问DH密钥交换协议

EN

把问题搞得乱七八糟比较容易。

当从Zp随机取b，而a是固定的时，指数的a+b模p的分布可以说是什么？

如果b是来自范围[0, p-1]的一致独立随机值，即每个可能值的概率是1/p，而b是独立于a分布的，那么a+b \bmod p是来自range [0, p-1]的统一独立( a)随机值；也就是说，a+b \bmod p是来自范围的任何可能值的概率也是1/p，而关于a的分布信息(例如它是一个固定值)并不会改变这一点。

查看此值(对于固定的a)的最简单方法是注意，对于任何目标值c = a+b \bmod p，必须为值a+b \bmod p选择唯一的b = c-a \bmod p值才是该值。b = c-a \bmod p发生的概率是1/p (因为该值在此范围内，我们假设该范围内的所有值的概率为1/p)，因此c = a+b \bmod p也是1/p。

有了这个，你的第一个问题很简单：

我想在这里问一下，为什么在问题2中，即使有无限的计算能力，我们也不能区分这两个分布呢？

爱丽丝看到了g^b或g^{a+b}；具有无限计算能力的对手可以解决离散日志，但这给了他b或a+b (对于随机b)；这两种概率分布是相同的，因此他无法区分它们。