问泛型群模型之间的差异

EN

我试图理解Shoup [寿]描述的(经典的)泛型组模型与Schnorr和Jakobsson在[SJ00]中描述的稍微受限的泛型组模型之间的区别。为了清晰起见，我将给出这两个模型的定义。为此，我使用了论文[BL19]的解释。在这两种设置中，我们都有一个乘法循环群G = \langle g \rangle of order p。(GGM =通用群模型)

1. Shoup通用群模型

由于G与\mathbb{Z}_p同构，我们可以选择一个随机内射映射\tau: \mathbb{Z}_p \rightarrow \mathbb{G}，其中\mathbb{G}是长度为l \ (2^l \geq p)的位串集合，我们对组元素的离散日志而不是组元素本身进行编码。关键思想是映射\tau不需要是一个群同态。GGM假设对手无法获得组元素的具体表示。相反，对手可以访问由\tau参数化的oracle，后者在G中间接计算组操作。更准确地说，对于输入(a,b) \in \mathbb{G} \times \mathbb{G}，预言的作用如下所示Mult(a,b) = \tau(\tau^{-1}(a) + \tau^{-1}(b)), \ Inv(a) = \tau(-\tau^{-1}(a))。我们注意到，对手无法访问地图\tau本身。

1. 基于碰撞的Schnorr和Jakobssen GGM

一般算法的数据从G数据和非组数据中划分为组元素。一个通用步骤是mexp: \mathbb{Z}^d_q \times G^d \mapsto G, (\underline{a}, (f_1,...,f_d)) \mapsto \prod_{i=1}^d f_i^{a_i}。Formal定义：泛型算法是t泛型步骤的序列；对于时间1 \leq t' < t，算法将输入作为f_1,...,f_{t'}，其中(a_1,...,a_{i-1}) \in \mathbb{Z}^{i-1}_p任意依赖于i、非组元素和组以前“冲突”的集合CO_{i-1} := \lbrace (j,k) | f_j = f_k, 1 \leq j 。

主要的区别似乎是，Shoup模型中的攻击者为任何组元素(即任何泛型组查询的输出)提供了一个直接句柄\tau(g)。而第二个模型中的攻击者只能通过向通用组oracle提交查询(a_i, ..., a_{i-1}) \in \mathbb{Z}_p^{i-1}间接引用先前计算过的组元素。但这两个定义在我看来是如此的不同，如果有人能帮助我指出它们的不同之处和相似之处，我将非常感激。特别是，我想了解与Schnorr模型中的安全证明相比，Shoup模型中的安全性证明的优点。

事先非常感谢！