離散對數問題是否適合這種配對方案?
讓 $ Ans $ 是兩個配對的乘積: $ e(g,h)^{k} \times e(g,h)^{r}=Ans $
如果每個人都只知道 $ [g,h,e(g,h)^{k}] $ 但 $ [r,Ans] $ 不知道。在離散對數問題中,使用者知道兩個值。在這個方案中,使用者只知道一個值。
離散對數問題是否適合這種方案?
首先,讓我們通過用已知常數替換攻擊者可以計算的東西來簡化方程。我們提出:
$$ a \cdot b^x = y $$ 攻擊者知道的地方 $ a $ (這是 $ e(g,h)^k $ ) 和 $ b $ (這是 $ e(g, h) $ ,他可以計算,因為他知道 $ g, h $ ),攻擊者求解 $ x, y $ .
如果攻擊者找到解決方案就足夠了*,*他就可以輕鬆做到;他可以隨機選擇 $ x $ , 並解決它 $ y $ ; 有一個解決方案。
如果他需要找到“正確”的解決方案(即可能的 $ x, y $ 滿足附加標準的一對),他沒有足夠的資訊來判斷它是哪一個。如果他知道附加標準是什麼,他也許能夠做到;這將取決於它的樣子。
我真的不確定您要做什麼。如果你只是想證明 $ Ans = e(g,h)^k \times e(g,h)^r $ 僅給出隱藏 $ (g,h,e(g,h)^k) $ ,那麼這是微不足道的,根本不需要任何假設(特別是不涉及離散對數問題)。確實,這完全等價於尋找問題 $ e(g,h)^r $ 只給 $ g $ 和 $ h $ , 對於一個未知數 $ r $ . 如果我們表示 $ \mathbb{G} $ 生成的組 $ e(g,h) $ , 那麼我們只知道一個生成器 $ \mathbb{G} $ , $ Ans $ 可以是任何元素 $ \mathbb{G} $ 因此沒有辦法猜測它(它不是來自任何假設,就像說“猜測我正在考慮的價值”而不告訴任何關於價值的東西)。