71、基于配对的密码系统从复合阶群到素数阶群转换的局限性

基于配对的密码系统从复合阶群到素数阶群转换的局限性

1. SGH假设下的实例化

首先，回顾子群隐藏（SGH）假设：
假设存在一个算法 $G$，它输出一个元组 $(p, q, G, G_T, e)$，其中 $G$ 和 $G_T$ 都是阶为 $n = pq$ 的群，$e: G × G → G_T$ 是一个非退化的双线性映射。当在计算上无法区分 $G$ 中的元素和 $G_q$ 中的元素时，我们称 $G$ 满足子群隐藏假设。更正式地说，对于所有多项式时间概率（PPT）敌手 $A$，存在一个可忽略函数 $ν(·)$ 和一个安全参数 $k_0$，使得对于所有 $k > k_0$ 有：
[
Pr
\left{
\begin{array}{l}
(p, q, G, G_T, e) ← G(1^k); n = pq; x ← G : A(n, G, G_T, e, x) = 0
\end{array}
\right}
-
Pr
\left{
\begin{array}{l}
(p, q, G, G_T, e) ← G(1^k); n = pq; x ← G : A(n, G, G_T, e, x^p) = 0
\end{array}
\right}
< ν(k)
]

为了在这个假设下实例化盲签名方案，我们使用阶为 $n = pq$ 的群 $G$，其中 $p$ 和 $q$ 是素数。定义 $B = G$，$\tau$ 为恒等映射，这样就可以使用 $E = e$。只需要一个 $h_i$ 元素，即 $h_1$，它在绑定设置中生成 $G_q$，在隐