Diffie-Hellman 問題：DH 是否仍然安全，如果G一個2G一個2g^{a^2}知道嗎？

讓， $ g^{a} $ , $ g^{b} $ 是已知元素，其中 $ g\in G $ 和 $ a, b\in Z_q $ . 根據計算 Diffie-Hellman (CDH) 假設，很難計算 $ g^{ab} $ .

如果 $ g^{a^2} $ 也知道那麼它是否仍然屬於計算 Diffie-Hellman假設？換句話說，如果 $ g $ , $ g^{a} $ , $ g^{b} $ , $ g^{a^2} $ 和 $ q $ 是已知的，是否仍然難以計算 $ g^{ab} $ ?

不，假設“給定 $ g, g^a, g^b, g^{a^2} $ , 無法計算 $ g^{ab} $ " 不知道可以簡化為 CDH 假設。事實上，我們甚至可以證明通用組模型中的分離（這意味著，不可能通過以黑盒方式使用組操作來建構這樣的簡化）。直覺地說，這是因為我們不知道如何在給定 CDH 實例的情況下生成第一個假設的實例：它需要計算 $ g^{a^2} $ 從 $ g^a $ ，這已經相當於打破了CDH假設。然而，這個假設仍然是一個合理的假設：一個安全性會降低到這個假設的方案在加密社區中將被認為是安全的。事實上，這種類型的許多假設是 CDH 假設的變體，在加密社區中很常見。

引用自：https://crypto.stackexchange.com/questions/54307