為什麼要在 Naor 和 Pinkas 不經意轉移的小組中工作？

在 Naor 和 Pinkas 的論文第 4 節（協議 4.1）中

$$ 1 $$，為什麼作者決定在一個子組中進行操作？當他們說“消息在子組中”時，這是否意味著 $ x, y, z_0, z_1 $ , $ w_0, w_1 $ 並且加密密鑰在子組中，但私有值，例如 $ a, b, r_0, s_0 $ 等是不是？構造是否適用於任何子組，還是更典型的是使用二次殘基模素組？ 抱歉，如果這有點基本，任何關於如何在基於 DH 的協議中使用子組的參考也值得讚賞。

$$ 1 $$“高效的無意識傳輸協議” http://www.pinkas.net/PAPERS/effot.ps

該協議的安全性來自 DDH 假設，該假設僅在以素數組執行時才是安全的

$$ 1 $$. 更典型的群體，例如 $ \mathbb{Z}_p^* $ 不是素數，而是有序 $ p - 1 $ . 幸運的是，一個亞組 $ \mathbb{Z}_p^* $ ，即二次餘數模的集合 $ p $ 沒有這個問題。這回答了第一個問題。 要回答第二個問題，公共價值觀，例如 $ x, y $ 等等都在子組中。私有值是從 $ \mathbb{Z}_q $ ， 在哪裡 $ q $ 是子群的階（和生成器 $ g $ ).

最後，二次殘差集合是更容易理解的子群之一，但只要 DDH 很難，其他子群也是可能的。一些替代方案在

$$ 2 $$. $$ 1 $$Katz 和 Lindell，現代密碼學導論，第 7.3.3 章 $$ 2 $$Dan Boneh，決策 diffie-hellman 問題，第 1.1 節，http: //crypto.stanford.edu/~dabo/pubs/papers/DDH.pdf

引用自：https://crypto.stackexchange.com/questions/51572