înregistrare Logare
Puncte:3
avatar Crypto

NOTS este o schemă de semnătură de timp valabilă?

drapel ca
MaiaVictor

Tocmai am aflat despre NOTS, o schemă de semnătură rezistentă la cuantum, bazată pe funcții hash, care pretinde că are semnături și chei mult mai scurte. Se știe că această schemă de semnătură este sigură? După ce mă uit la hârtie, sunt suspicios cu privire la modul în care folosește modulul de indici (nu ar putea un adversar să genereze un hash cu același număr de caractere?). Este legal? introduceți descrierea imaginii aici

131
1 + 0
Puncte:6
poncho avatar Crypto
drapel my
poncho

Este legal?

Nu, și ați dat pe motiv - algoritmul convertește mesajul într-o serie de 16 valori de la 1 la 128, apoi semnează doar pe baza acestuia. Adică un total de 112 biți; de fapt, este ceva mai rău decât atât, deoarece algoritmul pe care îl folosesc pentru a converti hash-ul mesajului în seria de 16 valori va genera valori care însumează întotdeauna (mod 128) la 64;. Aceasta înseamnă că, cu o pereche validă mesaj/semnătură, puteți găsi o a doua imagine care se traduce în aceleași primele 15 valori [1] (și astfel ar fi un mesaj valid pentru aceeași semnătură) cu un așteptat $O(2^{105})$ efort. Și mai rău, deoarece traducerea nu implică nicio randomizare, vă puteți aștepta să găsiți o coliziune (și apoi să cereți semnarea unui mesaj; al doilea mesaj cu aceeași semnătură ar fi un fals) cu un mesaj așteptat. $O(2^{52,5})$ efort.

Lucrarea face și o serie de afirmații eronate; iată cele care îmi ies în evidență:

  • Ei susțin că „Alte tipuri de scheme OTS/FTS (cu excepția WOTS și a acestuia variante) nu sunt capabile să permită calculul cheie publică de la semnături, cu excepția cazului în care un set suplimentar uriaș informațiile sunt furnizate verificatorului."; acest lucru este incorect. Pentru fiecare schemă de semnătură bazată pe hash pe care am văzut-o, procesul de verificare a fost în esență „preluați mesajul, semnătura și, eventual, o cantitate mică de date din cheia publică, calculați o serie de hashe-uri, iar dacă rezultatul se potrivește cu ceea ce este în cheia publică, câștigați". Adică, tot ce aveți nevoie pentru a reconstrui cheia publică este această „cantitate mică de date”, nu „un set suplimentar uriaș de informații „. Un punct minor, cu excepția faptului că ei subliniază acest lucru în mod repetat.

  • Evaluarea lor, care constă în compararea cu alte scheme de semnătură bazate pe hash selectate (dar nimic cu un parametru W mare); cu toate acestea, ei insistă să ruleze schemele competitive cu o dimensiune hash nerealist de mare (valoare n) - ei observă că schema lor (care are un parametru W mare și o valoare n mai mică) are ca rezultat semnături mai mici; nu este surprinzător când au pus degetul mare pe cântar atât de greu.

  • Aceștia mai precizează că „În sfârșit, NOTS a realizat toate aceste reduceri în dimensiunile cheii și semnăturii fără a compromite nivelul de securitate”; chiar dacă o privire asupra tabelului lor arată că ei susțin că NOTS are un nivel de securitate semnificativ mai scăzut (fără a lua în considerare punctul pe care l-am spus mai sus despre cum nici măcar nu reușește asta).

  • În ceea ce privește dovezile lor de securitate, ei bine, acestea constă în algoritmi pe care îi furnizează, care ia un fals și generează o coliziune; totuși, parcurgerea algoritmului arată că, chiar și atunci când i se oferă un fals, acesta poate eșua (adică să nu producă o coliziune); deci este invalidă ca dovadă.

[1]: Odată ce primești un meci în primul 15, vei primi întotdeauna un meci în al șaisprezecelea.

0 + 5
drapel ca
MaiaVictor
Mulțumesc. Deci, acum, stadiul tehnicii în ceea ce privește dimensiunea semnăturii rezistente cuantice este WOTS+, nu?
0
Răspunde
poncho avatar
drapel my
poncho
@MaiaVictor: pentru semnăturile bazate pe hash, semnăturile LM-OTS sunt mai mici (mai ales pentru că acceptă valori W mai mari). Desigur, dacă nu vă limitați la semnăturile bazate pe hash, Rainbow este *mult* mai mic...
0
Răspunde
drapel in
mephisto
@poncho... "Curcubeu..." nu ai uitat un detaliu minuscul lor...:-P iar WOTS+ publicat inițial permite valori arbitrare (chiar și puteri neintegrale de 2) pentru w. Doar RFC a limitat w la 16 (deși permite alte valori, pur și simplu nu definește seturi de parametri folosindu-le).
0
Răspunde
poncho avatar
drapel my
poncho
@mephisto: la nivelul 1 NIST, Rainbow (cel puțin, trimiterea rundei 3) are o dimensiune a semnăturii de 66 de octeți.Pentru a obține astfel de semnături scurte (chiar presupunând hashuri de 16 octeți), WOTS+ ar necesita un $Wâ2^{64}$ și chiar dacă considerăm un astfel de $W$ uriaș practic, structura WOTS+ ADDR presupune că $W
0
Răspunde
drapel in
mephisto
@poncho: Sigur, dar în acest context ar trebui să menționați și dimensiunea cheii publice care poate fi relevantă pentru un utilizator.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.