Rozhodnutí Lineární předpoklad - Decision Linear assumption

The Předpoklad lineárního rozhodování (DLIN) je předpoklad výpočetní tvrdosti použito v kryptografie eliptické křivky. Předpoklad DLIN je zvláště užitečný v nastavení, kde rozhodný předpoklad Diffie – Hellman nedrží (jak se často stává v kryptografie založená na párování ). Předpoklad Lineární předpoklad byl zaveden Boneh, Boyen a Shacham.^[1]

Neformálně předpoklad DLIN uvádí, že daný ${displaystyle (u ,, v ,, h ,, u ^ {x} ,, v ^ {y})}$ , s ${displaystyle u ,, v ,, h}$ prvky náhodné skupiny a ${displaystyle x ,, y}$ náhodných exponentů, je těžké rozlišit ${displaystyle h ^ {x + y}}$ z nezávislého prvku náhodné skupiny ${displaystyle eta}$ .

Motivace

Symetricky kryptografie založená na párování skupina ${displaystyle G}$ je vybaven párováním ${displaystyle e: Gimes G o T}$ který je bilineární. Tato mapa poskytuje efektivní algoritmus pro řešení rozhodující Diffie-Hellman problém. ^[2] Daný vstup ${displaystyle (g ,, g ^ {a} ,, g ^ {b} ,, h)}$ , je snadné zkontrolovat, zda ${displaystyle h}$ je rovný ${displaystyle g ^ {ab}}$ . Toto následuje pomocí párování: všimněte si toho

{displaystyle e (g ^ {a}, g ^ {b}) = e (g, g) ^ {ab} = e (g, g ^ {ab}).}

Pokud tedy ${displaystyle h = g ^ {ab}}$ , pak hodnoty ${displaystyle e (g ^ {a}, g ^ {b})}$ a ${displaystyle e (g, h)}$ bude se rovnat.

Protože tento kryptografický předpoklad je nezbytný pro budování Šifrování ElGamal a podpisy V tomto případě neplatí, jsou nutné nové předpoklady pro vytvoření kryptografie v symetrických bilineárních skupinách. Předpoklad DLIN je modifikací předpokladů typu Diffie-Hellman, aby zmařil výše uvedený útok.

Formální definice

Nechat ${displaystyle G}$ být cyklická skupina z primární objednat ${displaystyle p}$ . Nechat ${displaystyle u}$ , ${displaystyle v}$ , a ${displaystyle h}$ být jednotně náhodný generátory z ${displaystyle G}$ . Nechat ${displaystyle x, y}$ být jednotně náhodné prvky ${displaystyle {1,, 2,, dots ,, p-1}}$ . Definujte distribuci

{displaystyle D_ {1} = (u ,, v ,, h ,, u ^ {x} ,, v ^ {y} ,, h ^ {x + y}).}

Nechat ${displaystyle eta}$ být dalším jednotně náhodným prvkem ${displaystyle G}$ . Definujte další distribuci

{displaystyle D_ {2} = (u ,, v ,, h ,, u ^ {x} ,, v ^ {y} ,, eta).}

Předpoklad Lineární předpoklad uvádí, že ${displaystyle D_ {1}}$ a ${displaystyle D_ {2}}$ jsou výpočetně k nerozeznání.

Aplikace

Lineární šifrování

Boneh, Boyen a Shacham definují a šifrování veřejného klíče schéma analogicky k šifrování ElGamal.^[1] V tomto schématu jsou veřejným klíčem generátory ${displaystyle u, v, h}$ . Soukromý klíč jsou dva takové exponenty ${displaystyle u ^ {x} = v ^ {y} = h}$ . Šifrování kombinuje zprávu ${displaystyle min G}$ s veřejným klíčem k vytvoření šifrovacího textu

{displaystyle c: = (c_ {1} ,, c_ {2} ,, c_ {3}) = (u ^ {a} ,, v ^ {b} ,, mcdot h ^ {a + b})}

.

K dešifrování šifrovacího textu lze k výpočtu použít soukromý klíč

{displaystyle m ': = c_ {3} cdot (c_ {1} ^ {x} cdot c_ {2} ^ {y}) ^ {- 1}.}

Chcete-li zkontrolovat, zda toto schéma šifrování je opravit, tj. ${displaystyle m '= m}$ pokud se obě strany řídí protokolem, uvědomte si to

{displaystyle m '= c_ {3} cdot (c_ {1} ^ {x} cdot c_ {2} ^ {y}) ^ {- 1} = mcdot h ^ {a + b} cdot ((u ^ {a }) ^ {x} cdot (v ^ {b}) ^ {y}) ^ {- 1} = mcdot h ^ {a + b} cdot ((u ^ {x}) ^ {a} cdot (v ^ {y}) ^ {b}) ^ {- 1}.}

Pak použijeme skutečnost, že ${displaystyle u ^ {x} = v ^ {y} = h}$ výnosy

{displaystyle m '= mcdot h ^ {a + b} cdot (h ^ {a} cdot h ^ {b}) ^ {- 1} = mcdot (h ^ {a + b} cdot h ^ {- ab}) = m.}

Dále toto schéma je IND-CPA zajistit za předpokladu, že platí předpoklad DLIN.

Krátké skupinové podpisy

Boneh, Boyen a Shacham také používají DLIN v schématu pro skupinové podpisy. ^[1] Podpisy se nazývají „krátké skupinové podpisy“, protože se standardem úroveň zabezpečení, mohou být zastoupeny pouze v 250 bajtů.

Jejich protokol nejprve používá lineární šifrování, aby definoval speciální typ důkaz nulových znalostí. Pak Fiat – Shamir heuristický se používá k transformaci systému kontroly na a digitální podpis. Dokazují, že tento podpis splňuje další požadavky neodpustitelnosti, anonymity a sledovatelnosti požadované od skupinového podpisu.

Jejich důkaz se opírá nejen o předpoklad DLIN, ale také o další předpoklad zvaný ${displaystyle q}$ - silný předpoklad Diffie-Hellman. Je to prokázáno v náhodný věštecký model.

Další aplikace

Od své definice v roce 2004 předpoklad rozhodnutí lineární viděl řadu dalších aplikací. Patří mezi ně konstrukce a pseudonáhodná funkce který zobecňuje Naor-Reingoldova konstrukce, ^[3] an atributové šifrování systém, ^[4] a speciální třída neinteraktivní důkazy nulových znalostí. ^[5]

Reference

^ ^A ^b ^C Dan Boneh, Xavier Boyen, Hovav Shacham: Krátké skupinové podpisy. CRYPTO 2004: 41–55
^ John Bethencourt: Úvod do bilineárních map
^ Allison Bishop Lewko, Brent Waters: Efektivní pseudonáhodné funkce z rozhodovacího lineárního předpokladu a slabších variant. CCS 2009: 112-120
^ Lucas Kowalczyk, Allison Bishop Lewko: Bilineární expanze entropie z rozhodovacího lineárního předpokladu. CRYPTO 2015: 524-541
^ Benoît Libert, Thomas Peters, Marc Joye, Moti Yung: Kompaktní skrytí lineárních rozpětí. ASIACRYPT 2015: 681-707

[BBS-1] A ^b ^C Dan Boneh, Xavier Boyen, Hovav Shacham: Krátké skupinové podpisy. CRYPTO 2004: 41–55

[2] John Bethencourt: Úvod do bilineárních map

[3] Allison Bishop Lewko, Brent Waters: Efektivní pseudonáhodné funkce z rozhodovacího lineárního předpokladu a slabších variant. CCS 2009: 112-120

[4] Lucas Kowalczyk, Allison Bishop Lewko: Bilineární expanze entropie z rozhodovacího lineárního předpokladu. CRYPTO 2015: 524-541

[5] Benoît Libert, Thomas Peters, Marc Joye, Moti Yung: Kompaktní skrytí lineárních rozpětí. ASIACRYPT 2015: 681-707

[1]

[2]

[3]

[4]

[5]

Předpoklady výpočetní tvrdosti
Teoretické číslo	Faktorizace celého čísla Skrývání Phi Problém RSA Silná RSA Kvadratická rezidua Rozhodující složená reziduaita Vyšší rezidua
Skupinová teoretika	Diskrétní logaritmus Diffie-Hellman Rozhodovací Diffie – Hellman Computational Diffie – Hellman
Spárování	Externí Diffie – Hellman Skrývání podskupin Rozhodnutí lineární
Mříže	Nejkratší vektorový problém (mezera ) Nejbližší vektorový problém (mezera ) Učení s chybami Vyzvánění s chybami Krátké celočíselné řešení
Nekryptografické	Exponenciální časová hypotéza Unikátní domněnky o hrách Zasazená domněnka kliky