Ce standard de semnătură scurtă?

În unele aplicații precum codurile QR, salvarea a 25 de octeți din 100 face o diferență de utilizare.

Ce alegere există pentru o schemă de semnătură cu (cele mai importante criterii mai întâi)

1. Dimensiunea semnăturii cât mai mică posibil (pentru o semnătură cu apendice) sau dimensiune adăugată cât mai mică (măsurată la un mesaj arbitrar de 40 de octeți pentru o schemă de semnătură cu recuperare a mesajului, dar aș prefera să le evit), la un nivel de securitate presupus de 128 de biți (efort de a sparge comparabil cu căutarea cheilor AES-128) reducere Calculatoare cuantice relevante din punct de vedere criptografic.
2. Standardizat sau verificat de ISO, IEC, ETSI, ANSI, ECRIPTA, NIST, ANSSI, BSI, SECG, CFRG, un standard sau organism național, unamitâ¦, sau chiar un activ IETF RFC sau un consens rezonabil al experților cripto.
3. Nu sau nu mai este grevată de brevet.
4. Nu necesită prea mult resurse pentru verificare (poate folosiți DSA-3072-256 ca limită).

Pana acum vad:

• Multe scheme fine de 64 de octeți: Ed25519 variatii in RFC8032 și așa mai departe FIPSÂ 186-5, ECDSA sau EC-SDSA-opt (EC-Schnorr) de ISO/IECÂ 14888-3 cu secp256r1, DSA-3072-256.
• O schemă de 48 de octeți: BLS12-381 (Boney-Lynn-Shacham), mai degrabă nu verificat¹ de autorități, astfel încât AFAIK eșuează [2] (găsesc că este propus doar de un nenumerotat expirat proiectul RFC), și conform relatărilor eșec [4].
• Câteva scheme de 48 de octeți cu recuperare a mesajelor (deci mai complexe de utilizat / mai puțin de dorit), inclusiv ECAO (Abe-Okamoto) de ISO/IECÂ 9796-3 (care nu este folosit oriunde stiu eu), ECPVS (Pinstov-Vanstone) de ANSI X9.92-1 (pe care îl consider că eșuează [3] până când se arată altfel).

În special absent este semnătură scurtă Schnorr (pe eliptic Curve sau grupul Schnorr), care ar fi de aproximativ 48 de octeți, dar AFAIK eșuează [2]. Poate că nu a fost standardizat pentru că are caracteristici de securitate ușor îngrijorătoare:

• Cel mai bun atac de forță brută numai asupra hashului (de exemplu, cu ASIC-uri ca în mineritul bitcoin) se obține cu probabilitate $1/n$ un mesaj semnat cu conținut practic contra cost $2^{128}/n$ hashes și unul doar cunoscut pereche mesaj/semnătură, față de cost $\sqrt n$ ori mai mare și o interogare de semnătură cu ales mesaj pentru concurenții de 64 de octeți.
• Deținătorul cheii private poate genera perechi de mesaje cu conținut diferit și practic, dar cu aceeași semnătură folosind about $2^{66}$ hashuri.

¹ Cred că oamenii au răcit după Sită de câmp extinsă pentru numărul turnului incitat la revizuiește în jos estimări anterioare de securitate ale curbelor prietenoase pentru asociere considerate anterior sigure și modifica unele scheme implementate. Subiectul are crescut asa de complex Nu pot urmări, dar din ceea ce pare a fi un rezumat de o pagină dintre ultimele estimări din jur, pentru securitatea pe 128 de biți, BLS12-381 în cel mai bun caz nu are o marjă prea mare și BN254 pare în pericol, cel puțin în unele aplicații (nu știu pentru semnătura BLS).