Puncte:3

Ce standard de semnătură scurtă?

drapel ng

În unele aplicații precum codurile QR, salvarea a 25 de octeți din 100 face o diferență de utilizare.

Ce alegere există pentru o schemă de semnătură cu (cele mai importante criterii mai întâi)

  1. Dimensiunea semnăturii cât mai mică posibil (pentru o semnătură cu apendice) sau dimensiune adăugată cât mai mică (măsurată la un mesaj arbitrar de 40 de octeți pentru o schemă de semnătură cu recuperare a mesajului, dar aș prefera să le evit), la un nivel de securitate presupus de 128 de biți (efort de a sparge comparabil cu căutarea cheilor AES-128) reducere Calculatoare cuantice relevante din punct de vedere criptografic.
  2. Standardizat sau verificat de ISO, IEC, ETSI, ANSI, ECRIPTA, NIST, ANSSI, BSI, SECG, CFRG, un standard sau organism național, unamitâ¦, sau chiar un activ IETF RFC sau un consens rezonabil al experților cripto.
  3. Nu sau nu mai este grevată de brevet.
  4. Nu necesită prea mult resurse pentru verificare (poate folosiți DSA-3072-256 ca limită).

Pana acum vad:

În special absent este semnătură scurtă Schnorr (pe eliptic Curve sau grupul Schnorr), care ar fi de aproximativ 48 de octeți, dar AFAIK eșuează [2]. Poate că nu a fost standardizat pentru că are caracteristici de securitate ușor îngrijorătoare:

  • Cel mai bun atac de forță brută numai asupra hashului (de exemplu, cu ASIC-uri ca în mineritul bitcoin) se obține cu probabilitate $1/n$ un mesaj semnat cu conținut practic contra cost $2^{128}/n$ hashes și unul doar cunoscut pereche mesaj/semnătură, față de cost $\sqrt n$ ori mai mare și o interogare de semnătură cu ales mesaj pentru concurenții de 64 de octeți.
  • Deținătorul cheii private poate genera perechi de mesaje cu conținut diferit și practic, dar cu aceeași semnătură folosind about $2^{66}$ hashuri.

¹ Cred că oamenii au răcit după Sită de câmp extinsă pentru numărul turnului incitat la revizuiește în jos estimări anterioare de securitate ale curbelor prietenoase pentru asociere considerate anterior sigure și modifica unele scheme implementate. Subiectul are crescut asa de complex Nu pot urmări, dar din ceea ce pare a fi un rezumat de o pagină dintre ultimele estimări din jur, pentru securitatea pe 128 de biți, BLS12-381 în cel mai bun caz nu are o marjă prea mare și BN254 pare în pericol, cel puțin în unele aplicații (nu știu pentru semnătura BLS).

Gilles 'SO- stop being evil' avatar
drapel cn
„Deținătorul cheii private poate genera perechi de mesaje cu conținut diferit și practic, dar cu aceeași semnătură… Există multe aplicații în care acest lucru nu este o problemă.La urma urmei, folosim de obicei scheme MAC și AEAD în care deținătorul cheii secrete poate crea coliziuni cu costuri neglijabile. Autenticitatea nu garantează integritatea în general.
fgrieu avatar
drapel ng
@Gilles 'SO- stop being evil': de acord, niciuna dintre cele două caracteristici de securitate ușor îngrijorătoare pe care le citez pe scurt (EC-)Schnorr nu sunt showstoppers. În special, nu rup (s)EUF-CMA. Le-am citat ca probabil motive pentru care scurtul (EC-)Schnorr nu este standardizat, când EC-Schnorr este. [actualizare: am clarificat asta în întrebare]
drapel kr
Nu știu despre încercări de standardizare, dar cu riscul de a suna puțin nesăbuit, nu aș reduce semnăturile BLS pe ​​BN254 pentru acest tip de aplicații. Dimensiunea semnăturii este de numai 32 de octeți, viteza este semnificativ mai bună decât BLS12-381 și, în ciuda faptului că exTNFS, nu aș fi surprins dacă s-ar putea argumenta că este un nivel de securitate similar cu AES odată ce toate costurile de atac sunt luate în considerare corect ( inclusiv acces la memorie, să zicem).
fgrieu avatar
drapel ng
@Mehdi Tibouchi: vrei să spui că motivele legate de exTNFS BN254 a fost retrogradat în favoarea lui BLS12-381 în unele aplicații [a se vedea nota nouă ¹ în întrebarea pentru linkuri] nu-l dăunează sub nivelul AES-128 în general, sau ca nu in semnatura BLS in special? În oricare dintre cazuri, mă întreb de ce nu este luată în considerare nicio curbă Barreto-Naehrig în [proiectul RFC](https://tools.ietf.org/pdf/draft-irtf-cfrg-bls-signature-04.pdf) pentru semnătura BLS . Recunosc că rațiunea pentru alegerea curbelor prietenoase cu asociere zboară sus deasupra capului meu și mă sperie!
drapel kr
@fgrieu Dacă se poate calcula jurnalele discrete, se poate recupera direct cheia secretă în schema de semnătură BLS, deci nu este nimic special în această setare care o face deosebit de rezistentă împotriva exTNFS. Problema este mai mult despre ce înseamnă de fapt „128 de biți de securitate”. Lucrarea pe care o menționezi în nota ta estimează costul spargerii BN254 cu STNFS la aproximativ 2^105 sau cam asa ceva. Cu toate acestea, aceasta înseamnă 2^105 pași de calcul, fiecare dintre care este * mult* mai costisitor decât o evaluare a AES. Atacul necesită, de asemenea, cantități masive de memorie și comunicare între nodurile de calcul. Așa că simt...
drapel kr
â¦destul de încrezător susținând că 105 biți de securitate TNFS este mai mare decât 128 de biți de securitate AES, pentru o evaluare rezonabilă a acestor două costuri.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.