înregistrare Logare
Puncte:1
user363406 avatar Crypto

Cum să știi dacă ai ghicit secretul corect partajat Diffie-Hellman?

drapel tg
user363406

Dat numai $p,$ $g,$ $A = g^a\pmod{p}$ și $B = g^b\pmod{p},$ valorile posibile pentru secretul partajat sunt toate valorile unice ale $A^b\pmod{p}$, unde b este un număr întreg. Secretul partajat este, de asemenea, egal cu $B^a\pmod{p}$, unde a este un număr întreg.

Deci, putem verifica fiecare dintre aceste valori posibile pentru secretul partajat. Întrebarea mea este cum verificăm dacă un număr este secretul partajat corect?

Presupunerea mea este aceasta:

De obicei, secretul partajat este utilizat într-o schemă de criptare simetrică, ai cărui termeni generali trebuie conveniți în mod logic pe canalul public.Deci, din punctul nostru de vedere, am ști ce tip de criptare simetrică este utilizat și, prin urmare, cum este utilizat secretul partajat și, prin urmare, am putea încerca să decriptăm un anumit mesaj cu fiecare posibil secret partajat până când vom găsi unul care ne oferă originalul. , mesaj necriptat. Dar atunci ar trebui să știm cum ar trebui să arate mesajul original necriptat.

80
0 + 0
ming alex avatar
drapel in
ming alex
După cum știm, securitatea protocolului DH se bazează în principal pe problema logaritmului discret. Dacă $|p|$ este foarte mare, atunci niciun algoritm PPT nu poate rezolva această problemă. Vă sugerez să citiți o carte criptografică pentru a înțelege mai bine acest punct.
0
Răspunde
Puncte:1
poncho avatar Crypto
drapel my
poncho

Deci, putem verifica fiecare dintre aceste valori posibile pentru secretul partajat.

În practică, numărul de valori posibile pentru secretul partajat este prea mare pentru ca scanarea tuturor posibilităților să fie practice - există întotdeauna atacuri mai ușoare. Și, după cum se pare că ați ghicit corect, recunoașterea secretului partajat pe baza $g, g^a \bmod p, g^b \bmod p$ se crede a fi o problemă grea (de fapt, o numim „problema decizională Diffie-Hellman”)

Un atac este de a lua $g$ și $g^a \bmod p$ și încercați să vă recuperați $a$ (adică rezolvăm problema jurnalului discret) - odată ce avem $a$, putem calcula $B^a \bmod p$ (care este secretul partajat) și acesta este secretul partajat.

Cealaltă abordare posibilă este să atacăm partea simetrică a lucrurilor - ignorăm complet operațiunea DH și facem doar un atac cu forță brută asupra cheii simetrice. BTW: necunoașterea textului clar exact nu este de obicei o problemă; chiar dacă nu știm exact ce este, în general știm destule despre el pentru a-l deosebi de galimatia aleatoare (care este ceea ce obții atunci când încerci să-l decriptezi cu cheia greșită) - în plus, dacă folosești un AEAD algoritmului, cheia este folosită pentru a genera o etichetă (precum și pentru a cripta), iar eticheta poate fi, de asemenea, utilizată pentru a distinge cheia corectă (chiar dacă textul simplu este într-adevăr fals aleatoriu).

Pentru ambele atacuri, de obicei selectăm parametri de securitate (cum ar fi dimensiunea $p$ și dimensiunea cheii simetrice) pentru a face ambele abordări imposibile.

0 + 0
user363406 avatar
drapel tg
user363406
Problema este că problema logaritmului discret are soluții infinite, deoarece există valori infinite pentru $a$ care satisfac $g^a\pmod{p} = A$ unde A este un număr din mulțimea {1,..., p-1}. Asta mă încurcă când oamenii spun „rezolvați problema logaritmului discret”. Afaik rezolvarea s-ar reduce din nou la ghicirea și verificarea diferitelor valori posibile de $a$, așa că aceasta este doar o versiune mai intensivă din punct de vedere al calculului a problemei DH decizional.
0
Răspunde
poncho avatar
drapel my
poncho
@user363406: dacă găsim vreo soluție $a$, atunci putem găsi toate celelalte soluții adunând sau scăzând multipli ai $q$ (unde $q$ este de ordinul $g$). Un alt mod de a spune acest lucru este că există (cel mult) o soluție în intervalul $[0, q)$; întrucât de obicei cunoaștem valoarea $q$, putem spune că există o soluție „unica”. BTW: există grupuri cunoscute în care se știe că problema decizională DH este ușoară (având în vedere valorile $g, g^a, g^b, g^{c}$, putem determina întotdeauna dacă $g^{ab} = g^c$), iar problema DH de calcul este considerată greu - prin urmare problema cDH pare în mod inerent mai grea
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.