Решающее предположение Диффи – Хеллмана - Decisional Diffie–Hellman assumption

В решающее предположение Диффи – Хеллмана (DDH) это предположение о вычислительной сложности об определенной проблеме, связанной с дискретные логарифмы в циклические группы. Он используется в качестве основы для доказательства безопасности многих криптографический протоколы, в первую очередь Эль-Гамаль и Криптосистемы Крамера – Шупа.

Определение

Рассмотрим (мультипликативный) циклическая группа порядка , и с генератор . Предположение DDH утверждает, что, учитывая и для единообразно и независимо выбранных , Значение "выглядит" случайным элементом в .

Это интуитивное понятие можно формально сформулировать, сказав, что следующие два распределения вероятностей вычислительно неразличимыйпараметр безопасности, ):

  • , куда и случайным образом и независимо выбираются из .
  • , куда случайным образом и независимо выбираются из .

Тройки первого вида часто называют DDH триплет или же Кортежи DDH.

Отношение к другим предположениям

Предположение DDH связано с дискретное логарифмическое предположение. Если бы можно было эффективно вычислять дискретные журналы в , то предположение DDH не будет выполняться в . Данный , можно было эффективно решить, сначала взяв дискретный из , а затем сравнивая с .

DDH считается сильнее предположение, чем предположение дискретного логарифма, потому что есть группы, для которых вычисление дискретных журналов считается трудным (и, таким образом, предположение DL считается истинным), но обнаружение кортежей DDH легко (и, следовательно, DDH ложно). Из-за этого требование, чтобы предположение DDH выполнялось в группе, считается более строгим требованием, чем DL.

Предположение DDH также связано с вычислительное предположение Диффи – Хеллмана (CDH). Если бы можно было эффективно вычислить из , то можно легко различить два приведенных выше распределения вероятностей. Как и выше, DDH считается более сильным предположением, чем CDH.

Другие свойства

Проблема обнаружения кортежей DDH заключается в случайный самовосстанавливающийся, что, грубо говоря, означает, что если это сложно даже для небольшой части входов, то это сложно почти для всех входов; если это легко даже для небольшой части входов, то это просто для почти всех входов.

Группы, для которых предполагается выполнение DDH

При использовании криптографического протокола, безопасность которого зависит от предположения DDH, важно, чтобы протокол был реализован с использованием групп, в которых, как предполагается, DDH хранит:

  • Подгруппа th остатки по простому модулю , куда также является большим простым числом (также называемым Группа Шнорра ). В случае , это соответствует группе квадратичные вычеты по модулю а безопасный прайм.
  • Простой порядок эллиптическая кривая над поле , куда первоклассный, при условии имеет большую степень вложения.
  • А Якобиан из гиперэллиптическая кривая над поле с простым числом приведенных делителей, где прост, если якобиан имеет большую степень вложения.

Важно отметить, что предположение DDH не держит в мультипликативной группе , куда простое. Это потому, что если является генератором , то Символ Лежандра из показывает, если четное или нечетное. Данный , и , таким образом, можно эффективно вычислить и сравнить младший бит , и , соответственно, что дает вероятностный метод различения из случайного элемента группы.

Предположение DDH не выполняется для эллиптических кривых над с малой степенью вложения (скажем, менее ), класс, который включает суперсингулярные эллиптические кривые. Это потому, что Спаривание Вейля или же Тейт-спаривание может использоваться для непосредственного решения проблемы следующим образом: на такой кривой можно вычислить и . По билинейности пар, два выражения равны тогда и только тогда, когда по модулю порядка . Если степень внедрения велика (скажем, около ), то предположение DDH все еще будет выполняться, потому что спаривание не может быть вычислено. Даже если степень вложения невелика, есть некоторые подгруппы кривой, в которых предположение DDH выполняется.

Смотрите также

Рекомендации

  • Бонех, Дэн (1998). Решающая проблема Диффи – Хеллмана. Труды Третьего симпозиума по теории алгоритмических чисел. Конспект лекций по информатике. 1423. С. 48–63. CiteSeerX  10.1.1.461.9971. Дои:10.1007 / BFb0054851. ISBN  978-3-540-64657-0.