Puncte:0

Există o criptă.metodele $f,g,h$ care fac naveta și găsirea de $x$ pentru $c=f^ig^jh^k(x)$ este mai dificilă decât $O(i+j+k)$ dar numai cu $

drapel at

Există metode criptografice $f,g,h$ care poate fi aplicat în orice ordine unei intrări $x$ rezultând în același timp același rezultat $r$: $$f(g(h(x)))=h(g(f(x)))=ghf(x)=fhg(x)=hfg(x)=gfh(x) = r$$

Același lucru pentru funcția lor inversă: $$f^{-1}(g^{-1}(h^{-1}(r)))=h^{-1}(g^{-1}(f^{-1}(r) )))=g^{-1}(h^{-1}(f^{-1}(r)))) =...= x$$

Dacă acum $f,g,h,$ este aplicat $i,j,k$-de ori la o intrare $x$ găsirea/calcularea $x$ pentru dat $c$ $$c=f^i(g^j(h^k(x)))$$ ar trebui să fie cât mai greu posibil și cu aceasta luând mai mult decât $O(|i|+|j|+|k|)$ trepte.
Mai mult, metodele $f,g,h$ păstrează formatul: $X \mapsto X$, astfel încât fiecare ieșire poate servi ca intrare nouă.
Numărul de valori diferite $|X|$ ar trebui să fie cât mai mic posibil, menținând totuși securitatea adecvată.
Dimensiunea maximă ar trebui să fie: $$|X| < 2^{256}$$


Alte noduri:
Tehnica de calcul $f,g,h$ iar inversele lor trebuie să dureze un timp similar pentru fiecare intrare (independent de $i,j,k$).

În plus $f,g,h$ trebuie să producă un ciclu ca $f(f(....f(x)...)) = x$ cu dimensiunea $F,G,H$ cu $F\aprox G \aprox H \gg 1$

Și întâmplător $x$ poate fi generat fără cunoașterea parametrului secret din $f,g,h$ (adversarul are acces la codul de rulare).


Ţintă: dat două aleatorii $x_1,x_2$ cu $x_2=f^ig^jh^k(x_1)$ calcularea/găsirea $i,j,k$ ar trebui să fie cât mai greu posibil în timp ce numărul de diferite $x$ ar trebui să fie cât mai mic posibil.
Nu de preferat, dar unele combinații de $x_1,x_2$ poate să nu aibă niciunul $i,j,k$, metode $f,g,h: X_d \mapsto X_d$ cu $d<\aproximativ 10$

Securitatea țintă $\aproximativ 2^{100}$ pași (= numărul de calcule ale $f,g$ sau $h$ (sau echivalent)) necesar.
Cu perfect $f,g,h$ (dacă există) ar trebui doar să aibă nevoie $|X| \aproximativ 2^{150}$ (de exemplu, intersecția liniei $f^l(x_1)$ cu suprafata $g^mh^n(x_2)$)
(Adversarul nu are computer cuantic)


Intrebare legata: Dacă ignorăm dimensiunea maximă a domeniului $|X|<2^{256}$ raspunsul meu intrebare foarte asemanatoare duce la o mare $|X|$ pentru a evita factorizarea. Caut un cat mai mic $|X|$.

kodlu avatar
drapel sa
unele paranteze lipsesc în primul set de compoziţii
J. Doe avatar
drapel at
@kodlu vrei să spui la „ghf(x)”? Le-am lăsat pentru o privire de ansamblu mai bună. Dacă fac naveta unul cu altul, nu ar trebui să aibă nicio diferență. Sau?
Puncte:1
drapel my

Iată o idee care pare să îndeplinească toate cerințele dvs. Acum, nu îndeplinește alte cerințe criptografice rezonabile; totuși nu le-ai cerut niciodată.

Iată ideea: lucrăm într-un grup de curbă eliptică de dimensiuni adecvate (de exemplu, P224) cu dimensiunea grupului $q$ (care este prim) și alegeți trei generatoare $F, G, H$ (cu relații necunoscute; poate generat folosind o metodă Hash2Curve); și:

$$f(X) = F + X$$

$$g(X) = G + X$$

$$h(X) = H + X$$

Evident, aceste operațiuni fac naveta, iar noi am făcut-o $f^i(g^j(h^k(X))) = iF + jG + kH + X$.

Trecând prin cerințele dvs.:

Dacă acum $f,g,h$, este aplicat $i,j,k$-de ori la o intrare $x$ găsirea/calcularea $x$ pentru dat $c = f^i(g^j(h^k(x)))$ ar trebui să fie cât mai greu posibil și cu aceasta luând mai mult decât $O(|i|+|j|+|k|)$ trepte.

Presupun că, în această cerință, atacatorul nu cunoaște valorile $i, j, k$ (El cunoaște intervalul relativ). În acest caz, cea mai bună căutare pe care o pot găsi pentru a verifica o valoare $c$ ia $O( \sqrt{i \cdot j \cdot k } )$ timp (presupunând $i \cdot j \cdot k < q$, evident); aceasta este mai mare decât $O(i + j + k)$. Această căutare se face prin luarea $0F, 1F, ..., iF$, $0G, 1G, ..., jG$, $0H, 1H, ..., kG$, împărțindu-le în două liste în care suma oricăror trei elemente din cele trei liste poate fi exprimată ca o sumă a doi dacă elementele din listă și apoi aplicând un algoritm de stil „pas mare/pas mic”.

Mai mult, metodele $f,g,h$ păstrează formatul: $X \rightarrow X$, astfel încât fiecare ieșire poate servi ca intrare nouă.

Atâta timp cât ești cool cu $X$ fiind setul de puncte de curbă eliptică, suntem bine aici.

Dimensiunea maximă ar trebui să fie: $|X|<2^{256}$

Cu P-224, acest lucru este adevărat.

Tehnica de calcul $f,g,h$ iar inversele lor trebuie să dureze un timp similar pentru fiecare intrare (independent de $i,j,k$).

Suntem bine aici

În plus $f,g,h$ trebuie să producă un ciclu ca $f(f(....f(x)...))=x$ cu dimensiunea $F,G,H$ cu $F \aprox G \aprox H \gg 1$

Adevărat; $f, g, h$ toate au ordine $q$, care este mult mai mare decât 1

Puteți selecta cu ușurință intervale pentru $i, j, k$ astfel încât securitatea țintă să fie îndeplinită.

Acum, singurul lucru pe care această idee nu îl oferă este că, dat $c, x$ cu $c = f^i(g^j(h^k(x)))$, este banal de calculat $c' = f^i(g^j(h^k(x')))$. Cu toate acestea, nu ai cerut niciodată să fie greu...

dave_thompson_085 avatar
drapel cn
ITYM f,g,h naveta nu se comite.
J. Doe avatar
drapel at
Da, ai dreptate, nu asta caut, dar este un răspuns la întrebarea scrisă și, de asemenea, deja un posibil plan de rezervă dacă nu găsesc ceva mai bun. Ar trebui să fi adăugat secvențele pe care le generează $f,g,h$ să conțină valori diferite sau pot genera mai multe valori diferite împreună decât singure sau produsul dimensiunii secvenței lor individuale ar trebui să fie aproape de $|X|$. Sau cel puțin în cel mai bun caz așa fac. Greu de inclus pe toate fără a scrie un roman pe care nimeni nu îl citește. Așa că mulțumesc că ai răspuns din nou.
J. Doe avatar
drapel at
„Atâta timp cât ești cool cu ​​$X$ fiind setul de puncte de curbă eliptică, suntem bine aici” -> Sunt bine cu tot ceea ce poate fi generat aleatoriu fără cunoștința parametrului secret. De asemenea, bine dacă un membru al lui $X$ nu poate fi generat aleatoriu. ### „Acum, singurul lucru pe care această idee nu îl oferă este că, având în vedere $c$,$x$ cu[..] -> Asta nu este o problemă, $i,j,k$ va fi diferit (aproape) de fiecare dată . $c$ și $x$ sunt alese aleatoriu și înrudite $i,j,k$ ar trebui să fie necunoscute/greu de calculat.
J. Doe avatar
drapel at
Ați putea da o scurtă notă de ce este $O(\sqrt{i\cdot j \cdot k})$, vă rog. Cred că este $O(\sqrt{q})$ (și dacă presupunem $q\equiv |X|$ și $f,g,h$ *nu* generează aceleași valori (și nu pot fi transferate în unul pe altul, deci cel mai bun caz de utilizare (din câte știu eu))) ar fi $O(|X|^\frac{2}{3})$)

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.