Ultimele Crypto intrebări

În jocul de securitate dintre contestator și adversar pentru definirea securității criptării cheii publice, contestatorul creează și dă cheia publică pk adversarului. Adversarul alege două mesaje de lungime egală $m_0$ și $m_1$ și îi cere contestatorului să codifice acestea. În cele din urmă, adversarul trebuie să ghicească ce mesaj a fost codificat.

Nu este întotdeauna posibil ca adve ...

În RFC 5869, definiția HKDF-Expand este dată după cum urmează, cu valoarea contorului final variind de la 1 la (presumabil) 255:

Ieșirea OKM este calculată după cum urmează:

   N = plafon (L/HashLen)
   T = T(1) | T(2) | T(3) | ... | T(N)
   OKM = primii L octeți din T

   Unde:
   T(0) = șir gol (lungime zero)
   T(1) = HMAC-Hash(PRK, T(0) | informații | 0x01)
   T(2) = HMAC-Hash ...

Am căutat de multe zile despre complexitatea de timp a O(n) pentru AES (de preferință modul CBC). Mai mult, caut documente formale precum hârtii/cărți/standarde. Am gasit aceasta hartie: https://ieeexplore.ieee.org/document/5945606 pe care scrie O(1)... nu pot sa cred asta! Și asta: https://link.springer.com/chapter/10.1007/978-3-319-15943-0_10 care descrie complexitatea atacurilor pe AES... Are  ...

Au existat multe discuții despre criptografie cu casetă albă în ultimii ani. Cu toate acestea, nu am găsit niciun semn că aplicațiile din lumea reală îl folosesc.

• Există soluții IT din lumea reală care depind de criptografia cu casetă albă începând cu 2022?
• Este orice tip de criptografie whitebox considerată sigură de către orice autoritate (NIST etc.) și utilizată în mod deschi ...

Dintr-un text introductiv foarte elementar la criptografia cu curbe eliptice, aritmetica punctului este derivată din „analiza standard”: Suma (negativă) a $P_1$ și $P_2$ este definit ca Punct $P_3$, care se află pe linia de legătură $P_1$ și $P_2$:

Din asta derivă

În cifre reale, aș înțelege asta pe deplin. Dar, de obicei, ECC se realizează într-un câmp finit (prim). $\mathbb{F} ...

În unele contexte (HKDF (RFC-5869 sec 2.2) și BIP32 al Bitcoin (generarea cheii master)), am văzut cheia și datele schimbate pentru HMAC. De exemplu, să fie HMAC o funcție $h:\{0,1\}^c \times \{0,1\}^b \la \{0,1\}^c$ (notație obișnuită) definită pentru o cheie $k$ și date $m$ la fel de $h(k, m)$. Ei bine, unii oameni lasă $k$ să fie o valoare publică fixă ​​(de exemplu, SămânÈ ...

De obicei, RSA folosește un exponent de criptare $e$ cu $\gcd(e,\phi(N))=1$.
Acest întrebare arată de ce trebuie să fie așa: Pentru $\ne1$ s-ar putea să nu existe exponent de decriptare $d$ pentru că altele $m'\ne m$ poate exista cu $m^e \equiv (m')^e \bmod N$.

Cu toate acestea, dacă ne producem $m$ ca: $$m = m_0^{e} \mod N$$ sau mai general $$m = m_0^{e^{r_1}\cdot r_2} \mod N \tag{I}$$

Lucrez la TLS1.2 pe suita de criptare ECDHE_ECDSA_AES_128_CBC_SHA256. Sunt în prezent în stadiul de mesaj criptat client, unde am primit întotdeauna o eroare pe wireshark de la server care spune că Fatal, Descriere: Handshake Failure. Deci, din ceea ce am făcut cercetările mele, mesajul de finalizare conține pentru acest client presupune să parcurgă acești pași:

1. 1 octet de tip de strânger ...

În primul rând, NU încerc să vând sau să promovez niciun serviciu sau produs plătit. Scopul acestei postări este de a invita discuții despre o abordare fundamental diferită a modului în care vedem sistemele de monedă.

Creditul descentralizat este un sistem de monedă extrem de simplu, dar extrem de eficient, care cred că este cu mult superior oricărui alt sistem de monedă, inclusiv ...

Am găsit o construcție pentru matricea MDS (algoritmul 4 al https://eprint.iacr.org/2020/1143) pentru o funcție hash care comprimă elemente dintr-un câmp prim $F_p$

Dacă hash-ul are o rată și o capacitate $(r,c)$ și $m = r+c$. Se procedează ca

1. Identificați o rădăcină primitivă a unității $g$ în $F_p$.
2. Scrieți o matrice Vandermonde $V[i,j] = g^{ij}$ Unde $ i=0,1,\ldots m-1$ și

Încerc să implementez calculul în două părți pentru semnarea ECDSA folosind criptosistemul Paillier.

Dar problema mea este că ordinea lui Paillier este diferită de ordinea curbei (secp256k1 în cazul meu), așa că atunci când înmulțesc doi scalari în Paillier și apoi îi decriptez, aceștia sunt într-o altă ordine decât restul parametrilor.

Exemplu concret:

Ordinul Paillier - N
Ordinul ECD ...

Care dintre algoritmi au performanțe mai bune pentru sistemele încorporate (HMAC, CMAC, CBC CMAC, AES CMAC, CBC CMAC AES, OMAC, POLY1305 MAC)?

Se știe că partajarea secretă a lui Shamir funcționează peste orice câmp finit, dar nu înțeleg de ce sunt preferate câmpurile de extensie binare?

Pentru LWE/RLWE, este greu de găsit $s$ din $\left(A, b = As + e\right)$. Dar dacă informația parțială a $s$ este scurs, cum ar fi parțial $s$ sau paritatea de $s$, cât de ușor ar deveni să rezolvi LWE?

Nu știu prea multe despre algoritmul pentru atacarea LWE/RLWE, dacă există o literatură relevantă recomandată, ar fi grozav.

Căutam un exemplu de protocol pentru a verifica identitatea utilizatorului folosind Diffie Hellman care funcționează astfel:

• clientul trimite: $g^x$, Numar de identificare
• serverul raspunde cu: $g^y$, $E_H_{pwd} provocare$
• clientul răspunde cu: provocare

inteleg asta g^x, g^y sunt chei Diffie Hellman, plus că este dat asta H este o funcție hash și pwd este parola utilizatorului, dar ce fa ...

Pentru un proiect la care lucrez, trebuie să implementez ECDSA peste curba NIST P-384 (AKA secp384r1). Pentru cât merită, alegerea curbei este în afara controlului meu în acest caz particular.

Deși am deja o implementare funcțională, iar acesta este (până acum) doar un proiect pentru animale de companie cu mize mici, mă întrebam cum aș putea să mă ocup de asta în cel mai mult efectiv

Am de gând să folosesc Simon Cipher ca exemplu, dar vreau să încadrez întrebarea ca să fie mai generală. De ce aceeași structură de cifră ar avea un atac optim diferit pentru lățimi de biți diferite? Aș crede că structura ar fi cea care dictează atacul și nu lățimea biților. SIMON32/64 și SIMON128/256 sunt practic identice, singurele diferențe fiind lățimea cheii/bloc și număr ...

Cum se face o dovadă a corectitudinii formulei de criptare și decriptare RSA pentru $GCD(m_i,n)=1$ și $GCD(m_i,n) \neq1$ unde criptarea este definită ca $c_i = m_{i}^e$ mod n și decriptare $m_i = c_{i}^d$ mod n.

Deci, mulțumesc @poncho pentru sfaturi, am scris următoarea dovadă:

Amintiți-vă că numerele întregi $e > 0$ și $k > 0$ sunt aleși astfel încât $ ed = 1 + k(p â 1)(q â 1)$

Dezvolt o modalitate de a genera în mod determinist chei private pentru curbe eliptice arbitrare pe baza unor intrări de utilizator (un portofel pentru creier). În prezent, folosesc algoritmul de hashing al parolei Scrypt cu parametri robusti de dificultate pentru a hashing un număr de parametri de intrare într-o cheie.

Ieșirea Scrypt ar trebui să fie distribuită uniform între $[0, 2^{b})$ ...

Sunt nou în domeniul homomorphic en/decryption. Am două întrebări cu privire la această lucrare: „O variantă RNS completă de criptare homomorfă aproximativă”. Voi face referire la această lucrare ca „RNS CKKS”.

Intrebarea 1: Operația de multiplicare a acestei lucrări implică creșterea modulară și reducerea modulară pentru reliniarizare. Mă întreb doar care este scopul a ...

Să presupunem că mine un bloc cu 10 bitcoin.

De ce niciun miner nu construiește pe blocul meu (fraudulent)?

Există vreo modalitate prin care minerul să verifice dacă fiecare tranzacție a unui bloc este validă și, prin urmare, nu se bazează pe blocul meu fraudulos?

În DSA, calculăm semnătura $(r,s)$ pe $m$ prin prelevare de probe $k\in\{1,...,q-1\}$ iar apoi calculul

$r := g^k \bmod p$

$s := k^{-1}*(m+x*r) \bmod q$

În timpul verificării, calculăm $v:=g^{m*s^{-1}}*y^{r*s^{-1}}\bmod p$ si apoi verifica $r=v \bmod q$.

Întrebare: Ar fi bine să plec $k^{-1}$ din calculul $s$ (adică $s := m+x*r$) și apoi verificați pentru $g = v$?

În prezent citesc ziarul Degradare grațioasă în mai multe partide Calcul. Ziarul a menționat ceva despre structura corecta, notat C = {C1, . . . , Cl}.

La pagina 10, lucrarea scrie:

Atunci, dacă inconsecvențele pot fi explicate cu o mulțime defectuoasă C â C, valorile de la partide în C sunt ignorate.

Sunt confuz cu privire la ce ar putea însemna asta.

În RSA calculăm e (cheia de criptare) și d (cheia de decriptare) $\bmod phi(n)$ si nu $\bmod n$, deci cum se face când primim cheile și criptăm și decriptăm pe care le folosim $\bmod n$ nu $\bmod phi(n)$ folosind următoarele reguli:

Criptare: $C =(m^e) \bmod n$

Decriptare: $m = C^d = (m^e)^d \bmod n = m^{e.d} \bmod n = m^1 \bmod n = m \bmod n$

Nu înțeleg cum de $e \cdot d=1$ chiar dacă este ...

Sunt confuz cu privire la o simplă schemă de partajare a intrărilor.
Schema: o parte care deține o intrare x și generează o variabilă aleatoare r.
Partea secretă a acelei părți este r ca [r], apoi distribuie-l altor părți.
Apoi difuzați x-r către alte părți, apoi fiecare alte părți calculează x-r+[r] ca pondere a [x].
Ceea ce sunt confuz aici este că dacă adunăm [x], nu v ...

Comparam schemele clasice cu schemele post-cuantice. Prin urmare, m-a interesat runda a treia candidati ai procesului de standardizare NIST. Până acum știu că acele scheme post-cuantice au nevoie de dimensiuni mult mai mari pentru cheie, semnătură și text cifrat. În ceea ce privește performanța, am ajuns la concluzia că diferența nu este semnificativă.

Acum mă întrebam cum diferă dimensiun ...

Am fost într-o discuție interesantă cu Jon Skeet pe StackOverflow. El a indicat că hashurile sunt ireversibile, dar a extins acest lucru la hashurile non-criptografice. O funcție hash are o dimensiune de ieșire specifică, în timp ce funcția poate gestiona mesaje de orice dimensiune. Deci, dacă argumentați din acest punct de vedere, un hash este întotdeauna ireversibil, deoarece există multe ...

Scenariu: aveți o entitate A care nu poate deține nicio cheie secretă. Un exemplu concret ar fi: o aplicație care trebuie să fie open source și nu poate fi modificată. Pentru a trimite mesaje semnate, folosește un semnatar proxy P. P deține cheia secretă și semnează în numele lui A.

Problema: cum verifică destinatarul mesajului că A a inițiat efectiv mesajul prin P și P nu a gener ...

Căutările nu au returnat absolut niciun rezultat la această întrebare. Având în vedere asta, presupun că răspunsul este fie dureros de evident („desigur că computerele cuantice nu beneficiază de niciun avantaj atunci când vine vorba de stocarea datelor”) sau întrebarea pur și simplu nu a fost studiată.Intuitiv, are sens că algoritmii cuantici nu ar câștiga niciun avantaj legat de st ...

Caut un manual sau o lucrare publicată care să ofere informații specifice despre cum să configurați un ECC. Am dat peste ea acum câțiva ani și acum nu o găsesc. Stie cineva sursa? Mai exact, a vorbit despre cum se definesc intervalele de numere în interiorul ECC cu ecuații diferite.