Puncte:1

Crypto

Cum a fost calculată probabilitatea de succes a adversarului în această lucrare din 2002 a lui Dodis, Katz, Xu, Yung despre schemele de semnătură izolate cu cheie?

phi.nm

20.12.2022, 21:24

În acest hârtie („Strong key insulated signature schemes” de către Dodis, Katz, Xu, Yung (2002)), înțeleg cea mai mare parte a dovezii pentru Lema 1 (pag. 9); Mă lupt însă cu modul în care se calculează o parte din probabilitate.

Nu e nevoie să citești ziarul, cred, tot ce aveți nevoie este următorul:

Context

Adversar $A$ pauze („noua”) schema $\Pi$
Provocator $A'$ vrea să rupă schema de bază $\Theta$ folosind $A$
Oracolul de semnare ia ca intrare un mesaj și a perioada de timp $i$
The numărul maxim de interogări la oracolul semnatar este $q(k)$

Partea confuză:

La un moment dat, provocator $A'$ trage o aleatorie $r \in \{1,...,q(k)\}$ și apoi se uită la $r^{th}$ interogare de semnare care $A$ face.

Dacă această interogare are ca intrare o perioadă de timp care a fost deja utilizată într-o interogare anterioară de semnare, atunci anulați experimentul.
Dacă aceasta este prima dată când această perioadă de timp (notată $i^*$) este întrebat, continuați.
Dacă $A$ în orice moment interogează sau a interogat oracolul „expunerea cheii” pentru o perioadă de timp $i^*$, de asemenea, anulați (key-expunerea = dezvăluirea cheii secrete pentru perioada interogată).

În cele din urmă, $A$ falsifică o semnătură pentru o perioadă de timp $i$. (Adaptiv, cred, asa de $i$ nu este fix la început, dar A o alege la sfârșit.)

Apoi ziarul spune:

Cu probabilitate cel puțin $1/q(k)$, experimentul nu este întrerupt și $i^â = i$ [..].

Părerea mea

$P(\text{experimentul nu a fost anulat } \wedge\, i^â = i) =\ P(\text{perioada }i^* \text{neinterogat înainte de } r^{th} \text{interogare de semnare } \wedge\, \text{fără interogare de expunere a cheii pentru }i^* \wedge\, i^ â = i )$

Ce acum? Nu văd cum de calcul poate fi atât de evident; Mă pot gândi la atâtea întrebări:

Sunt acele evenimente toate independente și, prin urmare $P(\text{perioada }i^* \text{neinterogat înainte de } r^{th} \text{interogare de semnare } \wedge\, \text{fără interogare de expunere a cheii pentru }i^* \wedge\, i ^â = i ) = P(\text{perioada }i^* \text{neinterogat înainte de } r^{th} \text{interogare de semnare })*P(\text{fără interogare de expunere a cheii pentru }i ^*)*P( i^â = i )?$
Este $P( i^â = i )=1/q(k)$ sau este probabilitatea mai mare ca adversarul să aleagă un $i$ pentru falsul despre care știu ceva (= pe care l-au întrebat înainte)? Sau presupunem asta $A$interogările lui sunt aleatorii? De ce am presupune asta?
Este $P(\text{perioada }i^* \text{neinterogat înainte de } r^{al-lea} \text{interogare de semnare })$ la fel pentru toti $r$ sau este mai mare pentru mici $r$ („interogări timpurii”)? Depinde dacă $P( i^â = i )$?

Sunt sincer nedumerit că această probabilitate este dată fără alte explicații, trebuie să-mi lipsească ceva elementar. Poți să ajuți?

1 + 0

demonstrabil-securitate

probabilitate

Puncte:1

Crypto

Mikero

21.12.2022, 07:07

Adversarul $A$ schema de pauze $\Pi$ prin generarea unui fel de fals. Fiecărui fals i se poate atribui o etichetă $i$. Această etichetă $i$ este ales de adversar, dar există doar un număr polinom de opțiuni pentru $i$.

Algoritmul de reducere poate configura lucrurile să arate exact ca lumea asta $A$ se asteapta. În plus, algoritmul de reducere poate configura lucrurile cu un anumit $i^*$ în minte, astfel încât dacă adversarul produce un fals a cărui etichetă se întâmplă să fie $i^*$, atunci algoritmul de reducere poate rupe schema cu succes $\Theta$. Important, și acesta poate fi lucrul care vă lipsește, $A$Viziunea lui asupra lucrurilor este independentă de $i^*$. Cu alte cuvinte, indiferent de specific $i^*$ reducerea are în vedere, produce întotdeauna o simulare perfect fidelă a lumii care $A$ se asteapta.

Cum ar trebui să aleagă algoritmul de reducere $i^*$? Nu poate prezice dinainte ce etichetă va avea falsul adversarului. Deci, în schimb, va alege $i^*$ uniform la întâmplare dintre polinomiile multe alegeri.

De ce funcționează asta? În cele din urmă, adversarul produce un fals, iar falsul are o etichetă $i$. Dacă întreaga vedere a adversarului este independentă de alegerea $i^*$, apoi alegerea adversarului de $i$ este independent de alegerea $i^*$. De cand $i^*$ este distribuit uniform și independent de $i$, putem spune că $\Pr[i=i^*] = \frac{1}{\mbox{# de opțiuni}}$.

În setarea dvs., „eticheta” $i$ a unui fals este (aparent -- am urmat instrucțiunile dvs. de a nu citi de fapt lucrarea) indexul primei interogări de semnare-oracol care se face folosind perioada de timp numită în fals. Dacă algoritmul de reducere poate prezice care interogare de semnare-oracol va fi prima făcută în perioada de timp a falsului adversarului, atunci va face ceva special ca răspuns la acea interogare (încorporați câteva informații care o vor ajuta să se rupă $\Theta$). Desigur, nu poate prezice această proprietate a falsului, așa că ghicește. Sunt doar $q(k)$ posibilități pentru identitatea acestei interogări „speciale”.

În setarea dvs., există și unele avorturi, dar aceasta este o distragere a atenției către întrebarea probabilității reale. Ceea ce se întâmplă cu adevărat este asta: Reducerea are succes doar la rupere $\Theta$ când se presupune $i^*$ este egal cu eticheta $i$ de $A$falsul lui. Autorii de aici spun că reducerea ar putea la fel de bine să renunțe (adică să renunțe) atunci când vede că presupunerea sa va fi greșită. Ar fi fost bine dacă ar fi scris algoritmul de reducere pentru a nu avorta niciodată și, în schimb, ar fi făcut o „înjunghiere în întuneric” la rupere. $\Theta$ în aceste cazuri.

0 + 5

phi.nm

21.12.2022, 08:42

Bine, multumesc! Cred că punctul dvs. de vedere că punctul de vedere al adversarului este independent de ceea ce ghicește contestatorul a adus acasă un mesaj important: adversarul nu încearcă să saboteze contestatorul pentru că nu-i pasă de lucrurile de fundal ale contestatorului cu $\Theta$, doar de având mediul potrivit pentru a falsifica o semnătură pentru $\Pi$. Dreapta? Dar: Vrei să spui că probabilitatea de avort nu joacă niciun rol aici? Sau spui că $P(\text{experimentul nu a fost anulat } \wedge\, i^* = i)$ este exact același cu $P(\text{Challenger ghiceste eticheta corectă})=1/q(k )?$

Răspunde

phi.nm

21.12.2022, 10:46

Tocmai am înțeles că a doua mea întrebare („$A$ alege o etichetă pentru fals despre care știe ceva (= a folosit într-o interogare)?”) nu se aplică, deoarece dovada ia în considerare două cazuri, iar partea în care ne aflăm tratează cazul „$A$ folosește o etichetă interogată pentru fals” - doar că nu am recunoscut asta. Influențează asta probabilitatea de $i^*=i$? La urma urmelor

Răspunde

phi.nm

21.12.2022, 10:54

- scuze, comentariul anterior a continuat - Influențează asta probabilitatea de $i^*=i$? La urma urmei, dovada spune că probabilitatea este „cel puțin $1/q(k)$”, nu „egală cu”. Gândurile mele: grupul de etichete posibile este mai mic (dacă este ceva), ceea ce înseamnă că probabilitatea de a ghici corect este mai mare (dacă este ceva). Dreapta? Sau explicația ta acoperă deja partea „cel puțin”, pentru că asta are legătură cu avortul?

Răspunde

Mikero

21.12.2022, 16:19

Nu știu de ce dovada spune probabilitatea „cel puțin $1/q$” în loc de „exact $1/q$”. Dar pot vedea că puteți determina probabilitatea reală să fie $ 1/q'$, unde $q'$ este numărul de valori de timp distincte interogate oracolului de semnare. Deci $q'=q$ numai dacă adversarul nu repetă niciodată o valoare de timp într-o interogare de semnare, iar în caz contrar $q'\le q$. Dacă o interogare de semnare nu este *prima* care utilizează o anumită valoare de timp, atunci nu poate fi eticheta falsului. Deoarece $q'\le q$, atunci și $1/q' \ge 1/q$. Poate că asta au în vedere spunând „probabilitate de cel puțin $1/q$”?

Răspunde

phi.nm

22.12.2022, 09:01

Ok, da - asta încercam să spun cu explicația mea „pool de etichete” :-) Și $P(\text{Challenger ghiceste eticheta corectă}) = P(\text{nu avortat și ghiceste eticheta corectă}) $, deoarece avortul are loc numai atunci când eticheta nu este ghicită corect, deci sunt același eveniment. Dreapta?

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: How was the adversary's success probability calculated in this 2002 paper by Dodis, Katz, Xu, Yung about key-insulated signature schemes?

TH: ความน่าจะเป็นที่จะสำเร็จของฝ่ายตรงข้ามคำนวณอย่างไรในรายงานปี 2545 นี้โดย Dodis, Katz, Xu, Yung เกี่ยวกับรูปแบบลายเซ็นที่มีการหุ้มฉนวน

RO: Cum a fost calculată probabilitatea de succes a adversarului în această lucrare din 2002 a lui Dodis, Katz, Xu, Yung despre schemele de semnătură izolate cu cheie?

RU: Как была рассчитана вероятность успеха злоумышленника в этой статье 2002 года Додиса, Каца, Сюй, Юнга о схемах подписи с изолированным ключом?

VI: Xác suất thành công của đối thủ được tính toán như thế nào trong bài báo năm 2002 này của Dodis, Katz, Xu, Yung về các sơ đồ chữ ký cách điện bằng khóa?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.