결정 디피-헬먼 가정

결정론 디피-헬만(DDH) 가정은 주기적 그룹의 이산 로그와 관련된 특정 문제에 대한 계산적 경도 가정이다.그것은 많은 암호 프로토콜, 특히 ElGamal과 Cramer–의 보안을 증명하는 근거로 사용된다.암호 시스템을 션프하십시오.

정의

순서 $q{\displaystyle }$ ${\displaystyle q}$및 제너레이터 $g{\displaystyle }$ ${\displaystyle g}$의 (복제) 순환 그룹 $G{\displaystyle }$ ${\displaystyle G}$을(를) 고려하십시오$.$The DDH assumption states that, given ${\displaystyle g^{a}}$ and ${\displaystyle g^{b}}$ for uniformly and independently chosen ${\displaystyle a,b\in \mathbb {Z} _{q}}$, the value ${\displaystyle g^{ab}}$ "looks like" a random element in ${\displaystyle G}$.

이러한 직관적인 개념은 다음과 같은 두 가지 확률 분포를 계산적으로 구별할 수 없다고 말해 공식적으로 진술할 수 있다($보안{\displaystyle }$ 매개변수에서 n${\displaystyle }$= ${\displaystyle \log }$⁡ (${\displaystyle q}$) ${\displaystyle$ n$=\log(q)}).$

• ${\displaystyle (}$ ${\displaystyle {}^{}}$ ${\displaystyle a^{}}$ ${\displaystyle {}^{}}$ ${\displaystyle b^{}{}^{}}$ ${\displaystyle g^{}}$ ${\displaystyle b^{}}$ ) ${\displaystyle (g^{a},g^{b},g^{ab$ $여기$서 ${\displaystyle a}$ 및$$ $b{\displaystyle }$ ${\displaystyle b}$은(으) $Z{\displaystyle {\mathbb{}}_{}}$ ${\displaystyle {}_{}}$ ${\$ _{q}}}}}}에서 임의로 선택된다$.$
• ${\displaystyle (}$ ${\displaystyle {}^{}}$ ${\displaystyle a^{}}$ g ${\displaystyle b^{}}$ ${\displaystyle {}^{}}$ ${\displaystyle c^{}}$) ${\displaystyle (g^{a},g^{b},g^{c$ $여기$서 a$,$ $,c}$는 $Z{\displaystyle {\mathbb{}}_{}}$ ${\displaystyle {}_{}}$ ${\$에서 임의로 선택된다$.$

제1종 3배는 흔히 DDH 3배 또는 DDH 3배라고 불린다.

다른 가정과의 관계

DDH 가정은 이산 로그 가정과 관련이 있다.$만일{\displaystyle }$ G ${\displaystyle G$에서 이산 로그를 효율적으로 계산할 수 있다면 DDH 가정은 G ${\displaystyle G}$에서 유지되지 않을 것이다$.$ 주어진${\displaystyle }$(${\displaystyle {}^{}}$ ${\displaystyle a^{}}$ ${\displaystyle {}^{}}$, ${\displaystyle b{}^{}}$ z${\displaystyle }$) ${\displaystyle(g^{a},g$$^{b$$},$$z$$)\},$ $z{\displaystyle }$= ${\displaystyle g^{}}$ = g ${\$을 먼저 취함으로써$$ 효율적으로 결정할 수 있다.${\displaystyle {\mathrm{로그}}_{}}$ ${\displaystyle g_{}}$ ${\$$displaystyle g^{a$의 g ${\displaystyle a^{}}$ ${\$displaystyle g^$_{g}$를 선택한 다음${\displaystyle {}^{}{}^{}}$z ${\displaystyle z}$와 $({\displaystyle g^{}}$ ) ${\displaystyle a^{}}$ ${\$})^{a$}}}$를 비교하십시오$.$

DDH는 이산 로그의 계산이 어렵다고 생각되는 그룹(그리고 DL 가정은 사실이라고 믿음)이 있기 때문에 이산 로그 가정보다 강한 가정으로 간주되지만 DDH 튜플을 검출하는 것은 쉽다(따라서 DDH는 거짓이다).이 때문에, DDH 가정이 그룹 내에서 유지되도록 요구하는 것은 DL보다 더 제한적인 요구조건으로 여겨진다.

DDH 가정은 계산 Diffie-와도 관련이 있다.헬맨 가정(CDH).만약${\displaystyle }$(${\displaystyle {}^{}}$ ${\displaystyle a^{}}$ ,${\displaystyle {}^{}{}^{}}$ $){\displaystyle (g^{a},g^{b$로부터 $g{\displaystyle {}^{}}$ ${\displaystyle a^{}}$ ${\$ ($g^{$a},g^{$b}})$를 효율적으로 계산할 수 있다면 위의 두 가지 확률 분포를 쉽게 구별할 수 있을 것이다.위와 유사하게 DDH는 CDH보다 강한 가정으로 간주된다.

기타 속성

DDH 튜플을 검출하는 문제는 무작위 자체 축소 가능, 즉 대략적으로 입력의 작은 부분이라도 어렵다면 거의 모든 입력에 어려움이 없고, 입력의 작은 부분이라도 쉽다면 거의 모든 입력에 용이하다는 것이다.

DDH가 유지되는 것으로 간주되는 그룹

DDH 가정에 따라 보안이 좌우되는 암호 프로토콜을 사용할 때는 DDH가 다음을 보유한다고 생각되는 그룹을 사용하여 프로토콜을 구현하는 것이 중요하다.

• $k{\displaystyle }$ ${\displaystyle k}$의 하위 그룹은 $prime{\displaystyle }$ p ${\displaystyle p}$을(를) 모듈화하며$,$ ${\displaystyle 여기}$서 $({\displaystyle \mathrm{p}}$- 1${\displaystyle }$)${\displaystyle }$/ k ${\displaystyle (p-1)/k}$도 큰 prime(Shnorr 그룹이라고도 한다.$k{\displaystyle }$= ${\displaystyle 2}$ ${\displaystyle k=2}$의 경우$,$ 이것은 안전한 프라임 모드의 2차 잔류물 그룹에 해당한다.
• $E{\displaystyle }$ ${\displaystyle E}$이(가) 큰 내장도를 갖는 경우$,$ $여기$서 p$${\$displaystyle$p}이$$(가) prime인 $GF(p)$ 필드$$ 위에 있는 프라임 순서 타원 $곡선{\displaystyle }$ E$${\$displaystytle$ E$}$이(가)가 큰 내장도를 갖는$$ 경우.
• Jacobian의 내장도가 크다면 $P{\displaystyle }$ ${\displaystyle p}$이(가)가 가장$$ 높은 절연체 수를 갖는 G F (${\displaystyle p}$ $){\displaystyle GF(p)}$ 필드 위로 초엘리틱 곡선의 Jacobian.

중요한 것은 DDH 가정이 승수 그룹 $Z{\displaystyle {\mathbb{}}_{}^{}}$ ${\displaystyle {}_{}^{}}$ ${\displaystyle {}_{}^{}}$ ${\$ {$Z} _{p}^{*}$에서 유지되지 않는다는 것이다$.$ 여기서 $p{\displaystyle }$ ${\displaystyp p}$은(는) prime이다.$왜냐하면{\displaystyle }$ g ${\displaystyle g}$이(가$)$ ${\displaystyle {}_{}^{}}$ p${\displaystyle {}_{}^{}}$∗ ${\$ {$Z} _{p}^{*}}$의 생성자인 경우 $g{\displaystyle {}^{}}$ ${\displaystyle a^{}}$ ${\displaystyle g^{$$a}$의 범례 기호(leder)가 짝수인지$$ 또는 홀수인지를 나타내기$$ 때문이다.$따라서{\displaystyle {}^{}}$ g ${\displaystyle a^{}}$ ${\$ $g$$^{a$ $g{\displaystyle {}^{}}$ $b{\displaystyle {}^{}}$ ${\$ $g$$^{b},$ ${\displaystyle g^{}}$$$ ${\$$displaystyle g^{$$ab$ 확률론적 방법 t를 제공하는 $각각{\displaystyle }$$${\$displaystyle$a$\},$ ${\displaystyle b}$$$${\displaystystyle ab$의 최소 비트를 효율적으로 계산하고 비교할 수 있다.$o{\displaystyle {}^{}}$ g ${\displaystyle b^{}}$ ${\$를 임의의 그룹 요소와$$ 구별한다.

DDH 가정은 작은 내장 정도(${\displaystyle {예}^{}}$: ${\displaystyle {log\mathrm{}}^{}}$ 2${\displaystyle {}^{}(}$ ( ${\displaystyle p}$) ${\displaystyle \log ^{2}(p)})$인 $G{\displaystyle F}$ ($){\displaystyle GF(p)}$ 위에 있는 타원 곡선에는 적용되지 않는다.$$This is because the Weil pairing or Tate pairing can be used to solve the problem directly as follows: given ${\displaystyle P,aP,bP,cP}$ on such a curve, one can compute ${\displaystyle e(P,cP)}$ and ${\displaystyle e(aP,bP)}$. By the bilinearity of the pairings, the two expres${\displaystyle b}$= ${\displaystyle c}$ ${\displaystyle ab=c}$이($가{\displaystyle }$) P$${\$displaystyle P}$의 순서로 표시되는 경우에만$$ 시온은 동일하다$.$ 내장도가 크면($p{\displaystyle }$ ${\displaystyle$ p$}$의 크기라고 함$)$ 쌍을 계산할 수 없기 때문에 DDH 가정은 여전히 유지된다.내장도가 작더라도 DDH 가정이 지탱한다고 여겨지는 곡선 일부 부분군이 있다.

참고 항목

• 디피-헬만 문제
• Diffie-Hellman 키 교환
• 계산 경도 가정
• XDH 가정
• 의사결정 선형 가정

참조

• Boneh, Dan (1998). The Decision Diffie–Hellman Problem. Proceedings of the Third Algorithmic Number Theory Symposium. Lecture Notes in Computer Science. Vol. 1423. pp. 48–63. CiteSeerX 10.1.1.461.9971. doi:10.1007/BFb0054851. ISBN 978-3-540-64657-0.