Puncte:3

Securitatea unei semnături Schnorr depinde de funcția hash care este utilizată?

drapel de
CCS

Când este creată o semnătură Schnorr, numărul $r$ este concatenat cu mesajul pentru a produce o nouă valoare care este apoi hashing pentru a da un număr reprezentat de $e$. Numarul $e$, însoțită de alte date care sunt utilizate în timpul validării, vor fi apoi trimise către un verificator de semnături.Verificatorul semnăturii va încerca apoi să recalculeze numărul $r$ folosind informațiile care le-au fost oferite și odată ce au făcut asta, vor concatena numărul $r$ că au calculat cu mesajul primit și folosesc aceeași funcție hash pentru a obține o ieșire reprezentată ca $e\prime$. Dacă $e\prim = e$, semnătura este valabilă.

Întrebarea mea este: funcția hash care este utilizată contribuie la securitatea generală a algoritmului de semnătură sau este folosită doar la semnare pentru a comprima concatenarea numărului? $r$ iar mesajul într-un număr fix de biți?

Puncte:5
drapel ru

Contribuie la securitate. În special, funcția hash $H$ trebuie să fie „rezistent la prefix aleatoriu la preimagine” pentru a fi protejat de falsurile Numai cheie și „rezistent la prefix aleatoriu al doilea preimagine” pentru a fi protejat de falsurile de mesaje cunoscute.

Prin âprefix aleatoriu rezistent la preimagineâ, înțelegem că, având în vedere o valoare de ieșire $e$ și un aleatoriu $r$, este greu de găsit un $m$ astfel încât $H(r||m)=e$ (și în al doilea caz preimagine, chiar dacă este prevăzut cu un exemplu $m$, este greu de găsit un al doilea exemplu).

Dacă ar fi ușor, atunci am putea alege un arbitrar $e$ și $s$ și (urmând procesul de validare Schnorr) calculează $r=g^sy^e$ și apoi rezolvați problema noastră preimagine pt $e$ și $r$ pentru a primi un mesaj $m$ pentru care $(s,e)$ este o semnătură valabilă. Rețineți că nu avem neapărat control asupra $m$ și astfel acest atac este un atac numai cheie pentru a crea o falsificare existențială și schema nu ar fi sigură EUF-KOA.

În mod similar, în al doilea caz preimagine am putea lua o semnătură existentă pentru un mesaj $m$ și creați un al doilea mesaj $mâ$ cu $H(r||m)=H(r||mâ)$. Semnatura $(s,e)$ pentru $m$ ar funcționa și ca semnătură pentru $mâ$ iar schema nu ar fi sigură EUF-KMA.

drapel cn
Acestea sunt proprietăți *necesare*. Nu se știe că sunt suficiente.
Daniel S avatar
drapel ru
De acord, dar o proprietate necesară este tot ceea ce este necesar pentru a arăta că funcția hash contribuie la securitate. FWIW [Neven, Smart an Warinschi](http://www.neven.org/papers/schnorr.html) a arătat suficientă în modelul de grup generic.
drapel cn
Da, răspunde la întrebare. M-am gândit doar că răspunsul ar putea fi înțeles greșit.
kelalaka avatar
drapel in
Există vreo modalitate de a arăta că un grup este generic?
Daniel S avatar
drapel ru
@kelalaka: Nu, în general, proprietatea că un grup este generic/cutie neagră tinde/trebuie să fie o presupunere (de exemplu, această ipoteză este făcută pe scară largă despre grupurile de curbe eliptice). Grupurile generice sunt în aceeași tabără cu PRP-urile și PRF-urile: constructe teoretice din care sperăm că primitivii noștri nu se pot distinge. din
kelalaka avatar
drapel in
Deci, după cum știu. Prin urmare, arătarea în modelul generic este o lucrare teoretică pentru a ne arăta că **atâta timp cât** nu există nicio proprietate specială a grupului la care ne așteptăm să fim în siguranță.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.