În unele aplicații precum codurile QR, salvarea a 25 de octeți din 100 face o diferență de utilizare.
Ce alegere există pentru o schemă de semnătură cu (cele mai importante criterii mai întâi)
- Dimensiunea semnăturii cât mai mică posibil (pentru o semnătură cu apendice) sau dimensiune adăugată cât mai mică (măsurată la un mesaj arbitrar de 40 de octeți pentru o schemă de semnătură cu recuperare a mesajului, dar aș prefera să le evit), la un nivel de securitate presupus de 128 de biți (efort de a sparge comparabil cu căutarea cheilor AES-128) reducere Calculatoare cuantice relevante din punct de vedere criptografic.
- Standardizat sau verificat de ISO, IEC, ETSI, ANSI, ECRIPTA, NIST, ANSSI, BSI, SECG, CFRG, un standard sau organism național, unamitâ¦, sau chiar un activ IETF RFC sau un consens rezonabil al experților cripto.
- Nu sau nu mai este grevată de brevet.
- Nu necesită prea mult resurse pentru verificare (poate folosiți DSA-3072-256 ca limită).
Pana acum vad:
În special absent este semnătură scurtă Schnorr (pe eliptic Curve sau grupul Schnorr), care ar fi de aproximativ 48 de octeți, dar AFAIK eșuează [2]. Poate că nu a fost standardizat pentru că are caracteristici de securitate ușor îngrijorătoare:
- Cel mai bun atac de forță brută numai asupra hashului (de exemplu, cu ASIC-uri ca în mineritul bitcoin) se obține cu probabilitate $1/n$ un mesaj semnat cu conținut practic contra cost $2^{128}/n$ hashes și unul doar cunoscut pereche mesaj/semnătură, față de cost $\sqrt n$ ori mai mare și o interogare de semnătură cu ales mesaj pentru concurenții de 64 de octeți.
- Deținătorul cheii private poate genera perechi de mesaje cu conținut diferit și practic, dar cu aceeași semnătură folosind about $2^{66}$ hashuri.
¹ Cred că oamenii au răcit după Sită de câmp extinsă pentru numărul turnului incitat la revizuiește în jos estimări anterioare de securitate ale curbelor prietenoase pentru asociere considerate anterior sigure și modifica unele scheme implementate. Subiectul are crescut asa de complex Nu pot urmări, dar din ceea ce pare a fi un rezumat de o pagină dintre ultimele estimări din jur, pentru securitatea pe 128 de biți, BLS12-381 în cel mai bun caz nu are o marjă prea mare și BN254 pare în pericol, cel puțin în unele aplicații (nu știu pentru semnătura BLS).