înregistrare Logare
Puncte:1
ming alex avatar Crypto

O problemă de securitate a unei scheme de angajament Bit construită de Naor în 1990

drapel in
ming alex

În Secțiunea 3.12 din carte scris de Boneh și Shoup, un angajament Bit din partea PRG-urilor securizate este prezentat după cum urmează:

Bob se angajează să morți $b_0\in_R\{0,1\}$:

Pasul 1: Alice alege o aleatorie $r\în R$ si trimite $r$ lui Bob.

Pasul 2: Bob alege o aleatorie $s\în S$ și calculează $c=com(s,r,b_0)$, Unde $com(s,r,b_0)$ este următoarea funcție: $c=com(s,r,b_0):=\left\{ \begin{array}{rcl}G(s) & \mbox{if}& b_0=0 \ G(s)\oplus r & \ mbox{if} & b_0=1 \ \end{matrice}\right.$, Unde $G:S\la R$ este un PRG sigur și $|R|\geq |S|^3$.

Bob iese $c$ ca șir de angajament și folosește $s$ ca şirul de deschidere.

În stadiul de revelare, la primire $s$ și $b_0$ de la Bob, Alice poate verifica asta într-adevăr $c=com(s,r,b_0)$.

Deci, întrebarea mea este că dacă eliminăm valoarea $r$ din schema de mai sus, ceea ce înseamnă:

  1. În Pasul 1. Alice nu trebuie să trimită o valoare aleatorie lui Bob, ceea ce face ca schema să nu fie interactivă.
  2. În Pasul 2. dacă $b_0=1$ apoi Bob calculează $c=G(s)\oplus k$, Unde $k=0...01\în R$ este o constantă binecunoscută și prima $|k|-1$ bucăți de $k$ sunt toate zero.

versiunea modificată este încă sigură sau nu? sau cu alte cuvinte, poate Bob să o înșele pe Alice?

53
0 + 0
Puncte:2
avatar Crypto
drapel us
Mikero

Întrebați în mod specific despre proprietatea de legare („Bob poate înșela Alice?”). Este util să ne amintim cum este dovedită legarea în schema lui Naor.

Să presupunem că un adversar generează un anumit angajament $c$. Dacă pot deschide angajamentul la 0, atunci trebuie să existe $s_0$ astfel încât $G(s_0) = c$. Dacă pot deschide angajamentul către 1, atunci trebuie să existe $s_1$ astfel încât $G(s_1) \oplus r = c$. Prin urmare, dacă se pot deschide $c$ la ambii valori atunci trebuie să existe $s_0, s_1$ astfel încât $G(s_0) \oplus G(s_1) = r$. Dacă un adversar poate face echivoc, atunci reflectă ceva amuzant $r$ mai mult decât reflectă ceva amuzant $c$.

Dacă o valoare de $r$ are proprietatea de mai sus, să o numim „problematică”. Sunt $2^{2\lambda}$ perechi $(s_0,s_1)$, și așa cel mult $2^{2\lambda}$ valorile problematice ale $r$. Dacă $G$ este triplă lungime, atunci există $2^{3\lambda}$ valorile posibile ale $r$ pe care Alice l-ar putea alege. Deci când Alice alege $r$ uniform, ea obține una problematică cu probabilitate neglijabilă $1/2^\lambda$. Și atâta timp cât ea evită o problematică $r$, angajamentul va fi perfect obligatoriu.

Acum propuneți să remediați un anume $r$, de exemplu ca $r=0\cdots01$. Întrebarea este dacă asta $r$ poate fi problematică. Poate exista $s_0, s_1$ astfel încât $G(s_0) \oplus G(s_1) = 0\cdots 01$? Sigur! Doar ia PRG-ul tău preferat și cele două corzi preferate $s_0$ și $s_1$, și redefiniți ieșirea PRG-ului $s_0$ și $s_1$ a avea proprietatea de mai sus. Funcția modificată este încă un PRG, dar schema lui Naor modificată este nesigură cu acest PRG (adversarul poate depinde de $s_0$ și $s_1$ deoarece adversarul poate depinde de alegerea PRG desigur).

Deci nu, schema lui Naor nu este sigură în general când $r$ e reparat. Pentru orice $r$ pe care ați dori să le remediați, pot construi un PRG securizat care face ca această schemă modificată a lui Naor să fie nesigură. Pentru credit suplimentar, construiți un PRG securizat $G$ astfel încât, pentru fiecare posibilă ieşire $G(i)$, valoarea $G(s)\oplus 0\cdots01$ este, de asemenea, o posibilă ieșire a $G$.

0 + 0
ming alex avatar
drapel in
ming alex
Vă mulțumesc enorm pentru răspunsul dvs. Mi-ai rezolvat multe îndoieli cu privire la dovada de securitate în lucrarea lui Naor. Totuși, mai am două probleme: una este că, dacă amândoi au folosit un PRG public securizat, cum ar fi Salsa PRG, cred că găsirea a două $s_0,s_1$ s.t. distincte. $G(s_0)=G(s_1)\oplus r$, unde $r$ este o valoare fixă ​​și bine cunoscută, este imposibil în timpul polinomului probabil. Cealaltă întrebare este că ultima ta propoziție implică faptul că un astfel de angajament modificat există prin utilizarea PRG-ului securizat pe care îl descrii?
0
Răspunde
drapel us
Mikero
Dacă PRG este „natural” (non-patologic) și $r$ este ales după ce PRG este fixat, atunci ar putea fi rezonabil să se facă această presupunere (că este greu să găsești $s_0$ și $s_1$ cu acea proprietate). Dar ar fi foarte nestandard, mai ales dacă $r$ este ceva simplu precum $0\cdots 01$. Ultima mea propoziție implică faptul că există un PRG sigur pentru care *fiecare* angajament Naor onest (cu $r=0\cdots01$ fix) poate fi echivocat cu ușurință.
1
Răspunde
ming alex avatar
drapel in
ming alex
Ok, înțeleg ce vrei să spui. Presupunerea propunerii mele este prea puternică pentru a fi practică. deci nu este o metoda generala. Iti multumesc din nou!
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.