Blinding

找回曾被蒙蔽數次的秘密

  • September 21, 2016

我正在分析一個協議,該協議在其中一個步驟中發送了一個不知情的秘密。讓我們指出秘密 $ x \in \mathbb Z_p^* $ (為了 $ p $ 素數)和盲目的秘密 $ y $ , 以便 $ y = r\cdot x \bmod p $ , 在哪裡 $ r $ 是一個隨機抽樣的致盲因子 $ \mathbb Z_p^* $ . 我們可以假設致盲因素不會重複。

該協議的多次執行將產生幾個 $ y_i $ 值,具有相同的固定秘密 $ x $ :

$$ y_1 = r_1 \cdot x \bmod p $$ $$ y_2 = r_2 \cdot x \bmod p $$ $$ … $$ $$ y_n = r_n \cdot x \bmod p $$ 只知道 $ y_i $ 值,檢索的最佳算法是什麼 $ x $ ?

如果我們只知道盲目的價值觀 $ y_i $ (和模數 $ p $ ),如果致盲因素 $ r_i $ 確實是從乘法組模中隨機採樣的 $ p $ ,我看不到任何恢復秘密的方法 $ x $ .

這是因為,對於任何盲值列表 $ y_i $ 和任何候選人 $ x $ 值,我們可以計算一個唯一的致盲值列表 $ r_i \equiv y_i \cdot x^{-1} \pmod p $ 那,當乘以 $ x $ 模組 $ p $ , 將準確地產生那些盲目的值。鑑於 $ r_i $ 值是隨機選擇的,這個特定的致盲值列表與任何其他值一樣可能。因此,這種盲目方案似乎是無條件安全的。

(此外,知識 $ r_i $ 值不能重複將無濟於事,因為它所暗示的只是 $ y_i $ 值也不會重複。如果我們確實觀察到重複 $ y_i $ 相同秘密的值 $ x $ ,我們就知道對應的 $ r_i $ 值必須相同,但仍不會獲得更多關於 $ x $ .)

引用自:https://crypto.stackexchange.com/questions/40121