3 型配對組的強 LRSW 假設
為什麼 Ateniese 等人的“強 LRSW”假設。
$$ Untraceable RFID Tags via Insubvertible Encryption, CCS'05 $$僅適用於類型 3 配對而不適用於對稱配對?而 Lysyanskaya 等人的 LRSW 假設。$$ Pseudonym Systems, SAC'99 $$確實適用於所有類型的配對。
在 type-3 組中,在進行 oracle 查詢後,您可以看到 $ (g_1^a, g_1^{at}, g_1^{as+axst}, g_1^{ax}, g_1^{axt}) $ 但不是 $ g_1^s $ 或者 $ g_1^t $ (那些在 $ G_2 $ )。假設你有一個同態 $ G_2 \to G_1, g_2 \mapsto g_1 $ 所以你可以恢復 $ g_1^s $ 和 $ g_1^t $ .
從 oracle 呼叫你的元組 $ (A, B, C, D, E) $ 併計算 $ (Ag_1^r, B(g_1^t)^r, C(g_1^s)^r, D, E) $ 為 $ r $ 你的選擇。有一個獨特的價值 $ u \in \mathbb Z_p $ (在哪裡 $ p $ 是組序)使得 $ a+r = ua $ 如果我的數學是正確的,修改後的元組現在是一個正確的元組 $ a’ = ua $ 和 $ x’ = u^{-1}x $ ,甲骨文從未簽署過。
的確,對於 $ D, E $ 成分變數的變化 $ a \mapsto ua, x \mapsto u^{-1}x $ 不影響產品 $ a’x’ = ax $ 所以我們可以不理他們。為了 $ C $ ,指數為 $ as + axst $ ,第二個加法沒問題,但第一個加法有 $ as = a’u^{-1}s $ 所以我們想改變它 $ a $ 至 $ a’ $ . 我們不能直接這樣做,但是因為 $ au = a + r $ 我們可以通過添加來彌補差異 $ g_1^{rs} $ . 這種從乘法關係的變化(離開產品 $ ax $ 單獨)到一個加法(我們可以用來調整剩餘的項)是使這種攻擊起作用的原因。為了 $ A, B $ 然後我們也進行適當的調整。
請注意,您永遠不會真正了解 $ u $ , 或者 $ x’ $ . 這就是為什麼這不適用於您需要輸出的普通 LRSW $ x’ $ 也是。