使用加法映射建構密碼原語?
假設我們有一個單向函式F(x),它表現出屬性 F(a + b) = F(a) + F(b)。這樣的函式可以用作密碼原語,不是嗎?
是的,取一個橢圓曲線組 $ E $ 有一點 $ P $ 素數的 $ p $ 這樣離散對數問題就很難了。然後我們有一個循環子群 $ \langle P\rangle $ 的 $ E $ 由產生 $ P $ 有秩序的 $ p $ .
定義地圖 $ F: \mathbb{Z}_p \rightarrow \langle P\rangle $ 作為 $ F(a):=a\cdot P $ (標量乘法),它給你這樣一個線性映射(同態,實際上它是一個同構),就像你所擁有的那樣 $ F(a+b)=F(a)+F(b) $ . 顯然,如果離散對數問題很難,則此映射是單向的。第一個添加在 $ \mathbb{Z}_p $ 第二個加法是橢圓曲線組中的“抽象”加法。
當使用橢圓曲線實例化基於 DL 的加密時,這一事實被用於各種構造,例如同態承諾,使 ElGamal 加性同態(又名指數 ElGamal)等。
在LWE 假設下,在某種意義上是的。
對於矩陣 $ A \in \mathbb{Z}_q^{m \times n} $ , 兩個向量 $ s \in \mathbb{Z}_q^{n} $ 和 $ x \in \mathbb{Z}_q^{m} $ ,我們定義
$$ F_A(s,x) = As + x \in \mathbb{Z}_q^{m}. $$ 在 LWE 假設下,函式族是單向的,當函式索引 $ A $ 是隨機均勻選擇的, $ s $ 是隨機均勻選擇的,並且 $ x $ 是根據一個適當的分佈來選擇的,比如說,一個折疊的高斯 $ \mathbb{Z}_q $ 變異數很小。
顯然,這個函式是加法同態的,也就是說,
$$ F_A(s,x) + F_A(t,y) = F_A(s+t,x+y). $$