Score:1

Crypto

เป็นไปได้ไหมที่จะยกเลิกการระบุชื่อผู้ใช้ในการร้องเพลงตาบอด RSA โดยไม่ทราบปัจจัยที่ทำให้ไม่เห็นแบบสุ่มเท่านั้น

Serbin

25/12/22 11:32

ตัวอย่างเช่น ในกรณีที่ใช้ RSA blind sign ในโปรโตคอล E-Voting:

เป็นไปได้หรือไม่ที่จะติดตาม (Sx, x) ถึง (Sb, b) หากผู้ลงนามและ Tallier เป็นบุคคลเดียวกัน

ในกรณีนี้ ผู้โจมตีสามารถเข้าถึง: ข้อความที่ปิดตา ข, การลงนามในข้อความที่ปิดตา ส, รหัสส่วนตัวและรหัสสาธารณะที่อนุญาตให้ลงนามและตรวจสอบข้อความ, ข้อความต้นฉบับ x และการลงนามในข้อความต้นฉบับ เอสเอ็กซ์. สิ่งเดียวที่ผู้โจมตีไม่รู้คือตัวเลขสุ่ม ร ที่บ๊อบใช้เพื่อปกปิดข้อความต้นฉบับ b=คนตาบอด(x,r)

1 + 0

ลายเซ็นตาบอด

Score:2

Crypto

poncho

25/12/22 13:09

เป็นไปได้หรือไม่ที่จะติดตาม (Sx, x) ถึง (Sb, b) หากผู้ลงนามและ Tallier เป็นบุคคลเดียวกัน

ไม่ (สมมติว่าปัจจัยที่ทำให้ไม่เห็นได้รับเลือกอย่างสม่ำเสมอโดยการสุ่ม)

ต่อไปนี้คือวิธีการทำงานของ RSA blinding: เพื่อลงนามในข้อความเติม $m$, Bob เลือกค่าสุ่ม $r$และส่ง $r^e \cdot ม \bmod n$ (ที่ไหน $e, n$ มาจากคีย์สาธารณะ) จากนั้นผู้ลงนามจะคำนวณ $(r^e \cdot m)^d = r \cdot m^d \bmod n$ (แล้ว Bob ก็เสร็จสิ้นกระบวนการด้วยการคำนวณ $r^{-1} \cdot (r \cdot m^d) = m^d$)

ประเด็นก็คือ (โดยไม่สนใจความน่าจะเป็นเล็กน้อยที่ $m$ หรือ $r$ ไม่ค่อยดีนัก $n$) แล้ว $r^e$ สามารถเป็นค่าใดก็ได้ และสำหรับข้อความใดๆ ที่เป็นไปได้ $m'$มีอยู่แล้ว $r'$ ดังนั้น $r'^e \cdot m'$ สอดคล้องกับคุณค่าที่ผู้ลงนามได้รับจากบ๊อบ นั่นคือ ค่าที่ Bob ส่งไปยังผู้ลงนามไม่ได้ให้ข้อมูลใดๆ เลย (จากมุมมองของการให้ข้อมูล) เกี่ยวกับข้อความที่ถูกเซ็นชื่อ และสิ่งนี้เป็นจริงแม้ว่าผู้ลงนามจะมีความสามารถในการคำนวณทรัพยากรจำนวนมากโดยพลการก็ตาม

ซึ่งรวมถึงข้อมูลใดๆ ที่ Tallier สามารถใช้เพื่อเชื่อมโยงการลงคะแนนกับผู้ลงนาม

โปรดทราบว่าฉันเริ่มต้นด้วย 'ปัจจัยที่ทำให้ไม่เห็นได้รับเลือกอย่างสม่ำเสมอ'; ถ้าไม่มี เช่น มีค่า $r$ ที่บ๊อบจะไม่เลือก ดังนั้นผู้ลงนามอาจสามารถเรียนรู้บางอย่างได้ (อาจเป็นไปได้ว่าบ๊อบมีค่าอะไร ไม่ ลงนาม)

0 + 9

Serbin

25/12/22 13:21

หากผู้ลงนามรู้ $S' = r \cdot m^d \bmod N$ เขาสามารถคำนวณ $m^d \bmod N$ ได้หรือไม่ (เพราะผู้ลงนามรู้ $m$ และ $d$) เพื่อหา $r$ ได้หรือไม่

ตอบกลับ

poncho

25/12/22 13:28

@Serbin: ถ้าผู้ลงนาม/ผู้ลงคะแนนรู้อยู่แล้วว่า Bob ลงคะแนนนั้น (และด้วยเหตุนี้จึงรู้ว่า $m$) ดังนั้น ใช่ เขาสามารถคำนวณ $r$ ได้ (นั่นไม่ใช่เรื่องสำคัญสำหรับการโต้แย้ง แม้ว่าจะเป็นเช่นนั้นก็ตาม ยาก). นี่ไม่ใช่การโจมตีโดยไม่เปิดเผยชื่อ เนื่องจากถือว่าผู้ลงนาม/Tallier ทำลายข้อมูลดังกล่าวแล้ว และถ้าพวกเขาคิดผิด (ถ้าอลิซลงคะแนนเสียงนั้นจริงๆ) พวกเขาสามารถกู้คืน $r$ ซึ่งน่าจะเป็นสิ่งที่บ็อบใช้ไปเมื่อเขาลงคะแนนเสียง และพวกเขาไม่ได้รับข้อบ่งชี้ว่าบ็อบไม่ได้ลงคะแนนเสียงนั้นจริงๆ

ตอบกลับ

Serbin

25/12/22 13:41

Tallier ได้รับ $m$ และ $S$ จากผู้ใช้ที่ไม่เปิดเผยตัวตน Tallier สามารถคำนวณ $x = m^d \bmod N$ สำหรับคำขอที่ได้รับ ในฝั่ง Signer พวกเขาแอบเก็บคู่ $m'$ และ $S'$ ขาเข้าทั้งหมดไว้อย่างลับๆ หากเราจะวนซ้ำ $S'$ ที่ลงนามทั้งหมด เราจะหา $r$ ได้ไหม (เช่น $r = S' \cdot x^{-1}$) ในการยืนยันเราสามารถใช้ $m' = r^e m \bmod N$

ตอบกลับ

poncho

25/12/22 14:10

@Serbin: พวกเขาทำได้อย่างแน่นอน - อย่างไรก็ตามขั้นตอนการยืนยันจะบอกว่า 'สอดคล้องกัน' เสมอ (ไม่ว่าจะเป็นการลงคะแนนของอลิซหรือของบ็อบ); ถ้าเรามี $x, m$ ตามอำเภอใจ (การโหวตของ Bob กับ $x^e = m$) และ $m', S'$ (การโหวตแบบตาบอดของ Alice กับ $S'^e = m'$) เราก็ยังสามารถคำนวณได้ ค่า $r = S' \cdot x^{-1}$ และพบว่า $r^e m = S'^e x^{-e} m = m' m^{-1} m = m'$ และสมการนี้ก็ยังคงอยู่ แม้ว่า Bob จะไม่ได้ลงคะแนนเสียงนั้นก็ตาม

ตอบกลับ

Serbin

25/12/22 21:03

นี่คือรหัสที่คำนวณความลับ $r$ หาก Tallier และ Signer เป็นบุคคลเดียวกัน: https://onecompiler.com/python/3x9hgtzyg ดูเหมือนว่าการแยกระบบ Signer/Tallier เป็นข้อกำหนดเบื้องต้นสำหรับการเซ็นชื่อแบบคนตาบอด

ตอบกลับ

poncho

25/12/22 21:08

@Serbin: มันคำนวณ $r$ ที่ดูน่าเชื่อถือจากการเดาผิด (อลิซทำลายเซ็นที่มองไม่เห็น แต่บ็อบส่งการลงคะแนนที่คุณกำลังดูอยู่) ถ้าเป็นเช่นนั้น จะบ่งชี้ได้อย่างไรว่าการคาดเดานั้นไม่ถูกต้อง นั่นคืออลิซไม่ได้เป็นผู้ส่งการโหวตที่เป็นปัญหาใช่หรือไม่

ตอบกลับ

Manish Adhikari

26/12/22 07:36

Poncho ได้บอกรายละเอียดกับคุณแล้ว แต่เริ่มแบบนี้ จุดรวมของการเซ็นชื่อแบบบอดคือเพื่อป้องกันสิ่งที่คุณถาม ถ้าฉันขอให้ผู้ลงนามลงนามในข้อความที่ไม่ปิดบังสองข้อความ และต่อมาให้ข้อความและลายเซ็นที่ไม่ปิดบังแก่ผู้ลงนามคนเดียวกันในลำดับใดๆ (ผู้ลงนามมีคีย์ส่วนตัว /สาธารณะ และทั้งข้อความและลายเซ็นที่ปกปิดและไม่ปิดบัง) ผู้ลงนามไม่ควรจะสามารถ เพื่อบอกว่ามีการสับเปลี่ยนลำดับหรือไม่ ลายเซ็นแบบบอดของ RSA ตามที่ Poncho บอกคุณแล้วเป็นข้อมูลที่ไม่สามารถเชื่อมโยงได้ในทางทฤษฎี

ตอบกลับ

Manish Adhikari

26/12/22 07:38

ผู้ลงนามไม่ควรบอกได้ว่าคำสั่งซื้อนั้นถูกเปลี่ยนหรือไม่* ดีกว่าการเดาแบบสุ่ม ฉันพลาดส่วนนี้ไป

ตอบกลับ

Serbin

26/12/22 19:30

ใช่ มันเป็นไปไม่ได้จริงๆ

ตอบกลับ

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: Is it possible to de-anonymize user in RSA blind singing without knowing the random blinding factor only?

TH: เป็นไปได้ไหมที่จะยกเลิกการระบุชื่อผู้ใช้ในการร้องเพลงตาบอด RSA โดยไม่ทราบปัจจัยที่ทำให้ไม่เห็นแบบสุ่มเท่านั้น

RO: Este posibil să dezanonimizați utilizatorul în cântatul orb RSA fără a cunoaște doar factorul de orbire aleatoare?

RU: Можно ли деанонимизировать пользователя в слепом пении RSA, не зная только случайного фактора ослепления?

VI: Có thể hủy ẩn danh người dùng khi hát mù RSA mà không chỉ biết yếu tố mù ngẫu nhiên không?

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา