 Bonjour tout le monde, je m'appelle Balthazar Bohr et je suis heureux de présenter une classification de assumptions computationnelles dans le modèle de l'AGBRI Group, un travail joint avec Georg Fuchsbauer et Julian Laws. Tout d'abord, je vais rappeler ce que le modèle de l'AGBRI Group est. Ensuite, je vais expliquer comment nous classifierons beaucoup de assumptions computationnelles dans ce modèle. Finalement, je vais expliquer nos résultats de séparation que nous avons obtenus dans ce modèle. Pour comprendre l'intérêt du modèle de l'AGBRI Group, nous devons comparer avec d'autres models computationnelles. Donc, supposons-nous que nous sommes dans un contexte cryptographique et que l'adversarié recevra, d'un challenger, quelques groupes d'éléments et qu'il compute un nouveau groupe d'éléments. Pourquoi ? Si nous sommes dans le modèle de l'AGBRI Group, les éléments groupes ne sont pas très connus par l'adversarié. Il voit juste le symbole random, qui est complètement indépendant de leurs valeurs réelles. Pour compter un nouveau groupe d'éléments, il doit demander des enquêtes pour un oracle. Ce oracle va compter l'opération des groupes pour l'adversarié et va lui envoyer le nouveau symbole, qui correspond à la somme des groupes d'éléments qui sont envoyés au oracle. Et parce que l'oracle connaît toutes les groupes d'éléments qui sont faites par l'adversarié, parce que, en réalité, elle fait elle-même ces groupes d'éléments, c'est-à-dire que l'oracle peut déduire comment l'adversarié compute le groupe d'éléments de l'output de l'input des groupes d'éléments. Et pour cette raison, si on change un petit peu le modèle par poursuivre l'adversarié à l'output, la représentation scolaire de l'output du groupe d'éléments, et quand je dis la représentation scolaire, je veux dire qu'on force l'adversarié à expliquer à nous comment il compute ce groupe d'éléments de l'input des éléments, il ne change pas le modèle, c'est équivalent à l'adversarié. L'adversarié à l'adversarié est entre le modèle de l'adversarié et le modèle standard. Dans ce modèle, l'adversarié a accès aux valeurs réelles des éléments de groupe, mais il continue de nous donner la représentation scolaire de l'output du groupe d'éléments. C'est vraiment différent de l'adversarié de l'adversarié, parce que dans le modèle de l'adversarié du groupe d'éléments, l'adversarié n'a pas accès aux valeurs réelles de l'information, et puis nous pouvons faire des prouves de sécurité en utilisant des arguments théorétiques de l'information. Mais dans le modèle de l'adversarié du groupe d'éléments, parce que l'adversarié a accès aux valeurs réelles de l'information, nous ne pouvons pas utiliser ces sortes d'arguments, et nous devons utiliser une réduction exactement comme dans le modèle de l'adversarié. Maintenant, j'ai expliqué à vous la différence entre le modèle de l'adversarié et le modèle de l'adversarié. Je voudrais vous montrer pourquoi ce modèle est assez différent de le modèle de l'adversarié. Donc, dans le modèle de l'adversarié, nous ne savons pas si le de l'adversarié et le CDH sont équivalents. Nous savons que le de l'adversarié est plus difficile que le de l'adversarié du groupe d'éléments, mais nous ne savons pas si le de l'adversarié est très difficile ou pas. Mais dans le modèle de l'adversarié du groupe d'éléments, nous pouvons montrer que ces problèmes sont équivalents, et si il existe un algorithme algoritme d'algebraie qui résuelche le problème de CDH, nous pouvons construire un adversariat qui s'adresse à la décision d'input des instances de délog. Il s'applique uniformement à la trondom de l'inverse, et il demande une personne utopique duschool. Nous sommes désormais membre à recréer de la solution CDH et la représentation coordinate comparement au Y. l1, l2 et l3, comme cela, l1g plus l2x plus l3x plus bg sont equal à y. Et de cette équation, nous pouvons facilement déduire l'équation scalaire en zp. Et parce que c'est une très simple équation, c'est juste une équation quadratique très simple que nous pouvons faire avec Perlecom, pour exemple. Nous pouvons obtenir deux solutions et l'une de ces solutions sera le logarithm discreet de x dans base g et donc la solution de l'instance de dix longs, g et x. Finalement, nous avons prouvé que dans le modèle algébrique, de nouvelles réductions de sécurité sont élevées. Donc c'est un modèle très promisant. Et nous aimerions étudier beaucoup d'autres assumptions computationnelles dans ce modèle-là. Par exemple, nous aimerions étudier l'assumement exponentiel de l'Helman-QD. Dans ce problème, l'adversaire a reçu toutes les x à la haine, de la haine est 0 à q et doit compter la prochaine pouvoir de x dans base g. Ce problème est un petit peu plus complexe que le CDH, mais parce que l'HGM semble puissant, il pourrait être intéressant de voir si le log est équivalent au CDH dans ce modèle-là. Et parce que nous sommes ambitieux, nous aimerions aussi étudier une assumption plus complexe, comme l'assumement de l'Helman-QD. Cette assumption est similaire à la première, mais un petit peu plus complexe parce que nous sommes dans un contexte bilinaire, puis l'adversaire a reçu deux générateurs en lieu d'un, et comme l'adversaire a reçu cette valeur c, et doit avoir reçu une sur x plus c times g1. Et même si cette assumption est complexe, ce serait un bon résultat si nous pouvons montrer que c'est équivalent au delog. Et je pouvais continuer à décrire comme beaucoup d'assumptions dans l'adversaire. Et pour chaque assumption, il pourrait être intéressant de vérifier si c'est équivalent au delog dans le modèle algebraique. Mais ça semble très laborieux. Donc nous devons utiliser une fréquence powerful si nous voulons étudier toutes ces assumptions. Mais pourtant, cette fréquence powerful existe déjà. C'est appelé l'assumement de l'Helman-QD, et il a été développé par Bonnie Boyan-Hungo en 2005. Cette fréquence nous permet de décrire une assumption avec des paramètres très simples. Les paramètres sont une vectorité de l'art multivariate et un paramètre de l'art target, qui est p. Et dans ce problème, l'adversaire a reçu toutes les r, i, x times g de i equals 1 à n avec x, qui est une vectorité scolaire et l'adversaire a reçu toutes les r, i, x times g. Pourquoi cette fréquence est si powerful ? Parce qu'elle couvre des assumptions comme cdh, si r equals 1, x, y, et p equals x times y, c'est complètement l'adversaire de l'Helman-QD. Et il couvre aussi des assumptions comme l'adversaire de l'Helman-QD parce qu'il n'y a que l'une qui est indéterminée et si toutes les r, i equals monoméles x et p equals x to the q plus 1, c'est exactement l'adversaire de l'Helman-QD. Donc on peut dire qu'on a trouvé un bon moyen de décrire beaucoup d'assumptions. Mais il y a un petit problème parce que cette fréquence décrète aussi un problème facile. Par exemple, si p est dans le span de r, il y a une très simple résolution p est equal à summe de r, i, r, i et de cette équipe de polynomial on réduit la égalité de la scalar par évaluer cette polynomial à x et de cette égalité de la scalar on réduit une équipe de groupe et de cette équipe de groupe on réduit une équipe de groupe par évaluer cette équipe de groupe Mais pourtant, Bonnet, Boyan et Gau ont dit que si cette relation triviale n'était pas satisfaite alors ces problèmes étaient dans le modèle de générique et pour cette raison on espère avoir un résultat dans le modèle de groupes algebras Nous sommes heureux mais il y a un petit problème parce que qsdh n'est pas décrète par la fréquence Uber pour beaucoup de raisons parce que nous sommes dans un contexte bilinaire aussi parce que l'adversaire peut choisir le target quand l'adversaire choisit le c c'est comme si l'adversaire choisit le target entre ce set de targets et aussi parce que le target n'est pas plus un polynomial c'est une fraction rationnelle mais les héros, Bonnet et Boyan et Gau ont dit que nous pouvons facilement externer le framework pour un contexte bilinaire et aussi changer la définition pour avoir des fractions rationnelles plutôt que des polynomiaux et nous pouvons aussi choisir l'adversaire pour choisir le target entre le set de tous les targets non triviales Nous avons trouvé un moyen de décrire beaucoup d'assentations, nous pouvons reformuler l'adversaire pour qu'il soit possible de réduire l'adversaire pour toutes les assumptions non triviales Sinon, nous ne pouvons pas le faire mais si nous regardons une définition plus générale de l'adversaire, c'est que l'adversaire nous pouvons avoir des résultats intéressants donc quel est le problème de l'adversaire de l'adversaire ? Pour vous montrer nos résultats je vais vous concentrer sur un cas simple qui est le cas unifarié En ce cas, il n'y a que l'une indéterminée Alors, supposons-nous que l'adversaire existe contre le problème de l'adversaire Alors, si toutes les lignes de l'adversaire n'ont pas été abondées par Q je peux construire un adversaire contre QDLog Comme ça, l'adversaire ne fonctionne pas Il fait un challenge de QDLog et de ce challenge il compute un instant pour le problème de l'adversaire et il fait cela parce que les lignes de l'adversaire n'ont pas été abondées par Q Ensuite, il envoie le challenge de l'adversaire et il recueille une solution pour ce problème et parce qu'il est algebraique il recueille aussi la représentation scolaire de P, le gros élément puis il déduise une équation dans le groupe G et de cette équation exactement comme dans la reduction CDH il déduise une équation dans Zp c'est encore une équation vraiment facile pour le solider, c'est juste une équation dans un fil final il y a un peu de solutions et l'une des solutions est le logarithm discret de X1 en base G c'est la solution de l'instance QDLog On peut facilement adapter notre prof pour un contexte bilinaire et si on embed le challenge dans chaque ordinate dans un cas multivarié exactement comme pour la reduction CDH on peut aussi prouver un résultat analog pour le cas multivarié parce qu'on n'a jamais utilisé le fait que P est connu au début de la reduction notre prof fonctionne parfaitement pour le cas complexe et parce que chaque fraction rationnelle pourrait être transformée dans une équation polinomiale ou notre prof pourrait être adaptée pour la case rationnelle et finalement exactement comme Bonnet-Boyenko notre prof de sécurité couvert QSDH pour ce résultat nous sommes heureux mais nous ne sommes pas heureux parce qu'on voit des assumptions qui ne sont pas couvrées par le framework Uber par exemple la assumption QDLog dans ces assumptions l'adversariat recevra un challenge CDH et a accès à un oracle qui sait comment résoudre le problème CDH et ce problème n'est pas couvert par la définition prévue du framework Uber ce que nous devons faire nous devons établir la définition pour couvrir QDH donc nous sommes heureux mais nous ne sommes pas heureux parce qu'il y a d'autres assumptions qui ne sont pas couvrées par le framework Uber par exemple la assumption LRSW dans ces assumptions l'adversariat peut choisir M-star et A-star et mettre le polynomial A-star x plus M-star et x, y pour le target mais l'adversariat n'a pas output A-star M-G et ces modifications laissez LRSW au-delà de la famille Uber donc nous avons décidé d'extender encore la définition et d'autoriser l'adversariat pour choisir un nouveau générateur et retourner à l'output avec le target avec ces nouvelles définitions nous couvrons beaucoup de groupes et comme vous pouvez le voir il ressemble à des classes qui caractérisent l'armée des assumptions cryptographiques mais maintenant nous voulons savoir si ces classes sont vraiment différentes ou pas pour exemple nous voulons savoir si dans l'algebraic groupes modèles l'algebraique est équivalent à deux delogues et plus généralement si Q-1 delogue est équivalent à Q-delogue dans l'algebraique et si c'est le cas pour chaque Q cela signifie que l'algebraique est équivalent dans l'algebraique groupes modèles et ce serait un résultat vraiment intéressant mais d'un coup nous ne pouvons pas prouver un résultat pour chaque Q parce qu'on prouve que si il existe une réduction d'algebraique de Q-delogue à Q-plus-1-delogue cela implique que Q-delogue est facile et pour cette raison nous pensons que les classes sont vraiment différentes donc nous n'avons pas prouvé que le delogue est équivalent à chaque assumption mais nous avons un map intéressant pour décrire l'art de toute l'assumption maintenant, nous aimerons savoir si il existe un groupe d'assumptions qui ne sont pas dans ce map un bon candidat est l'assumption de l'algebraique dans cette assumption l'adversaire doit compter deux logarithmes et demande un oracle pour compter un logarithme discret il semble mais nous avons montré que cette assumption n'était pas impliquée par une assumption Q-delogue maintenant, j'ai présenté à vous tous les résultats de notre papier je vous remercie pour votre attention et je vous souhaite un bon jour