Cred că unul dintre ele este legat de atacurile multițintă, iar celălalt este legat de atacurile de coliziune. Dar nu pot găsi cum cripta bazată pe hash este legată de coliziunile hash.
1-) Luați în considerare următoarea schemă de semnătură de timp Lamport
- Să presupunem o funcție hash de 128 de biți $H$ este folosit
- Alege la întâmplare $p_i$ și $r_i $ pentru $1\leq i \leq 128$
- $SK=\{(p_i,r_i)\}_i$ este cheia secretă și $PK=\{(H(p_i),H(r_i))\}_i$ este cheia publică.
- Pentru mesaj $M$, luăm hașul $h=H(M)$. Lăsa $h=h_1h_2\cdots h_{128}$
- Pentru semnare $M$, publicăm $p_i$ dacă $h_i=0$ și $r_i$ dacă $h_i=1$ pentru fiecare $i$.
Cum poate aplica adversarul $2^{64}$-Atacul costurilor?
Care este securitatea acestei scheme? (Cred că 120 de biți, deoarece se aplică multitarget, adică este suficient să găsiți cel puțin unul dintre $p_i,r_i$lui. O presupunere aleatorie are prob $\frac{256}{2^{128}}$)
2-) Luați în considerare arborele Merkle original cu $2^{10}$ Semnături de timp Lamport fără măști de biți cu funcție hash $H$ folosit mai sus. Care este securitatea acestei scheme? (La fel ca mai sus, avem securitate de 120 de biți după $2^t$ semnături pentru că $\frac{256\cdot 2^t}{2^{128}}$)
Cred că dacă folosim hash cu cheie SAU măști de biți aici, securitatea acestei scheme va fi de 128 de biți. Deci de ce avem nevoie de amândouă?
SAU, care este securitatea SPHINCS+ fără hash sau bitmask cu cheie?
