Diffie-Hellman

(如何)DDH一般是按複合順序分組嗎?

  • March 2, 2020

在最近的一次演講中,有人聲稱我無法支持自己,但這讓我很好奇它是否真的成立:

如果群的階不是素數,則 DDH 假設不成立。

所以我的問題很簡單:

假設僅組順序是複合的,一般如何破壞 DDH?或者是否存在一個複合訂單組,其中 DDH 被推測持有?


我的研究只導致了特殊情況 $ \mathbb Z^*_p $ 複合順序為 $ p-1 $ 甚至導致對 ElGamal 的可利用攻擊,這要歸功於 Legendre 符號包含破壞 DDH 的有用資訊,因為 ElGamal 被證明是 CPA 安全的,如果 DDH 持有。

這種說法是完全錯誤的。

DDH 在適當的複合階橢圓曲線上的安全性不僅被認為是成立的,而且它成立的假設已被廣泛用於密碼學。舉一個著名的例子,BGN 密碼系統最初是在復合階橢圓曲線(有一對)上定義的,幾年後被推廣到素階曲線。更一般地,當必須建立可行性結果時,依賴複合階橢圓曲線實際上是基於配對的密碼學的各個子領域的標準方法(參見例如這個IBE),因為在那裡獲得可行性結果通常要簡單得多。質數階橢圓曲線的選擇不是出於安全性,而是出於效率,因為一般來說複合階模數必須很大。

即使在橢圓曲線之外,DDH 在復合階群上也可以很好——例如,我的一篇論文在附錄中證明了 DDH 在 $ \mathbb{Z}^_n $ Jacobi 符號為 1 的元素的集合,這是一個複合階群,假設 DDH 包含兩者的平方子群 $ \mathbb{Z}^_p $ 和 $ \mathbb{Z}^*_q $ ( $ q $ 和 $ p $ 是主要因素 $ n $ ) 與二次剩餘性假設一起。這是許多例子之一,實際上很容易建立許多包含 DDH 的複合階群,假設 DDH 在該群的素數階子群中。

我不知道為什麼在您的演講中提出這種說法;唯一想到的是,如果模數包含小因素,那麼就會有一個直接的 CRT 攻擊,您可以將其投射到小組上。例如,DDH 不保留 $ \mathbb{Z}^*_p $ 本身,因為它是一組偶數,所以您可以將 DDH 實例投影到同構的子組 $ {-1,+1} $ (這相當於通過計算勒讓德符號來區分,正如您正確觀察到的那樣)。

引用自:https://crypto.stackexchange.com/questions/77954