Вычислительное предположение Диффи – Хеллмана

Вычислительное предположение Диффи-Хеллмана (CDH) представляет собой вычислительной сложности предположение о задачи Диффи-Хеллмана . ^{[ 1 ]} Предположение CDH включает в себя проблему вычисления дискретного логарифма в циклических группах . Проблема CDH иллюстрирует атаку перехватчика при обмене ключами Диффи-Хеллмана. ^{[ 2 ]} протокол для получения обмененного секретного ключа.

Рассмотрим циклическую группу G порядка q . Предположение CDH гласит, что, учитывая

${\displaystyle (g,g^{a},g^{b})\,}$

для случайно выбранного генератора g и случайного

${\displaystyle a,b\in \{0,\ldots ,q-1\},\,}$

вычислить вычислительно сложно значение

${\displaystyle g^{ab}.\,}$

Предположение CDH тесно связано с предположением о дискретном логарифме . Если бы вычисление дискретного логарифма (по основанию g ) в G было простым, то проблему CDH можно было бы легко решить:

Данный

${\displaystyle (g,g^{a},g^{b}),\,}$

можно было бы эффективно вычислить ${\displaystyle g^{ab}}$ следующим образом:

• вычислить ${\displaystyle a}$ взяв дискретный журнал ${\displaystyle g^{a}}$ базировать ${\displaystyle g}$;
• вычислить ${\displaystyle g^{ab}}$ по возведению в степень: ${\displaystyle g^{ab}=(g^{b})^{a}}$;

Вычисление дискретного логарифма — единственный известный метод решения проблемы CDH. Но нет никаких доказательств того, что это фактически единственный метод. Вопрос о том, эквивалентно ли предположение о дискретном журнале допущению о CDH, остается открытой, хотя в некоторых особых случаях можно показать, что это именно так. ^{[ 3 ] [ 4 ]}

Предположение CDH является более слабым предположением, чем решающее предположение Диффи-Хеллмана (предположение DDH). Если вычислить ${\displaystyle g^{ab}}$ от ${\displaystyle (g,g^{a},g^{b})}$ было легко (проблема CDH), то можно было тривиально решить проблему DDH.

Многие криптографические схемы, построенные на основе проблемы CDH, фактически полагаются на сложность проблемы DDH. Семантическая безопасность обмена ключами Диффи-Хеллмана, а также безопасность шифрования Эль-Гамаля зависят от сложности проблемы DDH.

Существуют конкретные конструкции групп, в которых более сильное предположение DDH не выполняется, но более слабое предположение CDH все еще кажется разумной гипотезой. ^{[ 5 ]}

Следующие варианты проблемы CDH были изучены и оказались эквивалентными проблеме CDH: ^{[ 6 ]}

• Квадратная вычислительная задача Диффи – Хеллмана (SCDH): на входе ${\displaystyle g,g^{x}}$, вычислить ${\displaystyle g^{x^{2}}}$; ^{[ 7 ]}
• Обратная вычислительная задача Диффи – Хеллмана (InvCDH): на входе ${\displaystyle g,g^{x}}$, вычислить ${\displaystyle g^{x^{-1}}}$; ^{[ 8 ]}
• Делимые вычисления Задача Диффи – Хеллмана (DCDH): на входе ${\displaystyle g,g^{x},g^{y}}$, вычислить ${\displaystyle g^{y/x}}$;

Позволять ${\displaystyle G_{1}}$ и ${\displaystyle G_{2}}$ две циклические группы.

• Ковычислительная задача Диффи–Хеллмана (co-CDH): дано ${\displaystyle g,g^{a}\in G_{1}}$ и ${\displaystyle h\in G_{2}}$, вычислить ${\displaystyle h^{a}\in G_{2}}$; ^{[ 9 ]}