înregistrare Logare
Puncte:3
fgrieu avatar Crypto

Atacurile multi-țintă ale cheilor publice ECC

drapel ng
fgrieu

Imaginați-vă o situație în care există multe chei publice de mare valoare în jur, folosind același grup de curbă eliptică, să zicem $k$ în milioane de chei publice¹. Poate un adversar să găsească în mod rezonabil una dintre cheile private care se potrivesc la un cost mult mai mic decât găsirea cheii private pentru una anume?

Care este cea mai bună metodă fezabilă²? Care este costul în raport cu cea mai cunoscută metodă fezabilă pentru o cheie (adică, cred, rho lui Polard distribuit cu puncte distincte), în funcție de $k$ și poate ordinea grupului Curba eliptică $n$?

¹ Imaginați-vă Bitcoin cu secp224k1, iar ponzi-ul corespunzător avea o valoare de piață similară.

² Presupunând tehnologii existente cunoscute, inclusiv supercalculatoare, GPU, FPGA, ASIC, dar nu computere cuantice utilizabile pentru criptoanaliza.

109
1 + 7
SAI Peregrinus avatar
drapel si
SAI Peregrinus
Îi cunosc pe Kuhn și Struik [demonstrat în 2001](https://tik-db.ee.ethz.ch/file/24d4a86d39ea8fae126fc84b69885ba7/sac01.pdf) (secțiunea 4) că metoda rho a lui Pollard poate calcula logari discreti în $k$ \sqrt k$ timp. Primul ia tot timpul așteptat, al doilea mai puțin, următorul chiar mai puțin etc.
2
Răspunde
SAI Peregrinus avatar
drapel si
SAI Peregrinus
Problema cu asta este că este din 2001. Mă aștept că există noi cercetări sau că noi atacuri ar putea fi mai ieftine. Așa că nu vreau să răspund doar cu asta, deoarece este o lucrare veche de 20 de ani. Tocmai mi-am amintit că este citat în secțiunea „Logaritmi discreti în lot” din lucrarea lui Bernstein Curve25519 și l-am căutat. Cu siguranță, este o limită superioară a dificultatii.
2
Răspunde
drapel pe
Samuel Neves
Acesta este practic același cu [acest răspuns](https://crypto.stackexchange.com/a/25849/592)
1
Răspunde
fgrieu avatar
drapel ng
fgrieu
@Samuel Neves: mulțumesc pentru că ai indicat [asta] (https://crypto.stackexchange.com/a/25849/592). Poate nu chiar la fel: precalcularea nu este același lucru cu multi-țintă, deoarece ținta (ținta) nu sunt cunoscute când începe un precalcul. Cel puțin în RSA, asta face o diferență semnificativă: nu știu niciun atac de precomputație pentru a factora modulele RSA, dar există câteva atacuri multi-țintă (utile la limită), cum ar fi p-1 de la Pollard.
0
Răspunde
drapel pe
Samuel Neves
Nici acolo nu este implicat nici un precalcul; „precalcularea” este într-adevăr doar rezolvarea primei ținte (sau o țintă inactivă, dacă se insistă asupra precalculării).
0
Răspunde
fgrieu avatar
drapel ng
fgrieu
@SamuelNeves: \[Actualizat: în urma următorului comentariu, acum vă înțeleg și că [răspunsul dvs. existent](https://crypto.stackexchange.com/a/25849/592) rezolvă întrebarea\]. Nu te înțeleg. Vrei să spui că găsirea tuturor cheilor private este la fel de greu ca să găsești una? Sunt gata să cred asta, dar cum?
0
Răspunde
drapel pe
Samuel Neves
Nu; găsirea tuturor $k$ cheilor private costă $O(\sqrt{kn})$, adică economisiți un factor $\sqrt{k}$ în comparație cu rezolvarea fiecărui jurnal separat. Acest lucru a fost demonstrat în mod explicit de [Yun](https://eprint.iacr.org/2014/637), dar a fost deja costul celui mai bun atac din 1997 sau cam așa ceva (Silverman).
2
Răspunde
Puncte:2
poncho avatar Crypto
drapel my
poncho

Poate un adversar să găsească în mod rezonabil una dintre cheile private care se potrivesc la un cost mult mai mic decât găsirea cheii private pentru una anume?

Nu, și asta se poate demonstra (și este independent de tehnologia folosită)

Să presupunem că avem o cutie neagră care ar putea lua $k$ diferite chei publice $a_1G, a_2G, ..., a_kG$, și recuperați $a_iG$ (pentru unii $i$) în $o(\sqrt{n})$ timp.

Apoi, iată cum am putea folosi acea cutie neagră pentru a avea o cheie publică $aG$, recuperați cheia privată $a$ în $o(\sqrt{n})$ timp. Ne-ar:

  • Selectați $k$ valori aleatorii $r_1, r_2, ..., r_k$, și calculați secvența $r_1(aG), r_2(aG), ..., r_k(aG)$, care (prin definirea $b_i = r_i a$) poate fi privit ca $b_1G, b_2G, ..., b_kG$

  • Dați secvența $b_1G, b_2G, ..., b_kG$, care se va recupera $b_i$

  • Noi calculăm $a = r_i^{-1}b_i$, și astfel recuperați cheia.

Pașii în plus față de invocarea cutiei negre parcurg $O(k)$ timp, care poate fi ignorat pentru dimensiuni rezonabile $k$.

Rețineți că secvența $b_1G, b_2G, ..., b_kG$ este distribuit uniform și, prin urmare, chiar dacă cutia neagră este probabilistică, ne va permite totuși să recuperăm cheia publică.

0 + 1
fgrieu avatar
drapel ng
fgrieu
Aceasta este o variantă a ceva ce mi-ai spus deja și pe bune!
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.