บรรจวบ เข้าสู่ระบบ
Score:2
avatar Crypto

Poly1305 การใช้ซ้ำของ r

ธง ru
SRobertJames

การใช้งาน Poly1305 $r, r^2, r^3$ และ $r^4$. ฉันเข้าใจสิ่งนี้ถ้า $r$ เป็นตัวกำเนิดของเขตจำกัด แต่ตั้งแต่ $r$ สามารถเป็นตัวเลขที่ไม่ใช่ศูนย์แบบสุ่มใด ๆ เลขชี้กำลังของมันจะกระจายแบบไม่สม่ำเสมอหรือไม่ คือ แม้ว่า $r$ ถูกเลือกด้วยการสุ่มชุดทั่วสนาม $r^4$ ไม่สม่ำเสมอทั่วสนาม ทำไมสิ่งนี้ถึงไม่เป็นจุดอ่อน?

โปรดทราบว่าเอกสารของ Bernstein* ใช้โครงร่างที่คล้ายกันสำหรับ ใดๆ เขตข้อมูล จำกัด โดยใช้ถึง $r^8$หมายความว่าเป็นที่ยอมรับสำหรับ เขตข้อมูลจำกัดใดๆ.

* ส่วนที่ 4.2 ของ https://cr.yp.to/antiforgery/pema-20071022.pdf ใช้ $r$ 8 ครั้ง แต่ละครั้งมีเลขชี้กำลังสูงกว่า

222
1 + 3
Fractalice avatar
in flag
Fractalice
คุณหมายถึงอะไรโดย "สูงถึง r^8"
0
ตอบกลับ
ru flag
SRobertJames
@Fractalice แก้ไขด้วยคำตอบ
1
ตอบกลับ
Fractalice avatar
in flag
Fractalice
ขอบคุณ ฉันเห็น 8 ครั้ง แต่ฉันยังไม่เห็น "แต่ละรายการที่มีเลขชี้กำลังสูงกว่า" ที่นั่น
0
ตอบกลับ
Score:4
Fractalice avatar Crypto
ธง in
Fractalice

แน่นอน โมดูโลเป็นนายกอยู่แล้ว $r^2$ ไม่สม่ำเสมอ - เป็นไปได้เพียงครึ่งเดียวของค่า แม้ว่าพหุนามที่คำนวณได้จะไม่เป็นไปตามการแจกแจงแบบสม่ำเสมอ ความไม่สม่ำเสมอนั้นมีขอบเขต: แต่ละค่าเอาต์พุตของพหุนามอาจมีได้มากที่สุด $L$ ภาพล่วงหน้า (ราก) ที่ไหน $L$ คือดีกรีเท่ากับจำนวนบล็อก หมายความว่าความน่าจะเป็นอาจเพิ่มขึ้นจาก $1/อาร์$ ถึง $L/R$, ที่ไหน $R$ เป็นจำนวนที่เป็นไปได้ทั้งหมด $r$ (ซึ่งเป็น $2^{106}$ ใน Poly1305) เพื่อให้ได้ความน่าจะเป็นของความสำเร็จที่ไม่สำคัญ เราต้องพยายามปลอมแปลงด้วยบล็อกจำนวนมาก

โปรดทราบว่าเอาต์พุตถูกปิดบังโดยการเพิ่ม AES(ไม่มี). สิ่งนี้ทำให้การทำนาย MAC ของคนตาบอดไร้ประโยชน์ การโจมตีที่ทรงพลังที่สุดในที่นี้คือความพยายามในการปลอมแปลงข้อมูลที่แตกต่าง: ให้ a (ข้อความ nonce แท็ก) สามเท่า สร้างอีกสามเท่า (ข้อความ', nonce, แท็ก'). nonce เดียวกันลบ AES(ไม่มี) จากการพิจารณาในส่วนต่าง $(แท็ก' - แท็ก)$. เรา "เท่านั้น" ที่ต้องทำนาย โพลี (ข้อความ ') - โพลี (ข้อความ) สำหรับใดๆ ข้อความ และ ข้อความ' ทางเลือกของเรา ซึ่งเป็นเรื่องยากเนื่องจากผลต่างของพหุนามที่ไม่เท่ากันยังคงเป็นพหุนามที่ไม่ใช่ศูนย์ที่มีดีกรีเท่ากันหรือน้อยกว่า และความน่าจะเป็นที่จะเดาผลลัพธ์ที่ถูกต้องนั้นมีน้อย

การให้เหตุผลนี้ใช้ได้กับฟิลด์จำกัดใดๆ

แก้ไข: ขอบคุณ @poncho ที่สังเกตเห็นความสับสนที่เป็นอันตรายของ xor และนอกเหนือจาก GF(p)

แก้ไข: ใน https://cr.yp.to/antiforgery/pema-20071022.pdf Bernstein แนะนำ MAC ที่ใช้ dot-product เป็นครั้งแรก นั่นคือ.. $MAC(m) = m_1r_1 + m_2 r_2 + ... + s$. เดอะ $n=8$ การแชร์ถูกเลือกไว้สำหรับภาพประกอบเท่านั้น เนื่องจากอนุญาตให้เซ็นชื่อข้อความได้ 8 บล็อกเท่านั้น ย้ำอีกครั้งว่าทำขึ้นเพื่อเหตุผลทางการศึกษาเท่านั้น และเพื่อแสดงสิ่งก่อสร้างทางประวัติศาสตร์ที่ "บริสุทธิ์" ต่อมาในกระดาษเขาแทนที่ $r_i$ กับ $r^i$: สิ่งนี้ทำให้สามารถหลีกเลี่ยงการสร้างและจัดเก็บข้อมูลหลอกเทียมที่เต็มเปี่ยมได้ $r$'s. ในทำนองเดียวกัน สุ่มอย่างเต็มที่ $s$ สามารถแทนที่ด้วยเช่น AES(ไม่มี).

0 + 10
cn flag
CodesInChaos
คุณอาจต้องการเพิ่มเติมในส่วน "เขตข้อมูลจำกัดใดๆ" ของคำถาม
0
ตอบกลับ
ru flag
SRobertJames
ขอบคุณ. คุณช่วยอธิบายคณิตศาสตร์หน่อยได้ไหม ฉันเข้าใจว่าคุณกำลังพูดว่า: ถ้าเราจะใช้ค่า $r$ แยกกัน 8 ค่า (ตามที่เอกสารอื่นๆ ของ Bernstein แสดง) คุณจะมีความน่าจะเป็น $1/R$ ในการเดา $a$ เนื่องจากเราใช้ $r$ เพียงวิธีเดียว และใช้วิธียกกำลัง $L = 8$ คุณจึงมีโพรบ $L/R$ เหตุใด $L$ จึงเป็น _max_ เลขชี้กำลัง ฉันคาดว่ามันจะเป็น _sum_ ของ _all_ เลขชี้กำลัง (เช่น ถ้าค่าสูงสุดคือ $r^8$, $L = 15$)
0
ตอบกลับ
ru flag
SRobertJames
"อันที่จริง โมดูโลไพรม์ $r^2$ นั้นไม่สม่ำเสมออยู่แล้ว - เป็นไปได้เพียงครึ่งเดียวของค่า" สิ่งนี้ดูมีเหตุผล แต่ฉันไม่สามารถพิสูจน์ได้ คุณช่วยแสดงว่าคุณได้รับมันมาได้อย่างไร?
0
ตอบกลับ
poncho avatar
my flag
poncho
@SRobertJames: อืม ของค่าที่ไม่ใช่ศูนย์ ครึ่งหนึ่งเป็นโมดูโลที่ไม่มีสารตกค้างกำลังสอง $p = 2^{130}-5$; ค่าเหล่านี้เป็นค่า (ตามนิยาม) ที่ไม่สามารถแสดงในรูปแบบ $r^2 \bmod p$ นั่นคือ ไม่มีค่าที่เป็นไปได้ที่ $r$ ซึ่ง $r^2$ เป็นค่าเหล่านั้น และด้วยเหตุนี้ ค่าเหล่านั้นจึงมีความน่าจะเป็น 0 ที่จะปรากฎ
0
ตอบกลับ
poncho avatar
my flag
poncho
"โปรดทราบว่าเอาต์พุตถูกปกปิด (xored) โดย AES(ไม่มี)"; จริงๆแล้วมันถูกเพิ่มเข้ามา สิ่งหนึ่งที่ฉันสังเกตเห็นมาระยะหนึ่งคือถ้าคุณแทนที่ส่วนเสริมนี้ด้วย xor (ตามที่คุณเขียน) ความเป็นไปได้สูงที่จะมีการปลอมแปลงค่อนข้างเป็นไปได้...
1
ตอบกลับ
Fractalice avatar
in flag
Fractalice
@poncho คุณพูดถูก จับให้ดี! หลักฐานครอบคลุมเฉพาะความแตกต่างของ GF(p) ในขณะที่ xor AES(ไม่มี) เราต้องพิจารณาการกระจายของความแตกต่างของ xor แต่คุณมีการโจมตีที่มีความเป็นไปได้สูงอย่างเป็นรูปธรรมสำหรับกรณีนี้หรือไม่?
0
ตอบกลับ
Fractalice avatar
in flag
Fractalice
@SRobertJames พหุนามที่คำนวณได้คือ $m_1 r^1 + m_2r^2 + ... + m_8 r^8$ ($m_i$ คือบล็อกข้อความ $i$-th) ไม่ว่าจะมีกี่เทอม มันมีดีกรี 8 ดังนั้น L = 8
0
ตอบกลับ
poncho avatar
my flag
poncho
@Fractalice: ใช่ ฉันพบส่วนต่าง (สำหรับทั้งข้อความและแท็ก) ที่ประสบความสำเร็จด้วยความน่าจะเป็น 0.25 หรือ 0.5 นานมาแล้ว - ฉันจะดูว่าฉันจะขุดมันได้หรือไม่...
0
ตอบกลับ
Fractalice avatar
in flag
Fractalice
@poncho ฉันเข้าใจแล้ว การคูณด้วย -1 mod $2^{130}-5$ นั้นใกล้เคียงกับ xoring ด้วย all-one bitstring เราจึงสามารถใช้ค่าที่เข้ารหัสได้สูงสุด $c_1=2^{129}$ และค่าลบ $c_1'=2^{129}-5$ XOR ดูเหมือนจะเท่ากับโมดูลัส $2^{130}-5$ โดยมีความเป็นไปได้สูง
0
ตอบกลับ
Fractalice avatar
in flag
Fractalice
ถ้าเลขชี้กำลังเป็น 131 มันจะไม่ทำงาน!
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา