Score:3

MuSig: การโจมตีคีย์อันธพาลสามารถบรรเทาลงได้โดยใช้การผูกมัดแทนการแปลงคีย์หรือไม่?

ธง eg

พื้นหลัง

MuSig เป็นส่วนเสริมของ/มาจากลายเซ็นของ Schnorr โดยใช้กลุ่มวงกลมบนเส้นโค้งวงรี ใน กระดาษต้นฉบับผู้เขียนชี้ให้เห็นว่า multi-Schnorr ที่ไร้เดียงสานั้นเสี่ยงต่อการถูกโจมตีด้วยคีย์อันธพาล:

ที่ให้ไว้ $\Bbb G$ เป็นกลุ่มวัฏจักรของไพรม์ออร์เดอร์ $g$ เป็นจุดกำเนิด; $H$ เป็นฟังก์ชันแฮช $m$ เป็นข้อความให้ลงชื่อ และมี $n$ ผู้เข้าร่วม:

อนุญาต $L = \{ X_1 = g^{x_1},..., X_n = g^{x_n} \}$ เป็นคีย์ผู้เข้าร่วมหลายชุด

ปล่อยให้แต่ละ nonce แบ่งปันเป็น $R_i = g^{r_i}$.

คำนวณการรวม nonce: $R = \prod_{i=1}^nR_i$

คำนวณคีย์รวม: $\tilde X = \prod_{i=1}^nX_i$

คำนวณความท้าทาย: $c = H(\tilde X, R, m)$

คำนวณแต่ละลายเซ็นบางส่วน: $s_i = r_i + cx_i$

คำนวณลายเซ็นรวม: $s = \sum_{i=1}^ns_i$

ลายเซ็นสำหรับคีย์รวม $\tilde X$ และข้อความ $m$ ตอนนี้ $(ร, ส)$ และสามารถตรวจสอบได้: $g^s = R\tilde X^c$

หากผู้เข้าร่วมคนหนึ่งเป็นนักแสดงที่ไม่ดีและรอที่จะรวบรวมคีย์ผู้เข้าร่วมคนอื่นทั้งหมดก่อนที่จะส่งคีย์ของเขาเอง เขาสามารถคำนวณคู่คีย์ที่อนุญาตให้เขาลงชื่อสำหรับกลุ่มโดยสลับผลคูณบางส่วน: $X_1 = g^{x_1} * {(\prod_{i=2}^nX_i)}^{-1}$

การสนับสนุนหลักของกระดาษ MuSig เป็นรูปแบบที่ป้องกันการโจมตีคีย์ปลอมโดยการแปลงคีย์ผู้เข้าร่วมแต่ละคีย์หลังจากการแลกเปลี่ยนคีย์ในลักษณะที่อนุญาตให้มีการรวมคีย์ในรูปแบบคีย์สาธารณะธรรมดา:

อนุญาต $\langle L \rangle$ เป็นคำสั่งกำหนดของ $L$.

อนุญาต $a_i = H(\langle L \rangle, X_i)$

คำนวณ $\tilde X = \prod_{i=1}^n{X_i}^{a_i}$

ปัญหาหนึ่งที่ทราบกันดีเกี่ยวกับการแลกเปลี่ยน nonce คือภายใต้เซสชันพร้อมกันกับ nonce ที่แชร์ล่วงหน้า ผู้โจมตีสามารถใช้การโจมตีวันเกิดทั่วไปของ Wagner เพื่อไบอัสเอาต์พุตแฮช และปลอมแปลงลายเซ็นได้อย่างมีประสิทธิภาพ วิธีแก้ไขปัญหานี้คือการให้ผู้เข้าร่วมทุกคนยอมรับในคุณค่า nonce และแบ่งปันความมุ่งมั่นล่วงหน้าแทนที่จะเป็น nonce เมื่อถึงเวลาสร้างลายเซ็นกลุ่ม nonce จะถูกแลกเปลี่ยน และโปรโตคอลจะยกเลิกหาก nonce ที่ได้รับไม่ได้จับคู่กับข้อผูกมัด

คำถาม

การโจมตีด้วยคีย์ปลอมสามารถแก้ไขได้โดยการใช้คีย์สาธารณะก่อนที่จะแลกเปลี่ยนคีย์เหล่านั้นหรือไม่ สิ่งนี้จะช่วยให้ผู้เข้าร่วมทุกคนสามารถตรวจจับได้ว่ามีผู้เข้าร่วมรายอื่นพยายามควบคุมคีย์สาธารณะของเขาเพื่ออนุญาตให้ใช้ลายเซ็นเดียวสำหรับกลุ่มหรือไม่ เซสชันนั้นสามารถถูกละทิ้งและคีย์รวมที่ฉ้อฉลจะถูกเพิกเฉย

สิ่งนี้เพียงพอที่จะลดการโจมตีด้วยคีย์ปลอมหรือไม่ หรือไม่มีการรับประกันความปลอดภัยในบางสถานการณ์

Aman Grewal avatar
gb flag
เป็นเรื่องยากที่จะอ่านบล็อกโค้ดขนาดใหญ่สำหรับสิ่งที่ไม่ใช่โค้ด ไซต์นี้ยังรองรับมาร์กอัป $\LaTeX$ คุณช่วยแก้ไขคำถามของคุณเพื่อให้อ่านง่ายขึ้นได้ไหม
Jonathan Voss avatar
eg flag
@AmanGrewal ฉันไม่รู้จักมาร์กอัปลาเท็กซ์และสงสัยว่าโพสต์อื่นทำสำเร็จได้อย่างไร ฉันจะอัปเดตโพสต์เธสเตต

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา