DDH仮定 - crypto-writeup-public

ある群 $G$ の $g, a, b$ を持ってきて、

$g^{ab}$ は $g^a, g^b$ を知っていたとしてもランダムな値に見える、という仮定

ところでDDH仮定は $Z_p^*$ では成り立たない。なぜなら $g^a, g^b$ のそれぞれに対してjacobi記号をとって積をとって、 $g^{ab}$ のjacobi記号と比べることで区別できる場合があるから（1/2くらいの確率でこれがあたる？）

また、楕円曲線DDHで、mod p素数で位数が $log^2(p)$ 程度に小さい $G$ をとってきた時にも仮定が崩れることがわかっている（ supersingular curveなど）。この問題はペアリングで次のように解けてしまうから

$G, aG, bG, cG$ があって、 $cG = abG$ かどうかを調べる。

$e(aG, bG) = e(G, G)^{ab}$

$e(G, cG) = e(G, G)^c$

なので $cG = abG$ なら上記は一致する