บรรจวบ เข้าสู่ระบบ
Score:1
avatar Crypto

Proof of possession of a x25519 private key

ธง mx
stsch

In this question one way is shown how to prove the possession of a private x25519 key. Would the following protocol also be suitable to prevent someone from using the client as a decryption Oracle?

  1. Server generates some 'nonce' and an ephemeral x25519 key pair. The sever sends the nonce and the public x25519 key to the client.
  2. The client derives with his private x25519 key and the public x25519 key of the server a shared key. The client signs the nonce with HMAC using the shared key. The client sends the signature to the server.
  3. The server derives the shared key and validates the HMAC signature.
76
0 + 0
au flag
zugzwang
เกิดอะไรขึ้นกับการพิสูจน์ความรู้ที่ไม่มีความรู้บันทึกแบบไม่ต่อเนื่องแบบเก่าที่ดี เช่น. สำหรับคีย์ส่วนตัว $x$ Prover เผยแพร่ $Y=G^x$ จากนั้นสุ่มตัวอย่างจำนวนเต็ม $x'$ คำนวณ $T=G^{x'}$ จากนั้นคำนวณ $c = hash(G, Y, T) $ และส่ง $c, -cx+x'$ ผู้ตรวจสอบสร้าง $T$ ขึ้นใหม่โดยทำ $G^{-cx+x'}Y^c$ และตรวจสอบว่า $c = hash(G, Y, T)$
0
ตอบกลับ
knaccc avatar
es flag
knaccc
คุณจะต้องดำเนินการบางอย่างเพื่อป้องกันการโจมตีจากคนกลางที่จะเกี่ยวข้องกับลายเซ็นเพื่อพิสูจน์ตัวตนของเซิร์ฟเวอร์กับไคลเอนต์ เหตุใดจึงไม่ใช้กลไกเดียวกันนั้นเพื่อพิสูจน์ตัวตนของลูกค้าต่อเซิร์ฟเวอร์
0
ตอบกลับ
mx flag
stsch
@zugzwang ขอบคุณสำหรับความคิดของคุณ แต่ฉันคิดว่าปัญหาหนึ่งคือ $-cx+x'$ ไม่ "ถูกบีบ" หากใช้เช่น libsodium คุณจะไม่สามารถใช้ฟังก์ชันมาตรฐานได้
0
ตอบกลับ
au flag
zugzwang
สำหรับบันทึก ความคิดของฉันไม่ได้เป็นต้นฉบับเลย มันเป็นหลักฐานความรู้ zk ขั้นพื้นฐาน (ถ้าคุณต้องการดูส่วนขยายที่ดี ฉันขอแนะนำให้คุณตรวจสอบเอกสาร Camenisch-Stadler 97) ตอนนี้อาร์กิวเมนต์นี้ใช้ได้กับทุกกลุ่ม โดยเฉพาะกับ Curve25519 การหนีบเป็นเพียงเคล็ดลับการใช้งานเพื่อหลีกเลี่ยงกลุ่มย่อยขนาดเล็กของคำสั่ง 8 ดังนั้นแน่นอนว่าอาร์กิวเมนต์นี้ใช้ได้ใน Curve 25519 ความสง่างามของมันก็คือขึ้นอยู่กับ ECDLP เท่านั้น แทนที่จะใช้อัลกอริทึมการเซ็นชื่อเช่น Ed25519
0
ตอบกลับ
mx flag
stsch
@knacc ความคิดที่ดี ขอขอบคุณ.
0
ตอบกลับ
au flag
zugzwang
ข้อเสียในแนวคิดของ @knaccc คือ (a) มันขึ้นอยู่กับการไม่สามารถปลอมแปลงที่มีอยู่ในรูปแบบลายเซ็น แทนที่จะขึ้นอยู่กับการครอบครองของมูลค่าลับ เช่นเดียวกับการถาม และ (b) โปรโตคอลดังกล่าวน่าจะเป็นแบบโต้ตอบ ( นอกเสียจากว่าจะใช้กลอุบายของ Fiat-Shamir ซึ่งอาจแนะนำข้อสันนิษฐานด้านความปลอดภัยเพิ่มเติม)
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา