Решение Линейное предположение

Допущение линейного решения (DLIN) — это предположение о вычислительной сложности, используемое в криптографии на основе эллиптических кривых . В частности, предположение DLIN полезно в ситуациях, когда решающее предположение Диффи-Хеллмана не выполняется (как это часто бывает в криптографии на основе пар ). Предположение о линейном решении было введено Бонехом , Бойеном и Шахамом. ^[1]

Неформально предположение DLIN гласит, что с учетом ${\displaystyle (u,\,v,\,h,\,u^{x},\,v^{y})}$, с ${\displaystyle u,\,v,\,h}$ элементы случайной группы и ${\displaystyle x,\,y}$ случайные показатели, трудно отличить ${\displaystyle h^{x+y}}$ из независимого случайного элемента группы ${\displaystyle \eta }$.

В криптографии на основе симметричных пар группа ${\displaystyle G}$ оснащен сопряжением ${\displaystyle e:G\times G\to T}$ что является билинейным . Эта карта дает эффективный алгоритм для решения решающей проблемы Диффи-Хеллмана . ^[2] Учитывая ввод ${\displaystyle (g,\,g^{a},\,g^{b},\,h)}$, легко проверить, если ${\displaystyle h}$ равно ${\displaystyle g^{ab}}$. Это следует с помощью спаривания: обратите внимание, что

${\displaystyle e(g^{a},g^{b})=e(g,g)^{ab}=e(g,g^{ab}).}$

Таким образом, если ${\displaystyle h=g^{ab}}$, то значения ${\displaystyle e(g^{a},g^{b})}$ и ${\displaystyle e(g,h)}$ будет равен.

Поскольку это криптографическое предположение, необходимое для построения шифрования и подписей Эль-Гамаля , в данном случае не выполняется, необходимы новые предположения для построения криптографии в симметричных билинейных группах. Предположение DLIN представляет собой модификацию предположений типа Диффи-Хеллмана, призванную предотвратить описанную выше атаку.

Позволять ${\displaystyle G}$ — группа простого порядка циклическая ${\displaystyle p}$. Позволять ${\displaystyle u}$, ${\displaystyle v}$, и ${\displaystyle h}$ быть равномерно генераторами случайными ${\displaystyle G}$. Позволять ${\displaystyle a,b}$ быть равномерно случайными элементами ${\displaystyle \{1,\,2,\,\dots ,\,p-1\}}$. Определить распределение

${\displaystyle D_{1}=(u,\,v,\,h,\,u^{a},\,v^{b},\,h^{a+b}).}$

Позволять ${\displaystyle \eta }$ быть еще одним равномерно случайным элементом ${\displaystyle G}$. Определить другое распределение

${\displaystyle D_{2}=(u,\,v,\,h,\,u^{a},\,v^{b},\,\eta ).}$

Предположение линейного решения утверждает, что ${\displaystyle D_{1}}$ и ${\displaystyle D_{2}}$ неотличимы вычислительно .

Бонех, Бойен и Шахам определяют схему шифрования с открытым ключом по аналогии с шифрованием Эль-Гамаля. ^[1] В этой схеме открытым ключом являются генераторы ${\displaystyle u,v,h}$. Закрытый ключ имеет две степени, такие что ${\displaystyle u^{x}=v^{y}=h}$. Шифрование объединяет сообщение ${\displaystyle m\in G}$ с открытым ключом для создания зашифрованного текста

${\displaystyle c:=(c_{1},\,c_{2},\,c_{3})=(u^{a},\,v^{b},\,m\cdot h^{a+b})}$.

Чтобы расшифровать зашифрованный текст, можно использовать закрытый ключ для вычисления

${\displaystyle m':=c_{3}\cdot (c_{1}^{x}\cdot c_{2}^{y})^{-1}.}$

Чтобы проверить правильность этой схемы шифрования , т.е. ${\displaystyle m'=m}$ когда обе стороны следуют протоколу, обратите внимание, что

${\displaystyle m'=c_{3}\cdot (c_{1}^{x}\cdot c_{2}^{y})^{-1}=m\cdot h^{a+b}\cdot ((u^{a})^{x}\cdot (v^{b})^{y})^{-1}=m\cdot h^{a+b}\cdot ((u^{x})^{a}\cdot (v^{y})^{b})^{-1}.}$

Затем, используя тот факт, что ${\displaystyle u^{x}=v^{y}=h}$ урожайность

${\displaystyle m'=m\cdot h^{a+b}\cdot (h^{a}\cdot h^{b})^{-1}=m\cdot (h^{a+b}\cdot h^{-a-b})=m.}$

Кроме того, эта схема является по IND-CPA безопасной при условии, что предположение DLIN выполнено.

Бонех, Бойен и Шахам также используют DLIN в схеме групповых подписей . ^[1] Подписи называются «короткими групповыми подписями», поскольку при стандартном уровне безопасности они могут быть представлены всего в 250 байтах .

Их протокол сначала использует линейное шифрование, чтобы определить особый тип доказательства с нулевым разглашением . Затем эвристика Фиата-Шамира применяется для преобразования системы доказательства в цифровую подпись . Они доказывают, что эта подпись отвечает дополнительным требованиям невозможности подделки, анонимности и отслеживаемости, необходимым для групповой подписи.

Их доказательство опирается не только на предположение DLIN, но и на другое предположение, называемое ${\displaystyle q}$-сильное предположение Диффи-Хеллмана . Это доказано в модели случайного оракула .

С момента своего определения в 2004 году предположение линейного решения нашло множество других применений. К ним относятся построение псевдослучайной функции , обобщающей конструкцию Наора-Рейнгольда , ^[3] схема шифрования на основе атрибутов , ^[4] и специальный класс неинтерактивных доказательств с нулевым разглашением . ^[5]