離散對數問題的具有選定位的群元素分佈和難度
用於發電機 $ g $ 有秩序的 $ n $ 組元素 $ y=g^x $ 反對 $ n $ 由於模運算,它們是均勻分佈的。
然而,假設從原始輸出空間 $ Y $ , 我們只考慮那些元素 $ y $ 它們的二進製表示中有一些“固定”位。例如,對於 $ y = y_1,y_2…y_m $ (在哪裡 $ y_i $ 是 m 位表示的位 $ y $ ),考慮輸出空間 $ Y’ $ 哪裡都有 $ y \in Y’ $ 有一個靜態位 $ y_i $ 處於一個位置 $ i $ 放。那些是 $ x $ 是有效的,使得 $ g^x \in Y’ $ (還有補集 $ \bar{Y’} $ ) 仍然均勻分佈?換句話說,在考慮輸出空間時,離散對數問題的難度是否相等 $ Y $ 和 $ Y’ $ ? 由於模運算和循環組,我的直覺說是的,但我正在尋找一個更有說服力的答案(有案例 $ n $ 是質數或 2 的冪)
我看過談論“比特安全”的作品(例如https://dl.acm.org/doi/pdf/10.1145/972639.972642),但這些都是關於比特安全的 $ x $ ,而我正在考慮位的“逆”問題 $ y $ ..
更新 20220330:問題澄清後的新答案;保留舊答案以理解評論。
我認為您要問的是 $ y $ 充當單向函式的反函式的核心函式(在這種情況下,離散對數函式取模 $ n $ )。有關核心功能的背景,請參見例如第 2.4 節密碼學基礎)。但是,如果單向函式的逆很容易計算(在您的情況下是正確的,因為可以在多項式時間內計算冪函式),那麼就沒有核心函式。
密碼學家不會根據均勻分佈來表達這一點,而是根據可以在多項式時間內計算並提供非平凡優勢的鑑別器(參見註釋的定義 2.4)。他們說謂詞 $ b(y) $ 是鐵桿的 $ f $ 如果對於所有多項式時間鑑別器,我們有 $$ \mathbb P(A(f(U_n)),1^n)=b(U_n)<1/2+1/p(n). $$ 在你的情況下 $ f $ 是函式 $ y=g^x\mod n\mapsto x $ 和你的功能 $ b $ 是個 $ i $ 第一點 $ y=g^x\mod n $ . 但是,我有反例鑑別器 $ A(z,1^n) $ 這是計算 $ g^z\mod n $ (在多項式時間內)並查看 $ i $ 位。這以機率 1 區分答案,因為第一個參數 $ f(y)=x $ 它返回 $ b(y) $ .
換句話說,存在計算上可驗證的缺乏一致性,因為我可以快速測試 $ x $ 值以查看它們是否產生位於 $ Y’ $ .
老答案。
是的。讓 $ |Y’|=M $ 然後讓 $ z $ 是任何元素 $ Y’ $ 那麼貝氏定理告訴我們 $$ \mathbb P(g^x\mod n=z|g^x\mod n\in Y’)=\frac{\mathbb P(g^x\mod n=z)\mathbb P(g^x\mod n\in Y’|g^c\mod n=z)}{\mathbb P(g^x\mod n\in Y’)}. $$ 我們現在註意到 $ \mathbb P(g^x\mod n=z)=1/\phi(n) $ (通過問題中提到的一致性), $ \mathbb P(g^x\mod n\in Y’|g^c\mod n=z)=1 $ 然後 $ \mathbb P(g^x\mod n\in Y’)=M/\phi(n) $ (再次通過問題的一致性)。因此 $$ \mathbb P(g^x\mod n=z|g^x\mod n\in Y’)=1/M $$ 對所有人 $ z\in Y’ $ 它描述了均勻分佈。