困难问题

出处说明

本文内容摘自外部资源，为方便学员快速学习相关前置数学知识而整理在一起。内容可能较原文有删减，仅保留本课程所需的前置内容，以便学员快速掌握必备知识。

原文链接：https://www.cnblogs.com/zhuowangy2k/p/11901028.html

就像你现在知道的那样,密码学经常依赖于'困难问题'。这也就是说,如果我们假设对手不能在合适的时间内解决某个(数学)问题,那么我们设计的密码学协议的安全性就得到了证明。本文介绍了安全证明中被广泛使用的三个这样的问题

The Discrete Logarithm Problem(DLP)

让 $G$ 为一个阿贝尔群(交换群).首先我们把 $G$ 中的二元操作写成乘法*.对任何 $g \in G$ 和任何整数 $a > 1$ 令 $g^{a}$ 表示 $g * g * g . . . * g$ ,其中 $g$ 出现了 $a$ 次.离散对数问题就是(DLP);

给定 $G, g$ 和 $h = g^{a}$ ,寻找 $a$ .

这里 $a$ 就叫做 $h$ 的以 $g$ 为底的离散对数.

一个离散对数问题是难的吗?有时候是,有时候不是.作为反例,令 $G$ 为加法下的整数.所以现在可以把群运算相加,而不是相乘.因此相同的步骤过后,使用相同的元素 $g$ ,现在写成了 $g + g + . . . + g$ ,这就是说现在这个表达式的和就是 $h$ ,即 $h = a g$ .因此对 $a$ 来说,仅仅需要用 $h$ 除以 $g$ 就可以计算出来.例如'找出以3为底18的离散对数'.我们仅仅需要用18除以3就可以得到 $a$ 的值.我能够改变这个群运算变成模 $N$ 的运算.这个问题不会更难.因为我们只需要去解 $a g = h (m o d N)$ ,这个我们可以用多项式算法扩展欧几里得先算出 $g^{- 1} (m o d N)$ ,然后 $a = (g^{- 1} m o d N) * h m o d N$ .这不是一个好的安全密码原语.

另一方面,有限域内素数阶乘法下的群(在去掉0之后)即椭圆曲线群都被认为是难的.因为我们还不知道多项式时间的算法来在这些群中找到离散对数.举一个具体的例子,假设我问你'整数模7的乘法群中找到以3为底5的离散对数'.这意味着找到一个整数a,使得 $3 a = 5 m o d 7$ .现在我们暴力枚举一下:

$3^{3} = (3^{2}) \times 3 \equiv 2 \times 3 = 6 ≢ 5 (\mod 7)$

$3^{2} = 9 \equiv 2 ≢ 5 (\mod 7)$

$3^{3} = (3^{2}) \times 3 \equiv 2 \times 3 = 6 ≢ 5 (\mod 7)$

$3^{4} = (3^{3}) \times 3 \equiv 6 \times 3 = 18 \equiv 4 ≢ 5 (\mod 7)$

$3^{5} = (3^{4}) \times 3 \equiv 4 \times 3 = 12 \equiv 5 (\mod 7)$

因此 $a = 5$ .这样我们通过反复乘3得到了这种跳来跳去的方法最终获得了结果,这个会让你对DLP困难性有一个直观的认知.如果我们的模数远远大于 7,有成千上万的二进制位,甚至一台电脑要花费很多时间才能解决这个问题.尽管有次指数级的算法,但是没有证明不存在多项式时间内解决DLP的方法.

The Computational Diffie-Hellman Problem(CDH)

一个和DLP问题相关的问题是由Whit Diffie和Martin Hellman提出的两方协商密钥在公共信道上不会被窃取的问题:

Alice和Bob共同确定使用的循环群 $G$ ,和生成元 $q$
Alice选择一个随机的密钥整数 $a$ ,Bob选择了一个随机的整数 $b$
Alice计算 $g^{a}$ 在公共信道上发送给Bob,同时Bob也计算出 $g^{b}$ 在公共信道上发送给Alice.
Alice和Bob都计算 $g^{a b} = (g^{a})^{b} = (g^{b})^{a}$ 通过知道他们自己的随机的整数,这个生成的就是他们协商的密钥.

现在 $g^{a b}$ 是一个密钥能被用于Alice和Bob之间的对称加密.但是有一些人窃听了他们之间的交换获得了 $G, g, g^{a}, g^{b}$ .因此密钥取决于的这个问题,就叫做计算DH问题(CDH).

给定 $G, g, g^{a}, g^{b}$ ,找出 $g^{a b}$

CDH是和DLP相关的,但是哪个更难呢?如果我能有效率的解决DLP,那么我就可以找出 $a$ ,然后轻松的计算出 $g^{a b}$ 就像Bob做的那样,因此我们就解决了CDH.所以我们说能解决DLP那么一定能解决CDH,这就是说DLP至少和CDH一样难.

The Decisional Diffie-Hellman Problem (DDH)

这是另一个离散对数的问题,用于证明难以区分的属性.假如说Alice和Bob执行如上所述的Diffie-Hellman密钥协议,那么 $G, g, g^{a}, g^{b}$ 都是公共的, $g^{a b}$ 是密钥.直观上,DDH问题就是是否对手能够从随机的 $G$ 中的元素区分出Alice和Bob的密钥 $g^{a b}$ .正是来说:

给定 $G, g, g^{a}, g^{b}$ 和 $T_{x}$ 使得 $T_{0}$ 是 $G$ 中随机的一个元素, $T_{1} = g^{a b}$ 同时 $x$ 被随机均匀的从{0,1}中选择,找出x.

如果对手能够解决DDH(输出正确的x的概率大于1/2).那么就是说 $G, g^{a}, g^{b}$ 一定泄露了一些关于 $g^{a b}$ 的信息,使得攻击者能把它从随机的元素中分辨出来,尽管不能直接计算出来.而且很明显,如果对手能解决CDH问题,那么它可以有效率的解决DDH,因为它已经可以得到 $g^{a b}$ 的值.这意味着,CDH至少和DDH一样难.

这就是我们这篇中讨论的三个问题,我们给出了一个简明的证明对他们的困难性进行排序:DLP最难,然后是CDH,最后是DDH.就像我们看到的那样,DLP有时候是简单的,会让CDH和DDH都变简单.因此群 $G$ 和生成元 $g$ 的选择在做密码学的时候是十分重要的!

困难问题 ​

The Discrete Logarithm Problem(DLP) ​

The Computational Diffie-Hellman Problem(CDH) ​

The Decisional Diffie-Hellman Problem (DDH) ​

困难问题

The Discrete Logarithm Problem(DLP)

The Computational Diffie-Hellman Problem(CDH)

The Decisional Diffie-Hellman Problem (DDH)