Beslutningspraksis Diffie-Hellman antagelse

Den beslutningsprocessen Diffie-Hellman antagelse er en beregningsmæssige hårdhed antagelse om et bestemt problem, der involverer særskilte logaritmer i cykliske grupper. Det bruges som grundlag for at bevise sikkerheden i mange kryptografiske protokoller, især de EIGamal og Cramer-Shoup kryptosystemer.

Definition

Overvej en cyklisk gruppe af orden og med generator. Den Hedeselskabet antagelse, at i betragtning af, og for ensartet og uafhængigt valgt værdien "ligner" en tilfældig element i.

Denne intuitive forestilling formelt oplyst ved at sige, at følgende to sandsynlighedsfordelinger er beregningsmæssigt skelnes:

  • , Hvor og er tilfældigt og uafhængigt valgt fra.
  • , Hvor er tilfældigt og uafhængigt valgt fra.

Tredobler af den første slags kaldes ofte DDH tredobler eller DDH tupler.

Relation til andre forudsætninger

DDH antagelse er forbundet med den diskrete log antagelse. Hvis det var muligt effektivt at beregne diskrete logger på, så DDH antagelse ville ikke holde i. I betragtning af, man kunne afgøre, om effektivt ved først at tage den diskrete i og derefter sammenligne med.

DDH betragtes som en stærkere formodning end diskrete log, fordi der er grupper, som er let at detektere DDH tupler, men computing diskrete logs menes at være svært. Således kræver, at DDH antagelse holder i en gruppe er en mere begrænsende krav.

Den Hedeselskabet antagelse er også relateret til den beregningsmæssige Diffie-Hellman antagelse. Hvis det var muligt effektivt at beregne fra, så man kunne nemt skelne de to sandsynlighedsfordelinger ovenfor. I lighed med ovenfor er DDH betragtes som en stærkere formodning end CDH.

Andre egenskaber

Problemet med at detektere DDH tupler er tilfældigt self-reducerbare, hvilket betyder, groft, at hvis det er svært for selv en lille brøkdel af input, er det svært for næsten alle indgange; hvis det er let for selv en lille brøkdel af input, er det let for næsten alle indgange.

Grupper, som antages Hedeselskabet til at holde

Ved brug af en kryptografisk protokol, hvis sikkerhed afhænger af DDH antagelse, er det vigtigt, at protokollen er implementeret ved hjælp af grupper, hvor DDH menes at holde:

  • Undergruppen af ​​th rester modulo et primtal, hvor er også en stor prime. I tilfælde af, svarer til den gruppe af kvadratiske rester modulo et sikkert prime.
  • Den cykliske gruppe af orden kvadratiske rester modulo, hvor og er sikre primtal.
  • En prime-ordens elliptisk kurve over marken, hvor er et primtal, forudsat har store indlejring grad.
  • En Jacobi af en hyper-elliptisk kurve over marken med et primtal af reducerede divisorer, hvor er primtal, forudsat Jacobi har store indlejring grad.

Vigtigere, er antagelsen Hedeselskabet ikke holde i den multiplikative gruppe, hvor er et primtal. Dette skyldes givet, og kan man effektivt beregne Legendre symbol på, hvilket giver en vellykket metode til at skelne fra en tilfældig gruppe element.

Den Hedeselskabet antagelse holder ikke på elliptiske kurver over med små indlejring grad, en klasse, som omfatter supersingular elliptiske kurver. Dette skyldes, at Weil parring eller Tate parring kan anvendes til at løse problemet direkte som følger: afgivet på sådan en kurve, kan man beregne og. Ved bilinearity af bindinger, de to udtryk er ens hvis og kun hvis modulo rækkefølgen af. Hvis indlejring graden er stor derefter den antagelse DDH vil stadig holde fordi parringen ikke kan beregnes. Selv om indlejring grad er lille, er der nogle undergrupper af kurven, hvor DDH antagelse menes at holde.

  0   0
Forrige artikel Amaurys Valle
Næste artikel Alfred Henry Maurer

Kommentarer - 0

Ingen kommentar

Tilføj en kommentar

smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile
Tegn tilbage: 3000
captcha