Discrete-Logarithm

離散日誌作為承諾的解決方案

  • April 23, 2021

離散對數的解是一個合理的承諾方案嗎?

根據我的分析,以下方案是一個合理的承諾方案:讓 $ p $ 和 $ q $ 是大素數,使得 $ q∣(p−1) $ , 讓 $ g $ 成為訂單的生成者- $ q $ 的子群 $ Z^*_P $ . 讓 $ m $ 是一個值 $ Z_q $ , 和 $ c=g^m\text{ mod }p $ . 承諾是 $ c $ 並打開承諾,發件人透露 $ m $ .

我相信這個方案是:

  • (完美?)綁定:離散對數只有一個解,因此發送者不能透露另一個值, $ m’ $ , 這樣 $ c= g^{m’}\text{ mod }p $
  • (計算上?)隱藏:顯然,這個方案並不是完美的隱藏。但是假設離散對數很難,接收者或對手無法在揭示之前確定送出的消息,所以我相信這提供了計算隱藏。

我對綁定和隱藏屬性的分析是否正確?是否還有其他隱藏和綁定無法捕捉到的缺陷?

顯然,這個方案並沒有完美隱藏。但是假設離散對數很難,接收者或對手無法在揭示之前確定送出的消息,所以我相信這提供了計算隱藏。

如果接收方沒有其他資訊 $ m $ ,那麼你是對的。

另一方面,我們通常假設他有一些資訊;酸性測試是“如果接收方知道承諾的價值是 $ m_0 $ 或者 $ m_1 $ ,他仍然無法從承諾中確定是哪一個”。

顯然,您的方法(或就此而言,任何確定性方法)無法滿足該要求;您需要包含一些隨機性才能滿足此標準。

引用自:https://crypto.stackexchange.com/questions/89541