Commitments

如果組的分解已知,藤崎的承諾是否具有約束力?

  • August 1, 2019

如果我理解正確的話,藤崎的承諾如下: $ g^m \cdot h^r $ 反對 $ n $ , 在哪裡 $ m $ 是一條消息, $ r $ 是一個隨機數,存在 $ a $ 這樣 $ h^a = g $ , 和 $ n $ 是 RSA 模數。

通常,當我閱讀有關該方案的討論時,承諾的持有者不知道 $ n $ .

是否要求承諾的創建者不知道組的順序?(注意下面添加的假設。)

編輯:請注意,該消息可以替換為 $ m+k\cdot \lambda(n) $ , 在哪裡 $ \lambda(n) $ 是順序 $ n $ . 雖然這是對承諾的威脅,但我更關心小價值的承諾( $ m << \lambda(n) $ ),因此像這樣打開承諾將被拒絕。所以我會改寫:

假設 $ m << \lambda(n) $ , 是一個 Fujisaki 承諾綁定,如果 $ n $ 知道嗎?

是的!請注意,在原始方案中,送出者不知道兩個秘密:

  1. 模數的因式分解: $ N=pq $
  2. 價值 $ a $ 這樣 $ h^a=g $ .

因此,即使分解已知,承諾方案仍然具有約束力。假設送出者想要打開承諾 $ c=g^m h^r \mod N $ 到不同的 $ (m^{},r^{}) $ . 這意味著她需要找到價值 $ (m^{},r^{}) $ 這樣:

$$ g^m h^r=g^{m^{}}h^{r^{}} \mod N  $$

$$ \iff g^{m-m^{}}h^{r-r^{}}=(h^a)^{m-m^{}}h^{r-r^{}}=1 \mod N  $$ 這等效地在指數中給出了以下等式: $$ \iff a(m-m^{})+(r-r^{})=0 \mod \phi(N)  $$

即使送出者知道 $ \phi(N) $ , 她不知道 $ a $ ,因此她不能破壞綁定屬性,除非她另外破壞 Discrete-Log in $ \mathbb{Z}^{}_p $ 或者 $ \mathbb{Z}^{}_q $ .

在藤崎承諾方案的大多數定義中, $ N $ 被選擇為安全素數的乘積,因此送出者甚至不能有效地使用 Pohlig-Hellman 算法來計算離散對數模素數。

微不足道,如果也 $ a $ 已知送出者,然後她可以解除對任何 $ m^{} $ 通過選擇合適的 $ r^{} $ 通過求解指數中的最後一個方程。

引用自:https://crypto.stackexchange.com/questions/71470