Puncte:1

De ce avem nevoie atât de măști de biți, cât și de hash cu cheie în SPHINCS+

drapel va

Cred că unul dintre ele este legat de atacurile multițintă, iar celălalt este legat de atacurile de coliziune. Dar nu pot găsi cum cripta bazată pe hash este legată de coliziunile hash.

1-) Luați în considerare următoarea schemă de semnătură de timp Lamport

  • Să presupunem o funcție hash de 128 de biți $H$ este folosit
  • Alege la întâmplare $p_i$ și $r_i $ pentru $1\leq i \leq 128$
  • $SK=\{(p_i,r_i)\}_i$ este cheia secretă și $PK=\{(H(p_i),H(r_i))\}_i$ este cheia publică.
  • Pentru mesaj $M$, luăm hașul $h=H(M)$. Lăsa $h=h_1h_2\cdots h_{128}$
  • Pentru semnare $M$, publicăm $p_i$ dacă $h_i=0$ și $r_i$ dacă $h_i=1$ pentru fiecare $i$.

Cum poate aplica adversarul $2^{64}$-Atacul costurilor?

Care este securitatea acestei scheme? (Cred că 120 de biți, deoarece se aplică multitarget, adică este suficient să găsiți cel puțin unul dintre $p_i,r_i$lui. O presupunere aleatorie are prob $\frac{256}{2^{128}}$)

2-) Luați în considerare arborele Merkle original cu $2^{10}$ Semnături de timp Lamport fără măști de biți cu funcție hash $H$ folosit mai sus. Care este securitatea acestei scheme? (La fel ca mai sus, avem securitate de 120 de biți după $2^t$ semnături pentru că $\frac{256\cdot 2^t}{2^{128}}$)

Cred că dacă folosim hash cu cheie SAU măști de biți aici, securitatea acestei scheme va fi de 128 de biți. Deci de ce avem nevoie de amândouă?

SAU, care este securitatea SPHINCS+ fără hash sau bitmask cu cheie?

Puncte:2
drapel my

Cred că dacă folosim hash cu cheie SAU măști de biți aici, securitatea acestei scheme va fi de 128 de biți. Deci de ce avem nevoie de amândouă?

De fapt, noi nu. Sphincs+ (cel puțin, versiunea round 3) are două seturi de seturi de parametri, „simple” și „robuste”. Simplu are doar „hash-ul cu cheie” (pe care îl voi interpreta la structura de adrese care este inclusă în fiecare evaluare PRF, F, H și T; nu chiar o cheie, deoarece nu este secretă), în timp ce robust are atât hash-ul cu cheie. și măști de biți.

De ce asta? Se reduce la proprietăți demonstrabile; simplu are securitate de 128 de biți (pentru seturile de parametri de Nivel 1) dacă presupunem că funcția hash acționează ca un Oracle aleatoriu; pentru robust, obținem acel nivel de securitate pe ipoteza mai slabă că calculul a doua preimagini ale funcției hash necesită $2^{128}$ timp.

user avatar
drapel va
Mulțumesc foarte mult pentru clarificare.Încă nu pot găsi niciun atac de coliziune pe scheme bazate pe hash. Lucrarea „Digital Signatures Out of Second-Preimage Resistant Hash Functions” spune că „Propunem o nouă construcție pentru autentificarea Merkle arbori care nu necesită funcții hash rezistente la coliziuni;". Există scheme pe care securitatea se bazează pe funcțiile hash rezistente la coliziuni. Care este cazul exemplelor mele de mai sus?
user avatar
drapel va
O altă propoziție interesantă de la ia.cr/2017/349: „XMSS utilizează o variantă de WOTS (WOTS+ [13]) care elimină cerința pentru o funcție hash rezistentă la coliziuni.” De ce securitatea WOTS suferă de coliziuni, în timp ce WOTS+ nu.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.