Решение линейное предположение

Решение линейное (DLIN) предположение представляет собой вычислительное предположение о твердости, используемое в криптографии эллиптической кривой . В частности, предположение DLIN полезно в условиях, когда предположение Diffie-Hellman Deffie-Hellman не является (как это часто бывает в криптографии на основе спаривания ). Линейное предположение о решении было введено Boneh , Boyen и Shacham. ^{[ 1 ]}

Неофициально в предположении DLIN утверждается, что дано ${\displaystyle (u,\,v,\,h,\,u^{x},\,v^{y})}$, с ${\displaystyle u,\,v,\,h}$ Случайные элементы группы и ${\displaystyle x,\,y}$ случайные показатели, трудно различить ${\displaystyle h^{x+y}}$ Из независимого элемента случайной группы ${\displaystyle \eta }$.

В симметричной криптографии на основе спаривания группа ${\displaystyle G}$ оснащен спариванием ${\displaystyle e:G\times G\to T}$ который билинейно . Эта карта дает эффективный алгоритм для решения проблемы решения Diffie-Hellman . ^{[ 2 ]} Данный вход ${\displaystyle (g,\,g^{a},\,g^{b},\,h)}$, легко проверить, если ${\displaystyle h}$ равен ${\displaystyle g^{ab}}$Полем Это следует, используя спаривание: обратите внимание, что

${\displaystyle e(g^{a},g^{b})=e(g,g)^{ab}=e(g,g^{ab}).}$

Таким образом, если ${\displaystyle h=g^{ab}}$, тогда значения ${\displaystyle e(g^{a},g^{b})}$ и ${\displaystyle e(g,h)}$ будет равным.

Поскольку это криптографическое предположение, необходимое для построения Элгамала шифрования и подписей , не содержится в этом случае, для создания криптографии необходимы новые предположения в симметричных билинейных группах. Предположение DLIN-это модификация предположений типа Diffie-Hellman, чтобы помешать вышеуказанной атаке.

Позволять ${\displaystyle G}$ быть циклической основного порядка группой ${\displaystyle p}$Полем Позволять ${\displaystyle u}$, ${\displaystyle v}$, и ${\displaystyle h}$ быть равномерно генераторами случайными ${\displaystyle G}$Полем Позволять ${\displaystyle a,b}$ быть равномерно случайными элементами ${\displaystyle \{1,\,2,\,\dots ,\,p-1\}}$Полем Определите распределение

${\displaystyle D_{1}=(u,\,v,\,h,\,u^{a},\,v^{b},\,h^{a+b}).}$

Позволять ${\displaystyle \eta }$ быть еще одним равномерно случайным элементом ${\displaystyle G}$Полем Определите другое распределение

${\displaystyle D_{2}=(u,\,v,\,h,\,u^{a},\,v^{b},\,\eta ).}$

В решении линейное предположение гласит, что ${\displaystyle D_{1}}$ и ${\displaystyle D_{2}}$ неразличимы вычислительно .

Boneh, Boyen и Shacham определяют схему шифрования открытого ключа по аналогии с шифрованием Elgamal. ^{[ 1 ]} В этой схеме открытый ключ - это генераторы ${\displaystyle u,v,h}$Полем Частный ключ - два показателя, такие как ${\displaystyle u^{x}=v^{y}=h}$Полем Шифрование объединяет сообщение ${\displaystyle m\in G}$ с открытым ключом для создания шифрового текста

${\displaystyle c:=(c_{1},\,c_{2},\,c_{3})=(u^{a},\,v^{b},\,m\cdot h^{a+b})}$.

Чтобы расшифровать зашифрованный текст, для вычисления можно использовать закрытый ключ

${\displaystyle m':=c_{3}\cdot (c_{1}^{x}\cdot c_{2}^{y})^{-1}.}$

Чтобы проверить, что эта схема шифрования верна , т.е. ${\displaystyle m'=m}$ Когда обе стороны следуют протоколу, обратите внимание, что

${\displaystyle m'=c_{3}\cdot (c_{1}^{x}\cdot c_{2}^{y})^{-1}=m\cdot h^{a+b}\cdot ((u^{a})^{x}\cdot (v^{b})^{y})^{-1}=m\cdot h^{a+b}\cdot ((u^{x})^{a}\cdot (v^{y})^{b})^{-1}.}$

Затем используя тот факт, что ${\displaystyle u^{x}=v^{y}=h}$ доходность

${\displaystyle m'=m\cdot h^{a+b}\cdot (h^{a}\cdot h^{b})^{-1}=m\cdot (h^{a+b}\cdot h^{-a-b})=m.}$

Кроме того, эта схема Ind-CPA защищена , предполагая, что предположение DLIN уходит.

Boneh, Boyen и Shacham также используют Dlin в схеме групповых подписей . ^{[ 1 ]} Подписи называются «короткими группами», потому что со стандартным уровнем безопасности они могут быть представлены только в 250 байтах .

Их протокол сначала использует линейное шифрование, чтобы определить специальный тип доказательства нулевого знания . Затем применяется эвристика Fiat -Shamir , чтобы преобразовать систему доказательств в цифровую подпись . Они доказывают, что эта подпись удовлетворяет дополнительным требованиям непростительной, анонимности и прослеживаемости, требуемой для групповой подписи.

Их доказательство опирается не только на предположение DLIN, но и на еще одно предположение, называемое ${\displaystyle q}$-Пронг Diffie-Hellman Предположение . Это доказано в случайной модели Oracle .

С момента своего определения в 2004 году в линейном предположении принятия решения было множество других приложений. Они включают в себя строительство псевдорандомовой функции , которая обобщает конструкцию Naor-reingold , ^{[ 3 ]} схема шифрования на основе атрибутов , ^{[ 4 ]} и специальный класс неинтерактивных доказательств с нулевым знанием . ^{[ 5 ]}