บรรจวบ เข้าสู่ระบบ
Score:1
avatar Crypto

ลายเซ็นของข้อมูลเอนโทรปีต่ำ: สามารถปลอมแปลงได้หรือไม่?

ธง cn
malaal

ฉันกำลังทำงานกับแอปพลิเคชันที่ฉันมีฉลากระบุผลิตภัณฑ์ที่จับต้องได้ซึ่งมีบล็อกของ สาธารณะ, ข้อมูลเอนโทรปีต่ำ (ประมาณ 50 ไบต์) เช่น หมายเลขซีเรียลและข้อมูลอื่นๆ ทั้งหมดพร้อมใช้งานบนฉลาก ฉันต้องการใช้อัลกอริทึมลายเซ็นที่ใช้แฮชเพื่อตรวจสอบความถูกต้องว่าผลิตภัณฑ์นั้นถูกต้อง

  1. นี่เป็นความคิดที่สมเหตุสมผลหรือไม่? ข้อมูลเอนโทรปีต่ำทำให้เกิดปัญหาหรือไม่?
  2. ต้องมีฉลากผลิตภัณฑ์เหล่านี้จำนวนเท่าใดจึงจะได้รับรหัสลับ

แก้ไข: อาจเป็นคำถามที่ดีกว่า ลายเซ็นนี้สามารถปลอมได้โดยไม่ต้องมีรหัสลับหรือไม่

  1. มีวิธีการทำเช่นนี้อย่างปลอดภัยด้วยข้อมูลเอาต์พุตเพียง 256 บิตหรือไม่
122
0 + 0
poncho avatar
my flag
poncho
"มีวิธีการทำเช่นนี้อย่างปลอดภัยด้วยข้อมูลเอาต์พุตเพียง 256 บิตหรือไม่"; คุณหมายถึง 'การลงนามข้อมูลเอาต์พุตเพียง 256 บิต' (ไม่ใช่ปัญหา) หรือมีลายเซ็นที่ยาวเพียง 256 บิต (นั่นเป็นเรื่องยาก - BLS ใกล้เคียงที่สุด แต่การได้รับระดับความปลอดภัยประมาณ 128 บิตยังคงต้องใช้ลายเซ็นประมาณ 384 บิต )
0
ตอบกลับ
cn flag
malaal
ฉันหมายถึงการมีลายเซ็นที่ยาวเพียง 256 บิต ฉันเข้าใจว่าฉันกำลังทำการแลกเปลี่ยนความปลอดภัยที่นี่ แต่ฉันต้องการที่จะเข้าใจว่าการแลกเปลี่ยนนั้นแย่แค่ไหน
0
ตอบกลับ
poncho avatar
my flag
poncho
BLS ที่อิงตามเส้นโค้งเช่น BN256I หรือ BN254N จะมีลายเซ็นประมาณ 256 บิต และปัจจุบันมีการประเมินว่าให้ความปลอดภัยประมาณ 100 บิต ดังนั้นหากคุณไม่รังเกียจที่จะลดความปลอดภัยลงบ้าง มันก็ดูเป็นไปได้...
1
ตอบกลับ
poncho avatar
my flag
poncho
การรักษาความปลอดภัยประมาณ 100 บิตน่าจะดีพอหากฝ่ายตรงข้ามของคุณไม่ใช่ TLA ที่มีแรงจูงใจจริงๆ (ไม่มีใครสามารถรวบรวมได้ทุกที่ใกล้เคียงกับการคำนวณมากขนาดนั้น ฉันไม่แน่ใจเกี่ยวกับ TLA) เป็นเพียงส่วนต่างความปลอดภัยน้อยกว่าที่เราคุ้นเคย แน่นอน BLS ไม่ปลอดภัยเลยหากฝ่ายตรงข้ามมีคอมพิวเตอร์ควอนตัม...
1
ตอบกลับ
Score:3
poncho avatar Crypto
ธง my
poncho
  1. นี่เป็นความคิดที่สมเหตุสมผลหรือไม่?

ฟังดูดีตราบเท่าที่:

  • คุณใช้คีย์ RSA ที่แข็งแกร่ง (เช่น อย่างน้อย 2048 บิต)

  • คุณใช้วิธีการขยายลายเซ็น RSA ที่ดี

  • คุณป้องกันไม่ให้ผู้โจมตีแก้ไขรหัสสาธารณะ RSA ที่คุณใช้ในการยืนยันด้วย

ข้อมูลเอนโทรปีต่ำทำให้เกิดปัญหาหรือไม่?

ไม่ ข้อมูลเอนโทรปีต่ำไม่มีปัญหา

  1. ต้องมีฉลากผลิตภัณฑ์เหล่านี้จำนวนเท่าใดจึงจะได้รับรหัสลับ

ไม่มีวิธีที่ทราบในการกู้คืนคีย์ส่วนตัว RSA แม้ว่าคุณจะให้ Oracle แก่ผู้โจมตีเพื่อลงชื่อจำนวนข้อความโดยพลการตามอำเภอใจ (ซึ่งเป็นสถานการณ์การโจมตีที่รุนแรงกว่าสิ่งที่คุณมี)

0 + 0
fgrieu avatar
ng flag
fgrieu
เพิ่มเติม: "วิธีการเติมลายเซ็น RSA ที่ดี" อาจเป็น [RSASSA-PSS ของ PKCS#1](https://pkcs1.grieu.fr/#page=27) หรือ ISO/IEC 9796-2 แบบแผน 2 หรือ 3 ( ซึ่งมีข้อดีตรงที่รหัสสาธารณะสามารถดึงข้อมูลเอนโทรปีต่ำจากลายเซ็นได้) ทั้งที่มี SHA-256 และ MGF1+SHA-256 คุณสามารถหลีกหนีจาก [RSASSA-PKCS1-v1_5 of PKCS#1](https://pkcs1.grieu.fr/#page=31) ซึ่งไม่มีการลดความปลอดภัยแต่ยังไม่เสียหาย หรือรูปแบบ ISO/IEC 9796-2 1 (ซึ่งเสียแต่ใช้ไม่ได้จริงในสถานการณ์ปัจจุบัน) ทั้งที่มี SHA-256
2
ตอบกลับ
Score:0
fgrieu avatar Crypto
ธง ng
fgrieu

ตามที่กล่าวไว้ใน คำตอบอื่น ๆ: ใช่ นี่เป็นแนวคิดที่สมเหตุสมผล RSA อนุญาตลายเซ็นที่ปลอดภัยของข้อมูลสาธารณะที่มีเอนโทรปีต่ำ ซึ่งสามารถตรวจสอบได้อย่างเปิดเผยว่าตรงกับข้อมูลดังกล่าว แต่ไม่สามารถสร้างได้หากไม่มีรหัสส่วนตัวตัวอย่างของลายเซ็นที่ถูกต้องและรหัสสาธารณะจะไม่เปิดเผยรหัสส่วนตัว หรือวิธีสร้างลายเซ็นอื่นๆ รูปแบบลายเซ็นที่เป็นมาตรฐานหลายๆ แบบทำสิ่งนี้เป็นประจำ (แต่แน่นอนว่าไม่มีสิ่งใดที่จะป้องกันการคัดลอกข้อมูลสาธารณะและลายเซ็นของข้อมูลนั้น)

ตอนนี้คำถามเพิ่ม:

มีวิธีการทำเช่นนี้อย่างปลอดภัยด้วยข้อมูลเอาต์พุตเพียง 256 บิตหรือไม่

ไม่ใช่กับ RSA ลายเซ็น RSA 256 บิตจะไม่ปลอดภัย เนื่องจากสิ่งเหล่านี้ (ภายในไม่กี่บิต) กว้างพอๆ กับโมดูลัสสาธารณะ และ 256 บิตก็เล็กเกินไป (384 บิตก็เล็กเกินไปในปี 1990 และมีความคืบหน้าอย่างมาก ตั้งแต่นั้นมา ดู นี้).

256 บิตนั้นใกล้จะถึงแล้ว และค่อนข้างจะผิดทางสำหรับรูปแบบลายเซ็นที่ผ่านการตรวจสอบอย่างดีซึ่งสามารถให้ความปลอดภัยสูงได้ ฉันเพิ่ง ถามเกี่ยวกับเรื่องนี้จัดทำรายการสิ่งที่ฉันรู้ในหมู่ ที่ได้มาตรฐาน แบบแผนโดยไม่มีอะไรต่ำกว่า 384 บิตที่ระดับความปลอดภัย 128 บิตที่แนะนำโดยทั่วไปสำหรับการรักษาความปลอดภัยระดับสูงในทศวรรษหน้า

ในทางกลับกัน ถ้าใครพอใจกับการรักษาความปลอดภัยแบบ 90 บิต (ซึ่งยังคงทำให้ต้นทุนการโจมตีที่คาดการณ์ไว้โดยใช้วิธีการในปัจจุบันเป็นพันล้านยูโร) และไม่ต้องการสิ่งที่เป็นมาตรฐาน ก็สามารถใช้ ลายเซ็น Schnorr สั้น ๆ (ซึ่งในชื่อจะเป็น 270 บิต) และเทคนิคเล็กๆ น้อยๆ ในการแลกเปลี่ยนการสร้างลายเซ็นที่นานขึ้นและ/หรือเวลาในการตรวจสอบกับลายเซ็นที่น้อยลง ฉันสามารถให้รายละเอียดได้ว่าหากจำเป็น

อีกทางเลือกหนึ่งจะเป็น ลายเซ็น BLS เช่น. บนเส้นโค้ง BN254 หรือ BN256 ซึ่งพอดีกับเป้าหมายด้านขนาด และอย่างน้อยต้องมีความปลอดภัยเทียบเท่ากับ เหล่านี้ ความคิดเห็นแต่นั่นก็อยู่นอกเขตความสะดวกสบายของฉัน

0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา