Dovada de securitate a semnăturii Schnorr scurte

einsteinwein

28.01.2023, 23:37

Știu că aceasta este o întrebare foarte specifică, dar sper totuși că cineva mă poate ajuta. Încerc să înțeleg puțin mai bine siguranța semnăturii scurte schnorr. Parametrul de securitate este $k$. Semnătura Schnorr $\sigma = (s,e)$ cu $s,e \in \mathbb{Z}_q$ are o lungime a semnăturii de 4k $ biți ($s$ și $e$ avea 2k$ biți, $e$ este o ieșire hash). Semnătura Schnorr scurtă utilizează o ieșire hash mai scurtă de $k$ lungime de biți astfel încât semnătura rezultată să aibă o lungime de 3k $ biți. Aparent, Short Schnorr Signature are același nivel de securitate ca „normal” Schnorr Signature. După cum se precizează în dovezile de securitate de pe ultima pagină a lucrării „Securitatea criptării ElGamal semnate”, Schnorr, Jakobsson (pagina 85). Am să citez doar partea pe care nu o înțeleg și sper că cineva mi-o poate explica fără să fiu nevoit să dau mai mult context.

... un atacator CCA nu reușește mai bine decât cu probabilitate $\frac{1}{2}+t^2/q+l(2^{-k}-\frac{1}{q})$, Unde $l$ este numărul de interacțiuni de decriptare. Acest lucru arată că valorile hash aleatoare pot raza sigur pe un set de $\sqrt q$ valorile.

( $q \aproximativ 2^{2k}$ )

Mulțumesc mult anticipat!

211

0 + 0

demonstrabil-securitate

schnorr-semnătură

fgrieu

30.01.2023, 06:16

Ceea ce este surprinzător în citat este că rezultatul invocat (din teorema 1), „atacatorul CCA” și „decriptorul”, sunt pentru criptare, nu pentru semnătură. Recunosc că nu reușesc să dau sens din asta. Înțeleg că $k$ ar trebui să fie lățimea hash-ului în semnătura scurtă Schnorr.

Răspunde

fgrieu

30.01.2023, 06:54

Este întrebarea despre această lucrare specifică? Este limitat la (s)EUF-CMA teoretic sau contează alte aspecte de securitate? Semnătura Schnorr scurtă are o serie de probleme practice limită pe care Schnorr, EdDSA, (EC)DSA obișnuit nu le au, inclusiv: vulnerabilitatea la al doilea atac pre-imagine al hash-ului cu efort $2^k$ hash (adică hash-ul simetric, nu cripto asimetric, este punctul slab practic); și că deținătorul cheii private poate face perechi de mesaje semnificative cu aceeași semnătură la un cost de aproximativ $2^{k/2}$ hashes (care poate fi perceput ca un risc de repudiere/FUD).

Răspunde

Mikhail Koipish

05.02.2023, 19:51

Ei bine, securitatea semnelor Schnorr scurte este dovedită într-un alt articol - neven.org/papers/schnorr.html. Vă rugăm să priviți mai întâi acest lucru

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Security Proof of Short Schnorr Signature

TH: หลักฐานความปลอดภัยของลายเซ็น Schnorr แบบสั้น

RO: Dovada de securitate a semnăturii Schnorr scurte

RU: Доказательство безопасности короткой подписи Шнорра

VI: Bằng chứng bảo mật về chữ ký Schnorr ngắn

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.