为了清晰起见,将上篇博客中引用的一些代数问题整理如下
Basic Algebra
Modules
对于任何具有乘法单位1的环 R R R和任何阿贝尔群 ( M , + ) (M,+) (M,+),我们说 M M M是一个 R − m o d u l e R-module R−module如果存在一个运算 ⋅ : R × M → M \cdot:R\times M\rightarrow M ⋅:R×M→M使得对于任何 a , b ∈ R a,b\in R a,b∈R和任何 x , y ∈ M x,y\in M x,y∈M,有:(1) a ⋅ ( x + y ) = a ⋅ x + a ⋅ y a\cdot(x+y)=a\cdot x+a\cdot y a⋅(x+y)=a⋅x+a⋅y(2) ( a + b ) ⋅ x = a ⋅ x + b ⋅ x (a+b)\cdot x=a\cdot x+b\cdot x (a+b)⋅x=a⋅x+b⋅x (3) ( a b ) ⋅ x = a ⋅ ( b ⋅ x ) (ab)\cdot x=a\cdot (b\cdot x) (ab)⋅x=a⋅(b⋅x) (4) 1 ⋅ x = x 1\cdot x=x 1⋅x=x;另外用 0 0 0表示 M M M的单位元。
Module Homomorphisms
对于任何 R − m o d u l e s M R-modules~M R−modules M和 N N N,一个映射 f : M → N f:M\rightarrow N f:M→N是 R − m o d u l e s R-modules R−modules的同态,如果对于任何 r ∈ R r\in R r∈R和 x , y ∈ M x,y\in M x,y∈M, f ( x + r ⋅ y ) = f ( x ) + r ⋅ f ( y ) f(x+r\cdot y)=f(x)+r\cdot f(y) f(x+r⋅y)=f(x)+r⋅f(y)。
我们说同态
f
f
f是一个epimorphism(满同态),如果
f
f
f是一个surjection(满射);我们说同态
f
f
f是一个monomorphism (单同态),如果
f
f
f是一个injection(单射)。
(满射+同态=满同态;单射+同态=单同态;双射+同态=同构)
Characteristic of a Field
对于任何field F \mathbb{F} F,其特征,用 c h a r ( F ) char(\mathbb{F}) char(F)表示,是最小的正数 k k k使得,其中 1 \bm{1} 1表示 F \mathbb{F} F的乘法单位元,用 0 0 0表示 F \mathbb{F} F的加法单位元。如果 k k k不存在,我们说 F \mathbb{F} F的特征值是 0 0 0。
线性哈希函数LHF
定义:线性哈希函数族LHF是一对算法 ( P G e n , F ) (PGen, F) (PGen,F),使得:
- PGen是一种随机算法,它将安全参数
1
κ
1^\kappa
1κ作为输入,并返回系统参数
p
a
r
par
par,它定义了三个集合
S
=
S
(
p
a
r
)
,
D
=
D
(
p
a
r
)
,
R
=
R
(
p
a
r
)
\mathcal{S}=\mathcal{S}(par),\mathcal{D}=\mathcal{D}(par),\mathcal{R}=\mathcal{R}(par)
S=S(par),D=D(par),R=R(par),其中
S
\mathcal{S}
S是一个field,
D
,
R
\mathcal{D},\mathcal{R}
D,R是
S
\mathcal{S}
S-modules.
并且要求: - F是一个确定性函数,它以系统参数 p a r par par和一个元素 x ∈ D x\in\mathcal{D} x∈D作为输入,并返回 R \mathcal{R} R中的一个元素,使得 F ( p a r , ⋅ ) : D → R F(par,\cdot):\mathcal{D}\rightarrow\mathcal{R} F(par,⋅):D→R是 S \mathcal{S} S-modules的一个满同态。而且,F不是单同态,这等价于存在 z ∗ ∈ D z^*\in \mathcal{D} z∗∈D使得 z ∗ ≠ 0 , F ( p a r , z ∗ ) = 0 z^*\neq 0,F(par,z^*)=0 z∗=0,F(par,z∗)=0。
注意:最后这句是怎么来的呢,已知满同态的前提下,为什么非单同态等价于存在
z
∗
∈
D
z^*\in \mathcal{D}
z∗∈D使得
z
∗
≠
0
,
F
(
p
a
r
,
z
∗
)
=
0
z^*\neq 0,F(par,z^*)=0
z∗=0,F(par,z∗)=0。
P
r
o
o
f
.
Proof.
Proof.目标的逆反命题是,如果不存在
z
∗
∈
D
z^*\in \mathcal{D}
z∗∈D使得
z
∗
≠
0
,
F
(
p
a
r
,
z
∗
)
=
0
z^*\neq 0,F(par,z^*)=0
z∗=0,F(par,z∗)=0,则
F
F
F是单同态。
(1) 首先,如果不存在这样的
z
∗
z^*
z∗,且
F
F
F是满射,则一定有且仅有
F
(
0
)
=
0
F(0)=0
F(0)=0。
(2) 再假设此时
F
F
F不满足单同态,则存在
x
,
y
∈
D
,
x
≠
y
,
f
(
x
)
=
f
(
y
)
x,y\in\mathcal{D},x\neq y,f(x)=f(y)
x,y∈D,x=y,f(x)=f(y);根据同态性质,
f
(
x
)
−
f
(
y
)
=
0
=
f
(
x
−
y
)
=
f
(
0
)
f(x)-f(y)=0=f(x-y)=f(0)
f(x)−f(y)=0=f(x−y)=f(0),所以
f
(
x
)
=
f
(
y
)
=
0
f(x)=f(y)=0
f(x)=f(y)=0;根据(1)有
x
=
y
=
0
x=y=0
x=y=0,矛盾产生,假设不成立,即
F
F
F满足单同态。
(3)根据逆否命题,证明成立。
DLP
one-more discrete logarithm assumption (OMDL)
https://doi.org/10.1007/s00145-002-0120-1
对于OMDL问题的定义(又叫Known-Target Discrete Log Problem)
Algebraic OMDL: A Falsifiable Variant of OMDL
https://link.springer.com/chapter/10.1007/978-3-030-84242-0_8
一个密码假设在算法上是可证伪的,如果在多项式时间内可以被确定给定的算法是否会破坏它。
虽然这对于大多数标准假设(如RSA假设或DL假设)是成立的,但对于OMDL假设显然不成立,因为OMDL挑战者需要向敌手提供无法在p.p.t中实现的DL oracle(除非DL问题是容易的,但这会导致OMDL假设无论如何都不成立)。
观察到,当要求求解算法是代数的的时候,DL oracle实际上可以在p.p.t.中实现。
在OMDL的上下文中,这意味着每当敌手通过DL oracle查询group元素的离散对数时,它都会在由生成元和迄今为止收到的所有DLchallenges构成的基中输出该group元素的表示(它们共同构成了迄今为止它所收到的所有group元素)。
因此,得到了一个可证伪的OMDL假设,称之为代数OMDL (AOMDL)假设。由于每个代数算法也是一种普通算法,因此AOMDL假设立即隐含在已建立的OMDL假设中。
原文的说法看起来不太好理解,分析一下:
-
首先敌手手中掌握的信息有:先前查询oracle得到的若干组挑战和对应的离散对数,采样一些 α , β i \alpha,\beta_i α,βi,并结合所有已知的挑战生成新的 X X X进行查询。而挑战者可以用代数方法计算出对应的离散对数。
-
然后明确一下什么是可证伪的,根据定义可看出是指提供oracle的挑战者算法是否是ppt的。
-
原始DL的显然是可证伪的。而OMDL中要回答最多n次查询,而挑战者在每次查询时都要回答打破DLP的结果,这个过程一定无法在PPT内完成。
-
再看AOMDL,挑战者在DLoracle中生成回答的过程是代数的,且每次回答时并不需要打破DLP的算法,因为回答DL挑战的次数 q q q与敌手获得的挑战值 c c c(对应每个离散对数 x i x_i xi)个数无关,所以整个回答DL的过程也是ppt的,即可证伪的。
AOMPR:Algebraic One-More Preimage Resistance for linear hash functions
上篇博客:https://blog.csdn.net/jiongxv/article/details/131110322
原文:https://link.springer.com/chapter/10.1007/978-3-031-30589-4_22
再说到 Algebraic One-More Preimage Resistance
可以看出AOMPR和AOMDL的区别仅在于将
g
x
g^x
gx运算替换成
F
(
⋅
)
F(\cdot)
F(⋅),并且这是一个线性哈希函数LHF。
AOMPR for LHF满足Collision Resistance
Collision Resistance:线性哈希函数的抗碰撞性类似于加密哈希函数的抗碰撞性,它确保很难找到映射到相同输出的两个不同输入
线性哈希函数族的AOMPR由其抗碰撞性隐含。
以上是EUROCRYPT 2023论文《Threshold and Multi-signature Schemes from Linear Hash Functions》中所涉及的代数相关知识及引用补充,继续阅读作者如何基于AOMPR构造方案:https://blog.csdn.net/jiongxv/article/details/131110322