บรรจวบ เข้าสู่ระบบ
Score:3
CCS avatar Crypto

ความปลอดภัยของลายเซ็น Schnorr ขึ้นอยู่กับฟังก์ชันแฮชที่ใช้หรือไม่

ธง de
CCS

เมื่อสร้างลายเซ็น Schnorr หมายเลข $r$ เชื่อมกับข้อความเพื่อสร้างค่าใหม่ซึ่งถูกแฮชแล้วเพื่อให้เป็นตัวเลขแทน $e$. จำนวน $e$พร้อมด้วยข้อมูลอื่นๆ บางส่วนที่ใช้ระหว่างการตรวจสอบ จากนั้นจะถูกส่งไปยังผู้ตรวจสอบลายเซ็นผู้ตรวจสอบลายเซ็นจะพยายามคำนวณหมายเลขใหม่ $r$ โดยใช้ข้อมูลที่ได้รับมาและเมื่อทำเสร็จแล้วก็จะนำตัวเลขมาต่อกัน $r$ ที่พวกเขาคำนวณกับข้อความที่ได้รับและใช้ฟังก์ชันแฮชเดียวกันเพื่อให้ได้ผลลัพธ์ที่แสดงเป็น $อี\ไพรม์$. ถ้า $e\prime = อี$ลายเซ็นถูกต้อง

คำถามของฉันคือ: ฟังก์ชันแฮชที่ใช้มีส่วนสนับสนุนความปลอดภัยโดยรวมของอัลกอริทึมลายเซ็นหรือไม่ หรือใช้เฉพาะเมื่อลงนามเพื่อบีบอัดการต่อข้อมูลของตัวเลข $r$ และข้อความเป็นจำนวนบิตคงที่?

308
0 + 0
Score:5
Daniel S avatar Crypto
ธง ru
Daniel S

มันมีส่วนช่วยในการรักษาความปลอดภัย โดยเฉพาะฟังก์ชันแฮช $H$ ต้องเป็น âคำนำหน้าแบบสุ่มทนคำนำหน้าâ เพื่อให้ปลอดภัยจากการปลอมแปลงคีย์เท่านั้น และ âคำนำหน้าสุ่มคำนำหน้าคำนำหน้าทนทน เพื่อให้ปลอดภัยจากการปลอมแปลงข้อความที่ทราบ

โดย âคำนำหน้าแบบสุ่มทนคำนำหน้าâ เราหมายถึงค่าที่ส่งออก $e$ และการสุ่ม $r$มันยากที่จะหา $m$ ดังนั้น $H(r||m)=e$ (และในกรณีตัวอย่างที่สอง แม้ว่าจะมีตัวอย่างให้ก็ตาม $m$ยากที่จะหาตัวอย่างที่สอง)

ถ้ามันง่าย เราก็สามารถเลือกได้ตามอำเภอใจ $e$ และ $s$ และ (ตามกระบวนการตรวจสอบ Schnorr) คำนวณ $r=g^sy^e$ แล้วแก้ปัญหาภาพพรีอิมเมจของเรา $e$ และ $r$ เพื่อรับข้อความ $m$ ซึ่ง $(s,e)$ เป็นลายเซ็นที่ถูกต้อง โปรดทราบว่าเราไม่จำเป็นต้องมีอำนาจควบคุม $m$ ดังนั้นการโจมตีนี้จึงเป็นการโจมตีที่สำคัญเท่านั้นในการสร้าง Existential Forgery และโครงการจะไม่ปลอดภัยจาก EUF-KOA

ในทำนองเดียวกัน ในกรณีตัวอย่างที่สอง เราสามารถใช้ลายเซ็นที่มีอยู่สำหรับข้อความ $m$ และสร้างข้อความที่สอง $mâ$ กับ $H(r||m)=H(r||mâ)$. ลายเซ็น $(s,e)$ สำหรับ $m$ จะทำงานเป็นลายเซ็นสำหรับ $mâ$ และโครงการจะไม่ปลอดภัย EUF-KMA

0 + 0
cn flag
Maeher
สิ่งเหล่านี้เป็นคุณสมบัติที่ *จำเป็น* พวกเขาไม่รู้จักเพียงพอ
0
ตอบกลับ
Daniel S avatar
ru flag
Daniel S
เห็นด้วย แต่คุณสมบัติที่จำเป็นคือทั้งหมดที่จำเป็นในการแสดงว่าฟังก์ชันแฮชมีส่วนช่วยในการรักษาความปลอดภัย FWIW [Neven, Smart an Warinschi](http://www.neven.org/papers/schnorr.html) แสดงให้เห็นความเพียงพอในแบบจำลองกลุ่มทั่วไป
1
ตอบกลับ
cn flag
Maeher
ใช่มันตอบคำถาม ฉันแค่คิดว่าคำตอบนั้นอาจถูกเข้าใจผิด
2
ตอบกลับ
kelalaka avatar
in flag
kelalaka
มีวิธีใดที่จะแสดงว่ากลุ่มเป็นแบบทั่วไปหรือไม่?
0
ตอบกลับ
Daniel S avatar
ru flag
Daniel S
@kelalaka: ไม่ โดยทั่วไปคุณสมบัติที่กลุ่มทั่วไป/กล่องดำมีแนวโน้ม/ต้องเป็นสมมติฐาน (เช่น สมมติฐานนี้ทำกันอย่างกว้างขวางเกี่ยวกับกลุ่มเส้นโค้งวงรี) กลุ่มทั่วไปอยู่ในค่ายเดียวกันกับ PRPs และ PRFs: โครงสร้างทางทฤษฎีที่เราหวังว่าสิ่งดั้งเดิมของเราจะแยกไม่ออกจากกัน จาก
1
ตอบกลับ
kelalaka avatar
in flag
kelalaka
อย่างที่ฉันรู้ ดังนั้นการแสดงในรูปแบบทั่วไปจึงเป็นงานทางทฤษฎีที่แสดงให้เราเห็นว่า **ตราบเท่าที่** ไม่มีคุณสมบัติพิเศษของกลุ่มที่เราคาดว่าจะปลอดภัย
1
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา