Puncte:0

Ce înseamnă ca g și h să fie indentate în angajamentele pedersen?

drapel lk

Mă uit la o lucrare de cercetare despre insecuritatea unei utilizări specifice (eronate) a angajamentelor Pedersen.

În primul rând, voi parcurge pașii angajamentelor Pedersen, astfel încât să se arate dacă am o neînțelegere de bază.

Înțelegerea mea despre angajamentele lui Pedersen

În primul rând spunem că Bob vrea ca Alice să se angajeze la un mesaj, prin urmare generează două numere prime p și q.

p <--- prim aleatoriu q <--- prim aleatoriu

Bob generează apoi generatorul g, care este de ordinul lui q si este in grup $Z_{p}^*$.

g <--- $\în Z_{q}^*$

Apoi alege o valoare secretă X în $Z_{q} $:

x <--- $\în Z_{q} $

x este cheia secretă, pe care o folosește pentru a obține cheia publică:

$h = g^{x} mod p $

Alice acum vrea să se angajeze la un anumit mesaj și are acces la cheia publică și cheia secretă a lui bob. Ea alege mai întâi mesajul m și un număr întreg aleatoriu rși apoi își calculează angajamentul c:

c = $ g^{m}*h^{r}$

Alice îi poate trimite acum angajamentul lui Bob. Când Alice vrea să-și dezvăluie angajamentul, ea trimite m și `r`` lui Bob. Bob este acum capabil să facă același calcul și să compare.

Aplicarea la vot și problema independenței

În articolul menționat mai devreme, schema este utilizată pentru a confirma integritatea unui set de voturi amestecate. În acest context, o listă de n voturile criptate sunt notate cu $ m_{1},...,m_{n} $. Angajamentul pedersen pentru o listă de voturi este apoi calculat prin:

$ c = G_{1}^{m_1} ... G_{n}^{m_n} * H^{r}$

Și apoi ziarul spune asta despre valorile lui G și H (s-ar putea să existe o confuzie de notație, deoarece sunt obișnuit să folosesc minuscule g și h pentru generator pentru generator și PK, în timp ce lucrarea optează pentru majuscule). Dar apoi lucrarea precizează următoarea problemă care poate apărea:

„Dacă independența este încălcată între H și o singură valoare Gi, atunci angajamentul extins c poate fi deschis pentru orice vector de mesaje alternative mâ²1,..., mâ²n. Dacă se întâmplă acest lucru, atunci întregul argument al probei amestecate se prăbușește , adică este posibil să construiți o dovadă falsă pentru o amestecare incorectă"

Sunt puțin confuz cu privire la ce înseamnă pentru valorile lui $G_{i}$ și H să fie „independenți” și ce înseamnă probabil atunci când avem mai multe versiuni ale G, deci am doua intrebari:

1

dacă avem n G, atunci înseamnă că grupul în care lucrăm trebuie să aibă n generatoare?

2 Cum poate exista un H și mai multe generatoare? dacă H se calculează utilizând G, apoi care G este folosit pentru a calcula cheia publică H. Poate am înțeles greșit ceva de bază despre construcția conturată în hârtie?

poncho avatar
drapel my
S-ar putea să doriți să remediați legătura către hârtie - pentru a ajunge la un link de pe hard disk, ar trebui să pătrundem în sistemul dvs. și nu ar trebui să admitem că putem face asta...
NotQuiteSo1337 avatar
drapel lk
jenant! repara-l!
poncho avatar
drapel my
Ești sigur că e hârtia potrivită?
NotQuiteSo1337 avatar
drapel lk
Oh, naiba, este versiunea germană, scuzați-vă din nou
poncho avatar
drapel my
Este încă un raport final despre un test public de penetrare (rulat de elvețieni) pe un sistem de vot - nu menționează nimic despre Pedersen...
NotQuiteSo1337 avatar
drapel lk
Acum cea potrivită este sus! sry
Puncte:2
drapel my

Sunt puțin confuz cu privire la ce înseamnă pentru valorile lui $G_i$ și $H$ a fi „independent”,

De fapt, lucrarea a dat o definiție destul de decentă:

Independența înseamnă că respectivii logaritmi discreti $h = \log_G H$ și $g = \log_H G$ sunt necunoscute tuturor.

Adică nimeni nu ar trebui să știe soluția $x$ la $G^x = H$

Cu toate acestea, pentru că lucrăm cu mai multe generatoare, se dovedește că avem nevoie de o afirmație mai puternică: nimeni nu cunoaște o soluție netrivială. $(a_1, a_2, ..., a_n, b)$ pentru relatie $G_1^{a_1} \cdot G_2^{a_2} \cdot ... \cdot G_n^{a_n} \cdot H^b = 1$, unde este soluția banală $a_1 \equiv a_2 \equiv ... \equiv a_n \equiv b \equiv 0$.

Cu toate acestea, aceeași idee se aplică.

daca avem $n$ $G$atunci înseamnă că trebuie să avem grupul în care lucrăm $n$ generatoare?

Da. De fapt, avem mult mai multe - dacă avem de-a face cu un grup cu o dimensiune $q$ Unde $q$ este prim, atunci va exista $q-1$ generatoare. Pentru că avem nevoie $q$ să fie de cel puțin 256 de biți (pentru a îngreuna problema jurnalului discret), asta înseamnă că avem un imens numărul de generatoare disponibile pentru noi.

Cum poate fi unul $H$, și mai multe generatoare? dacă $H$ se calculează utilizând $G$,

De fapt, noi nu calculăm $H$ folosind $G$, îl alegem independent.

Acum, dacă te întorci la lucrarea originală Pedersen, el a sugerat ca verificatorul să selecteze $H$ (și, prin urmare, ar putea face această selecție prin alegerea unei valori aleatorii $h$ și de calcul $H = G^h$, și dăruind $H$ (dar nu $h$) la doveditor); în acest fel, verificatorul ar putea avea încredere că probatorul nu cunoștea jurnalul discret.

Cu toate acestea, în zilele noastre generăm $G$ și $H$ independent (deci, literalmente, nimeni nu știe relația) - această abordare se extinde în mod evident la multiple $G$ valorile.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.