเดียนี้ไม่มีให้ก็คือ $c$,$x$ with[..] -> นั่นไม่ใช่ปัญหา $i,j,k$ จะแตกต่างกัน (เกือบ) ในแต่ละครั้ง . $c$ และ $x$ ถูกเลือกโดยการสุ่ม และ $i,j,k$ ที่เกี่ยวข้องควรไม่รู้จัก/คำนวณยาก
J. Doe avatar
at flag
คุณช่วยบอกสั้นๆ หน่อยได้ไหมว่าทำไม $O(\sqrt{i\cdot j \cdot k})$ ได้โปรด ฉันแม้ว่ามันจะเป็น $O(\sqrt{q})$ (และถ้าเราถือว่า $q\equiv |X|$ และ $f,g,h$ เป็น *ไม่* สร้างค่าเดียวกัน (และไม่สามารถโอนไปยัง ซึ่งกันและกัน ดังนั้นกรณีการใช้งานที่ดีที่สุด (เท่าที่ฉันรู้))) มันจะเป็น $O(|X|^\frac{2}{3})$)

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา