Miles、Sahai 和 Zhandry 的論文中的“類型 1 查詢”模型是什麼?
在論文Annihilation Attacks for Multilinear Maps: Cryptanalysis of Indistinguishability Obfuscation over GGH13中,作者在第 2 節中提出了一個抽像模型來分析 $ i\mathcal{O} $ 和目前的多線性映射候選。
在這個模型中,攻擊者可能會執行兩個查詢,但我現在對第一個感興趣:Type 1查詢,其工作原理如下:
攻擊者有一個多項式 $ p_k = p_k^{(0)}({X_j}, {Z_i}) + gp_k^{(1)}({X_j}, {Z_i}) + g^2p_k^{(2)}({X_j}, {Z_i}) + … $ 關於變數 $ X_j $ , $ Z_i $ , 和 $ g $ ,它可以將這個多項式送出給挑戰者。然後,挑戰者以下列方式回答:
如果 $ p_k $ 同為 0,則敵手收到 $ \perp $ 作為回報。如果 $ p_k^{(0)} $ 不等於0,則敵手收到 $ \perp $ 作為回報。如果 $ p_k $ 不是0但 $ p_k^{(0)} $ 相同為0,則攻擊者收到一個新變數的句柄 $ W_k $ , 設置為 $ p_k / g = p_k^{(1)}({X_j}, {Z_i}) + gp_k^{(2)}({X_j}, {Z_i}) + … $ .
所以,這是我的疑問……乍一看,在我看來,這個查詢試圖模擬攻擊者可以乘以零測試參數的事實 $ p_{zt} := [hz^kg^{-1}]_q $ 通過高級編碼 $ u $ 它有(好像他/她會測試 $ u $ 編碼一個零)但沒有結束測試以獲得一個位(編碼或不編碼零),取而代之的是另一個環元素。
在這種情況下,多項式 $ p_k $ 將建模一個級別- $ k $ 編碼。因此,符號的兩種情況 $ \perp $ 返回是有道理的,但是第三種情況很奇怪,因為我看不到返回的表達式 $ p_k / g $ 可以從 $ p_{zt} $ . 好像值 $ hz^k $ 失踪了,我的意思是,我期待著
$$ p_k \cdot p_{zt} = hz^k p_k / g = hz^k p_k^{(1)}({X_j}, {Z_i}) + hz^kgp_k^{(2)}({X_j}, {Z_i}) + … $$ 將被退回。
那麼,我是否正確地假設這個查詢真的模擬了通過公共參數執行產品的能力 $ p_{zt} $ ?
如果是這樣,價值如何 $ p_k / g $ 被退回?
根據作者在 CRYPTO 2016 上的展示(可在 youtube 上獲得),我們看到 Type 1 查詢實際上是在模擬攻擊者將零測試參數乘以其所具有的值的能力。
關鍵是這個抽象查詢是保守的,因為它賦予攻擊者更多的權力,而不是在多線性地圖設置中的實際應用中(先驗)。此外,這個查詢是這樣建模的,因為如果攻擊者可以獲得我描述為預期的表達式,那麼她/他也可以獲得查詢返回的那些(例如,通過恢復 $ g $ 並劃分價值 $ p_k $ 她/他必須得到 $ p_k / g $ ).