第十一个知识点：DLP,CDH和DDH问题都是什么？

第十一个知识点：DLP,CDH和DDH问题都是什么

这是第11篇也是数学背景的第二篇.主要关注群操作如何被用于设计密码基础.

就像你现在知道的那样,密码学经常依赖于'难问题'.这也就是说,如果我们假设对手不能在合适的时间内解决某个(数学)问题,那么我们设计的密码学协议的安全性就得到了证明.这篇推送介绍了安全证明中被广泛使用的三个这样的问题.对我来说很幸运,a)这只是群理论,不是计算机科学,同时b)两天前我参加了一个由Bristol Crypto研究员Susan Thomson主讲的客座讲座就是恰好这个话题的.(这就是说,下面的任何错误都应该归咎于她!)

The Discrete Logarithm Problem(DLP)

让\(G\)为一个阿贝尔群(交换群).首先我们把\(G\)中的二元操作写成乘法*.对任何\(g \in G\) 和任何整数\(a \gt 1\)令\(g^a\)表示\(g*g*g...*g\),其中\(g\)出现了\(a\)次.离散对数问题就是(DLP);

给定\(G,g\)和\(h = g^a\),寻找\(a\).

这里\(a\)就叫做\(h\)的以\(g\)为低的离散对数.

一个离散对数问题是难的吗?有时候是,有时候不是.作为反例,令\(G\)为加法下的整数.所以现在可以把群运算相加,而不是相乘.因此相同的步骤过后,使用相同的元素\(g\),现在写成了\(g + g + ...+g\),这就是说现在这个表达式的和就是\(h\),即\(h = ag\).因此对\(a\)来说,仅仅需要用\(h\)除以\(g\)就可以计算出来.例如'找出以3为低18的离散对数'.我们仅仅需要用18除以3就可以得到\(a\)的值.我能够改变这个群运算变成模\(N\)的运算.这个问题不会更难.因为我们只需要去解\(ag=h(mod\space N)\),这个我们可以用多项式算法扩展欧几里得先算出\(g^{-1}(mod \space N)\),然后\(a = (g^{-1} mod \space N)*h \space mod \space N\).这不是一个好的安全密码原语.

另一方面,有限域内素数阶乘法下的群(在去掉0之后)即椭圆曲线群都被认为是难的.因为我们还不知道多项式时间的算法来在这些群中找到离散对数.举一个具体的例子,假设我问你'整数模7的乘法群中找到以3为低5的离散对数'.这意味着找到一个整数a,使得\(3a=5 \space mod \space 7\).现在我们暴力枚举一下:

\(3^3 = (3^2)\times3 \equiv 2\times3 = 6 \not\equiv 5\: (\mathrm{mod} \: 7)\)

\(3^2 = 9 \equiv 2 \not\equiv 5 \: (\mathrm{mod} \: 7)\)

\(3^3 = (3^2)\times3 \equiv 2\times3 = 6 \not\equiv 5\: (\mathrm{mod} \: 7)\)

\(3^4 = (3^3)\times3 \equiv 6\times3 = 18 \equiv 4 \not\equiv 5\: (\mathrm{mod} \: 7)\)

\(3^5 = (3^4)\times3 \equiv 4\times 3 = 12 \equiv 5\: (\mathrm{mod} \: 7)\)

因此\(a = 5\).这样我们通过反复乘3得到了这种跳来跳去的方法最终获得了结果,这个会让你对DLP困难性有一个直观的认知.如果我们的模数远远大于 7,有成千上万的二进制位,甚至一台电脑要花费很多时间才能解决这个问题.尽管有次指数级的算法,但是没有证明不存在多项式时间内解决DLP的方法.

The Computational Diffie-Hellman Problem(CDH)

一个和DLP问题相关的问题是由Whit Diffie和Martin Hellman提出的两方协商密钥在公共信道上不会被窃取的问题:

• Alice和Bob共同确定使用的循环群\(G\),和生成器\(q\)
• Alice选择一个随机的密钥整数\(a\),Bob选择了一个随机的整数\(b\)
• Alice计算\(g^a\)在公共信道上发送给Bob,同时Bob也计算出\(g^b\)在公共信道上发送给Alice.
• Alice和Bob都计算\(g^{ab}=(g^a)^b=(g^b)^a\)通过知道他们自己的随机的整数,这个生成的就是他们协商的密钥.

现在\(g^{ab}\)是一个密钥能被用于Alice和Bob之间的对称加密.但是有一些人窃听了他们之间的交换获得了\(G,g,g^a,g^b\).因此密钥取决于的这个问题,就叫做 计算DH问题(CDH).

给定\(G,g,g^a,g^b\),找出\(g^{ab}\)

CDH是和DLP相关的,但是哪个更难呢?如果我能有效率的解决DLP,那么我就可以找出\(a\),然后轻松的计算出\(g^{ab}\)就像Bob做的那样,因此我们就解决了CDH.所以我们说能解决DLP那么一定能解决CDH,这就是说DLP至少和CDH一样难.

The Decisional Diffie-Hellman Problem (DDH)

这是另一个离散对数的问题,用于证明难以区分的属性.假如说Alice和Bob执行如上所述的Diffie-Hellman密钥协议,那么\(G,g,g^a,g^b\)都是公共的,\(g^{ab}\)是密钥.直观上,DDH问题就是是否对手能够从随机的\(G\)中的元素区分出Alice和Bob的密钥\(g^{ab}\).正是来说:

给定\(G,g,g^a,g^b\)和\(T_x\)使得\(T_0\)是\(G\)中随机的一个元素,\(T_1=g^{ab}\)同时\(x\)被随机均匀的从{0,1}中选择,找出x.

如果对手能够解决DDH(输出正确的x的概率大于1/2).那么就是说\(G,g^a,g^b\)一定泄露了一些关于\(g^{ab}\)的信息,使得攻击者能把它从随机的元素中分辨出来,尽管不能直接计算出来.而且很明显,如果对手能解决CDH问题,那么它可以有效率的解决DDH,因为它已经可以得到\(g^{ab}\)的值.这意味着,CDH至少和DDH一样难.

这就是我们这篇中讨论的三个问题,我们给出了一个简明的证明对他们的困难性进行排序:DLP最难,然后是CDH,最后是DDH.就像我们看到的那样,DLP有时候是简单的,会让CDH和DDH都变简单.因此群\(G\)和生成器\(g\)的选择在做密码学的时候是十分重要的!