密码学中的常见困难问题

密码学中常见的困难问题一般分为两类

计算困难问题（Computational Hard Problems）

如果给定一个问题实例作为输入，在多项式时间内找到这个问题实例的正确解的概率是l的一个可忽略的函数，用$\mathbf{\epsilon }(\lambda )$（简称$\mathbf{\epsilon }$）表示，那么用安全参数$\lambda$生成的计算问题是困难的。如果$\lambda$不够大，计算问题肯定很容易。

下面给出一些计算难题，其中$\mathbb{G}$是来自配对群e：$\mathbb{G}\times \mathbb{G}\to {\mathbb{G}}_T$。

离散对数问题（Discrete Logarithm Problem, DL）
实例：$g,g^a\in \mathbb{G}$，$\mathbb{G}$是一般的循环群，$a\in {\mathbb{Z}}_p$
计算：$a$
解读： 给定$g,g^a\in \mathbb{G}$，在循环群上计算出指数$a$是困难的。（因为它涉及在有限群中通过逆运算（即对数）来找回指数 $a$，这在一般情况下是计算上非常困难的。）

计算DH问题（Computational Diffie-Hellman Problem, CDH）
实例：$g,g^a,g^b\in \mathbb{G}$，$\mathbb{G}$是一般的循环群，$a,b\in {\mathbb{Z}}_p$
计算：$g^{ab}$
解读： 给定生成元$g$以及两个群元素$g^a$,$g^b$，在循环群上计算出$g^{ab}$是困难的。由于并不知道a,b的具体值，也无法通过幂的逆运算（DL问题）得到a或b，因此计算$g^{ab}$是非常困难的。

q-强DH问题（q-Strong Diffie-Hellman Problem, q-SDH）
实例：$g,g^a,g^{a^2},\cdots ,g^{a^q}\in \mathbb{G}$
计算：$(s,g^{\frac{1}{a+s}})\in {\mathbb{Z}}_p\times \mathbb{G}$, $s$是${\mathbb{Z}}_p$中任意取得值。
解读： 给定$g,g^a,g^{a^2},\cdots ,g^{a^q}$的一系列幂次后，问题是要找到一个数值对$(s,g^{\frac{1}{a+s}})$，即需要通过已知的幂次计算得到$g^{\frac{1}{a+s}}$。在没有直接知道$a$或$s$的情况下，这种运算因指数运算的组合性变得及其困难，因此，在循环群$\mathbb{G}$中，计算数值对$(s,g^{\frac{1}{a+s}})$是困难的。

q-强 Diffie-Hellman 逆问题 （q-Strong Diffie-Hellman Inversion Problem, q-SDHI）
实例：$g,g^a,g^{a^2},\cdots ,g^{a^q}\in \mathbb{G}$
计算：$g^{\frac{1}{a}}$
解读： 给定了生成元$g$以及一系列幂值$g^a,g^{a^2},\cdots ,g^{a^q}$，求出$g^{\frac{1}{a}}$。但是$a$本身是未知的，如何从$g,g^a,g^{a^2},\cdots ,g^{a^q}$信息中推到出$g^{\frac{1}{a}}$在群$\mathbb{G}$困难的。

双线性DH问题（Bilinear Diffie-Hellman Problem, BDH)
实例：$g,g^a,g^b,g^c\in \mathbb{G}$，$a,b,c\in {\mathbb{Z}}_p$
计算：$e(g,g{)}^{abc}$
解读： 给定$g,g^a,g^b,g^c$ ，计算$e(g,g{)}^{abc}$，其中e是两个循环群$\mathbb{G}$的元素映射到目标群${\mathbb{G}}_T$的双线性函数，由于无法计算出a,b,c的值（DL）。因此从给定的条件中无法计算出$e(g,g{)}^{abc}$。

q-双线性Diffie-Hellman逆问题（q-Bilinear Diffie-Hellman Inversion Problem, q-BDHI）
实例：$g,g^a,g^b,g^c\in \mathbb{G}$，$a,b,c\in {\mathbb{Z}}_p$
计算：$e(g,g{)}^{\frac{1}{a}}$
解读： 给定$g,g^a,g^b,g^c\in \mathbb{G}$条件，无法从这些条件中计算出$a$或者$\frac{1}{a}$，因此需要计算$e(g,g{)}^{\frac{1}{a}}$是非常困难的。

q-双线性DH问题 (q-Bilinear Diffie-Hellman Problem, q-BDH)
实例：$g,g^a,g^{a^2},\cdots ,g^{a^q},g^{a^{q+2}},g^{a^{q+3}},\cdots ,g^{a^{2q}},h\in \mathbb{G}$
计算：$e(g,h{)}^{a^{q+1}}$
解读： 给定$g,g^a,g^{a^2},\cdots ,g^{a^q},g^{a^{q+2}},g^{a^{q+3}},\cdots ,g^{a^{2q}},h$计算$e(g,h{)}^{a^{q+1}}$。由于计算$e(g,h{)}^{a^{q+1}}$需要依赖于已知的元素，意味着解决这个问题需要推到出$a$或$q$的值，而通过给定的条件，计算$a$或$q$的值在群$\mathbb{G}$是困难的，所以q-BDH是困难的。

决策困难问题（Decisional Hard Problems）

如果给定一个目标为$Z$的问题实例作为输入，在多项式时间内返回正确猜测的优势是l的一个可忽略的函数，表示为$\mathbf{\epsilon }(\lambda )$（简称$\mathbf{\epsilon }$），则用安全参数$\lambda$生成的决策问题是困难的。
$$\epsilon =\mathrm{Pr}\left[\text{Guess }Z=\text{True}|Z=\text{True}\right]-\mathrm{Pr}\left[\text{Guess }Z=\text{True}|Z=\text{False}\right]$$
当

• $\mathrm{Pr}\left[\text{Guess }Z=\text{True}|Z=\text{True}\right]$表示如果$Z$为真，猜对$Z$的概率。
• $\mathrm{Pr}\left[\text{Guess Z}=\text{True}|Z=\text{False}\right]$表示如果$Z$为假，猜错$Z$的概率。

如果$\lambda$不够大，决策问题肯定很容易。

下面给出一些决策难题，其中$\mathbb{G}$是来自配对群e：$\mathbb{G}\times \mathbb{G}\to {\mathbb{G}}_T$。

决策DH问题(Decisional Diffie-Hellman Problem, DDH)
实例：$g,g^a,g^b,Z\in \mathbb{G}$ ，$\mathbb{G}$是个一般的循环群。
计算：$Z\stackrel{\text{?}}{=}{g}^{ab}$
解读： 给定$g,g^a,g^b,Z$ ，但我们并不知道$a$和$b$的具体值，因此$g^{ab}$的值在计算上是不可得的。因此现在没有一个有效的算法能够判断$Z\stackrel{\text{?}}{=}{g}^{ab}$。

变种决策DH问题(Variant Decisional Diffie-Hellman Problem, Variant DDH)
实例：$g,g^a,g^b,g^{ac},Z\in \mathbb{G}$，$\mathbb{G}$是一个一般的循环群。
决策：$Z\stackrel{\text{?}}{=}{g}^{bc}$
解读： 给定$g,g^a,g^b,g^{ac},Z$，与标准的DDH问题类似，由于我们不能直接计算出$b$或$c$的值，因此$g^{bc}$在计算上是不可得的，因此现在没有一个有效的算法能够判断$Z\stackrel{\text{?}}{=}{g}^{bc}$。

决策双线性DH问题(Decisional Bilinear Diffie-Hellman Problem, DBDH)
实例：$g,g^a,g^b,g^c\in \mathbb{G},Z\in {\mathbb{G}}_T$
决策：$Z\stackrel{\text{?}}{=}e(g,g{)}^{abc}$
解读： 给定$g,g^a,g^b,g^c$，计算$e(g,g{)}^{abc}$。从BDH问题中我们可以得出，计算a,b,c的值是不可能的，因此计算$e(g,g{)}^{abc}$是困难的。所以现在没有一个有效的算法能够判断$Z\stackrel{\text{?}}{=}e(g,g{)}^{abc}$。

决策线性问题（Decisional Linear Problem）
实例：$g,g^a,g^b,g^{a{c}_1},g^{b{c}_2},Z\in \mathbb{G}$
决策：$Z\stackrel{\text{?}}{=}{g}^{c_1+c_2}$
解读： 给定$g,g^a,g^b,g^{a{c}_1},g^{b{c}_2}$，计算$g^{c_1+c_2}$。从DDH问题中我们可以得出计算$a,b,c_1,c_2$的值是困难的，从而从$g^{a{c}_1},g^{b{c}_2}$中提取出$c_1,c_2$是困难的，因此现在没有一个有效的算法能够判断$Z\stackrel{\text{?}}{=}{g}^{c_1+c_2}$。

q-决策扩展双线性DH指数问题（q-Decisional Augmented Bilinear Diffie-Hellman Exponentiation Problem, q-DABDHE）
实例：$g,g^a,g^{a^2},\cdots ,g^{a^q},h,h^{a^q+2}\in \mathbb{G}$，$Z\in {\mathbb{G}}_T$
决策： $Z\stackrel{\text{?}}{=}e(g,h{)}^{a^{q+1}}$
解读： q-DABDHE问题的关键是无法直接计算出$a^{q+1}$并验证该结果。提供的实例条件很难推导出$a^{q+1}$，复杂性比DBDH问题更高，映射关系更加困难。
运用场景：身份基加密，分层加密方案。

Decisional ( P,Q,$f$ ) - GDHE Problem
实例：$g^{P(x_1,x_2,\cdots ,x_m)}\in \mathbb{G}$,$e(g,g{)}^{Q(x_1,x_2,\cdots ,x_m)}$,$Z\in {\mathbb{G}}_T$
$P=(p_1,p_2,\cdots ,p_s)\in {\mathbb{Z}}_p[X_1,\cdots ,X_m{]}^s$是一个由变量m多项式组成的s元组。
$Q=(q_1,q_2,\cdots ,q_s)\in {\mathbb{Z}}_p[[X_1,\cdots ,X_m{]}^s$是一个由变量m多项式组成的s元组。
$f\in {\mathbb{Z}}_p[X_1,\cdots ,X_m]$
$f\ne \sum a_{i,j}{p}_i{p}_j+\sum b_i{q}_i\text{ holds for }\forall a_{i,j},b_i$
决策：$Z\stackrel{\text{?}}{=}e(g,h{)}^{f(x_1,x_2,\cdots ,x_m)}$

Decisional ($f$, g, F)-GDDHE Problem
实例：$g,g^a,g^{a^2},\cdots ,g^{n-1},g^{af(a)},g^{baf(a)}\in \mathbb{G}$
$h,h^a,h^{a^2},\cdots ,h^{a^{2k}},h^{b\cdot g(a)}\in \mathbb{G}$
$Z\in {\mathbb{G}}_T$
$f(x),g(x)$是阶数为n,k,且阶数互素的多项式。
决策：$Z\stackrel{?}{=}e(g,h{)}^{b\cdot f(a)}$