Score:1

เหตุใดเราจึงต้องการทั้งบิตมาสก์และคีย์แฮชใน SPHINCS+

ธง va

ฉันคิดว่าหนึ่งในนั้นเกี่ยวข้องกับการโจมตีแบบหลายเป้าหมาย และอีกอันเกี่ยวข้องกับการโจมตีแบบชนกัน แต่ฉันไม่พบว่าการเข้ารหัสลับที่ใช้แฮชเกี่ยวข้องกับการชนกันของแฮชอย่างไร

1-) พิจารณารูปแบบลายเซ็นครั้งเดียวของ Lamport ต่อไปนี้

  • สมมติว่าเป็นฟังก์ชันแฮช 128 บิต $H$ ถูกนำมาใช้
  • สุ่มเลือก $p_i$ และ $r_i$ สำหรับ $1\leq ฉัน \leq 128$
  • $SK=\{(p_i,r_i)\}_i$ คือกุญแจลับและ $PK=\{(H(p_i),H(r_i))\}_i$ เป็นกุญแจสาธารณะ
  • สำหรับข้อความ $M$เราใช้แฮช $h=H(M)$. อนุญาต $h=h_1h_2\cdots h_{128}$
  • สำหรับการลงนาม $M$เราเผยแพร่ $p_i$ ถ้า $h_i=0$ และ $r_i$ ถ้า $h_i=1$ แต่ละ $i$.

วิธีที่ฝ่ายตรงข้ามสามารถนำไปใช้ได้ $2^{64}$- โจมตีต้นทุน?

ความปลอดภัยของโครงการนี้คืออะไร? (ฉันคิดว่า 120 บิตเพราะใช้หลายเป้าหมาย นั่นคือเพียงพอแล้วที่จะค้นหาอย่างน้อยหนึ่งรายการ $p_i,r_i$'s. การคาดเดาแบบสุ่มมีปัญหา $\frac{256}{2^{128}}$)

2-) พิจารณาต้น Merkle ดั้งเดิมด้วย $2^{10}$ Lamport ลายเซ็นครั้งเดียวโดยไม่มีบิตมาสก์พร้อมฟังก์ชันแฮช $H$ ใช้ด้านบน ความปลอดภัยของโครงการนี้คืออะไร? (คล้ายกับข้างต้น เรามีความปลอดภัย 120-t บิตหลังจากนั้น $2^t$ ลายเซ็นเพราะ $\frac{256\cdot 2^t}{2^{128}}$)

ฉันคิดว่าถ้าเราใช้คีย์แฮชหรือบิตมาสก์ที่นี่ ความปลอดภัยของโครงร่างนี้จะเป็น 128 บิต เหตุใดเราจึงต้องการทั้งสองอย่าง

หรือ ความปลอดภัยของ SPHINCS+ ที่ไม่มีคีย์แฮชหรือบิตมาสก์คืออะไร

Score:2
ธง my

ฉันคิดว่าถ้าเราใช้คีย์แฮชหรือบิตมาสก์ที่นี่ ความปลอดภัยของโครงร่างนี้จะเป็น 128 บิต เหตุใดเราจึงต้องการทั้งสองอย่าง

ที่จริงเราไม่ Sphincs+ (อย่างน้อย รุ่นรอบ 3) มีชุดพารามิเตอร์สองชุดคือ "ง่าย" และ "แข็งแกร่ง" เรียบง่ายมีเพียง "คีย์แฮช" (ซึ่งฉันจะตีความที่โครงสร้างที่อยู่ซึ่งรวมอยู่ในการประเมิน PRF, F, H และ T ทุกครั้ง ไม่ใช่คีย์จริง ๆ เนื่องจากไม่เป็นความลับ) ในขณะที่แข็งแกร่งมีทั้งแฮชคีย์ และบิตมาสก์

ทำไมถึงเป็นเช่นนี้? มันขึ้นอยู่กับคุณสมบัติที่พิสูจน์ได้ Simple มีความปลอดภัย 128 บิต (สำหรับชุดพารามิเตอร์ระดับ 1) หากเราคิดว่าฟังก์ชันแฮชทำหน้าที่เหมือน Oracle แบบสุ่ม เพื่อความทนทาน เราได้รับระดับความปลอดภัยนั้นบนสมมติฐานที่อ่อนแอกว่าซึ่งการคำนวณพรีอิมเมจที่สองของฟังก์ชันแฮชต้องใช้ $2^{128}$ เวลา.

user avatar
va flag
ขอบคุณมากสำหรับการชี้แจงฉันยังไม่พบการโจมตีแบบชนกันใด ๆ ในรูปแบบแฮช กระดาษ "ลายเซ็นดิจิทัลจากภาพที่สอง ฟังก์ชันแฮชที่ทนทาน" กล่าวว่า "เราขอเสนอโครงสร้างใหม่สำหรับการรับรองความถูกต้องของ Merkle ต้นไม้ที่ไม่ต้องการฟังก์ชันแฮชที่ป้องกันการชนกัน" มีแผนการใดที่ความปลอดภัยอาศัยฟังก์ชันแฮชที่ป้องกันการชนกัน ตัวอย่างของฉันข้างต้นเป็นอย่างไร
user avatar
va flag
อีกประโยคที่น่าสนใจจาก ia.cr/2017/349: "XMSS ใช้ตัวแปรของ WOTS (WOTS+ [13]) ที่ขจัดข้อกำหนดสำหรับฟังก์ชันแฮชที่ป้องกันการชนกัน" เหตุใดความปลอดภัยของ WOTS จึงประสบปัญหาจากการชนกัน ในขณะที่ WOTS+ ไม่ใช่

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา