设 $\Bbb{G}$ 是 n 阶有限循环群且生成元为 $g$ 。决策性 Diffie-Hellman(decisional Diffie–Hellm, DDH) 问题是对于均匀随机值 $a,b,c \in \Z_r$ ,可以区分 $(g^a, g^b, g^{ab})$ 与三元组 $(g^a, g^b, g^c)$ 区分开来。
如果我们认为 DDH 问题在 $\Bbb{G}$ 求解不可行,我们称为 $\Bbb{G}$ 是 DDH 安全群(DDH-secure group)
DDH 安全群是比 DLP 安全群更严格的假设,因为如果 DDH 问题不可行,那么 DLP 也不可行,但反之则不一定成立。
要证明以上结论,我们假设离散对数假设不成立。在这种情况下,给定一个生成元 $g$ 和一个群元素 $h$ ,我们容易计算出 $x \in \Z_p$ 满足 $h = g^x$ 。那么,决策性 Diffie-Hellman 假设也不成立,因为对于给定的三元组 $(g^a, g^b, z)$ ,我们可以首先计算出 $b$ ,然后计算 $g^{ab} = (g^a)^b$ 并确定 $z = g^{ab}$ 是否成立。
另一方面,以下示例展示了离散对数假设成立但决策性 Diffie-Hellman 假设不成立的群。
示例 44
设 $\Bbb{G}$ 是一个有限循环且生成元为 $g$ 的 $r$ 阶 DL安全群,另有 $\Bbb{G}_T$ 使得存在一个有效的可高效计算的配对映射 $e(\cdot,\cdot): \Bbb{G} \times \Bbb{G} \to \Bbb{G}_T$ ,且此配对映射是双线性和非退化的。
在这样的设定下,很容易证明 DDH 是可行的,因为对于给定的三元组 $(g^a, g^b, z)$ ,可以通过以下配对检查 $z = g^{ab}$ 是否成立:
$$ e(g^a,g^b) \overset{?}{=} e(g,z) $$
由于 $e(\cdot, \cdot)$ 具有双线性,这意味着 $e(g^a, g^b) = e(g, g)^{ab} = e(g, g^{ab})$ 并且通过 $e(g,y) = e(g, y')$ 可以推出 $y=y'$ 。由于非退化性,等式意味着 $z = g^{ab}$
由此可见, DDH 假设确实强于离散对数假设,且具有有效配对的群不可能是 DDH 安全群。