Ultimele Crypto intrebări

Lăsa $X = [0, 1]\cap \mathbb{Q}$, si lasa $f:X \rightarrow X$ să fie o hartă haotică (adică harta logistică cu parametru rațional). Întrebarea mea este următoarea și este de natură pur teoretică. Alegeți o valoare $x_0$ din $X$ (Rețineți că $X$ este infinit aici, deci alegeți o valoare folosind axioma de alegere), apoi luați în considerare secvențele de biți generate prin iterare

Să presupunem că RSA este considerată o metodă „securizată” pentru criptare. RSA este menit să codifice o secvență de baze de numere întregi $27$. Dacă folosim un $n=pq$ este greu de factor. Este încă sigur dacă codificăm fiecare număr întreg (litera) separat, mai degrabă decât întreaga frază o dată?

Edit: Nu mă așteptam să primesc răspunsuri atât de grozave. Multumesc tuturo ...

De ce este greu de calculat $$(g^x\bmod p, g^y\bmod p) \longmapsto g^{xy}\bmod p $$ când putem calcula rapid $$x \longmapsto g^x\bmod p$$ ?

Există un algoritm de criptare care permite:

• generați un set de chei private diferite
• semnați datele cu acele chei private
• permite verificarea publică a faptului că o astfel de semnătură a fost creată de UNA dintre cheile din set fără a dezvălui care a fost
• oferiți persoanei care a creat semnătura o modalitate de a crea o dovadă că semnătura a fost creată în mod specific de el
 ...

Iată jocul:

Cum pot face un $\mathcal{O}(k^2)$-time adversar care face o singură interogare către el Fn oracol și obținerea avantajului $= 1 - 1/(p-1)$

Iată ideea mea de până acum: interogare $2^{-1}$, care atunci când trece prin algoritmul de criptare, va returna 1. Deci,

Adversarul A:
C <- Fn(2^{-1})
dacă C == 1 returnează 1
altfel returneaza 0

Când interogăm 2^{-1}: \begin{align} Y ...

Care dintre următoarele sunt ușoare, dacă există? Care sunt grele? și de ce.

Cazul 1) Dat $x^3 \bmod N$, Unde $N$ este un număr compus și nu cunoaștem niciunul dintre factorii $N$, găsi $x$.

Cazul 2) Dat $x^3 \bmod p$, Unde $p$ este prim, găsiți $x$.

Iată ce cred, dar nu înțeleg pe deplin.

Pentru cazul 1, se presupune că este greu? În ipoteza RSA, unde $e = 3$, imaginați-vă $N$ fiind ...

Fie K_rsa un generator RSA cu parametrul de securitate asociat k >= 1024. Fie jocul OW-CCA_Krsa după cum urmează:

Cum pot construi un adversar de timp O(k^3) A care face cel mult 2 interogări către Inversa și obținerea avantajului = 1.

Iată ideea pe care o am: dacă interogăm Invert(ya^e), atunci o înmulțim cu a^{-1}, atunci în final obținem x:

$$\text{Adversarul A:}\z \leftarrow ya^e ...

Iată Schema:

Iată jocul HIDE:

Iată ideea mea, dar nu sunt sigur. Aș aprecia o contribuție.

Vrem să aducem avantaj = 0 pentru toți adversarii. Putem arăta acel avantaj = 0 dacă putem demonstra că toate valorile C sunt uniform aleatoare și independente de Mesajul pe care îl oferim.Dacă dovedim asta, atunci putem argumenta că adversarul nu va putea spune în ce joc este.

Deci L este un șir de n bi ...

În prezent, folosesc o valoare IV statică pentru toate criptarea și decriptarea, dar aș dori ca aceasta să fie dinamică pentru fiecare cerere de criptare/decriptare, așa că am început să folosesc un nou octet[16] și funcționează. Problema este cum să detectăm și să decriptați datele vechi. Mai jos este codul meu de decriptat și trec IV static stocat pe un secret în keyvault.

oct ...

Este un risc de securitate - sau poate, cât de mare este un risc de securitate - dacă un atacator știe lungimea valorilor P și Q utilizate atunci când derivă o valoare pentru parametrul N în algoritmul de criptare RSA?

Am citit câteva despre implementările RSA și văd că unele necesită ca P și Q să aibă aceeași lungime, în timp ce altele au o lungime minimă pentru P sau Q - așa  ...

Un pic de fundal despre mine; Inginer informatic, dar în timpul studiilor mele nu m-am scufundat prea adânc în matematică, în special în matematica cripto care este folosită pentru a face ca blockchain-ul și criptografie să funcționeze.

Caut sfaturi din partea oricăror cercetători sau practicieni seniori sau cu experiență în acest domeniu care să-mi dea câteva sfaturi și să mă  ...

Încerc să răspund la această întrebare. Dar cred că am înțeles greșit. Nu sunt sigur de ce și cum îl pot îmbunătăți.

Acesta este adversarul cu care am venit. Este corect?

Adversarul A:
M <-0^256; M' <- 0^256
C <- Enc(M)
C[0]C[1]C[2] <- C
h' = SHA256(M')
C'[0] <- C[0]
C'[1] <- C[1] XOR M'
C'[2] <- C[2] XOR h'
returnează C'[0]C'[1]C'[2]

Ideea a fost că aveam nevo ...

Dacă am înțeles bine, protocolul Signal generează o cheie nouă după fiecare mesaj trimis și îl uită pe cel anterior. Telegram, în schimb, reînnoiește cheia numai după 100 de mesaje sau o săptămână. Astfel, există o anumită fereastră de atac (1 săptămână / 100 de mesaje) cu protocolul Telegram?

Fundal: Dezvolt o aplicație care se bazează pe utilizatorii înregistrați care votează asupra lucrurilor și vreau să creez o euristică care să implice adrese IP ca o modalitate de a semnala conturile pentru investigarea ulterioară a potențialului abuz de conturi multiple + vot. În interesul obligațiilor de confidențialitate/minimizarea datelor/GDPR, se pare că cea mai bună strategi ...

Am vrut să fac ceva practică cu privire la dovezile de reducere a securității și sunt nedumerit de acesta din cartea Boneh-Shoup.

Dacă $F(k, x)$ este un PRF sigur, apoi arată-l $F'(k, x) := F(F(k, 0^{n}), x)$ este un PRF sigur.

Ce am pana acum este:

Presupune $F'$ este nesigur, cu un distins $D'$. Aceasta înseamnă că $F$ este, de asemenea, nesigur, cu un distinctor $D$. Acum voi arăta con ...

În comparație cu schemele comune PQC bazate pe zăbrele, modulul $q$ și dimensiune $n$ de criptare homomorfă sunt atât de mari. De exemplu, în Kyber, $n=256, n \times k = \{512.768.1024\}$, $q = 12289$ sau $3329$, în timp ce sunt în FV sau alte scheme HE, $n$ ar putea fi $2^{14}$, și $q$ ar putea ajunge $2^{744}$. Ambele se bazează pe problema rețelei. De ce sunt parametrii atât de dife ...

Editare sugerată de fgrieu:

Am o sută de numere întregi $\{0,1,2,3,4,5\}$ despre care bănuiesc că sunt valori consecutive ale $\lfloor x_n/2^{16}\rfloor\bmod6$ calculat ca $x_{n+1}:=a\cdot x_n+b\bmod m$, cu $m=2^{31}$, și $(a,b)\in{(214013,2531011),(22695477,1)}$. Cum validez acea ipoteză, găsesc $(a,b)$ folosit și preziceți ce urmează în succesiune?

Întrebare despre „O implementare competen ...

Luați în considerare problema învățării cu erori. Presupunând că LWE (sau o variantă a LWE, cum ar fi inelul LWE) este dificil pentru algoritmii de timp polinomial, putem construi o familie de funcții pseudoaleatoare de acolo?

Înțeleg implementarea originală O(n) a unei semnături de inel, dar încerc să îmi dau seama unde este stadiul tehnicii în ceea ce privește semnarea unui mesaj ca membru anonim al unui grup ad-hoc fără a dezvălui care membru al grupului a semnat aceasta. Se pare că există implementări subliniare, dar nu am o înțelegere bună a compromisurilor lor, iar unele s-au dovedit a fi nesigure ani  ...

În primul rând, știu că ceea ce întreb nu este practic, așa că să rămânem teoretic.

Lăsa $B[H](x)$ fi hashing cu baloane $H$ deoarece este hash de bază.
Ce se întâmplă dacă o fac $B[H1](B[H2](x))$, Unde $H1, H2$ sunt funcții hash distincte bazate pe construcții diferite, să spunem blake2b și sha3?

Unde pierd securitatea și de unde o câștig?

Intuiția mea este că ar trebui să ex ...

Majoritatea documentelor PSI folosesc de obicei hash-to-bin pentru a îmbunătăți numărul de comparații.

Pentru dimensiuni inegale ale seturilor în 2PSI, am citit CCS17, care proiectează un protocol PSI pentru dimensiuni inegale. Petrecerea cu mai puține elemente folosește haș de cuc, Petrecerea cu mai multe elemente folosește hașul simplu.

Vreau să știu motivul pentru care petrecerea  ...

Când încercați să inversați o funcție hash, există pierderi, de ex.

a+b=c
dat c=5, încercați să reveniți la a,b (pasul anterior)
(a,b)=(5,0),(4,1),(3,2),(2,3),(1,4),(0,5)

dar, având în vedere oricare dintre perechile (a, b), obținem c=5 în pasul următor și fiecare dintre aceste perechi are aceeași creștere exponențială aplicată la inversarea lor. Astfel, se pare că fiecare pas  ...

Recunosc că QROM diferă de ROM (care poate fi considerat un QROM specific care efectuează o măsurătoare la intrare). De exemplu, se poate găsi o preimagine pentru o valoare arbitrară cu $O(N)$ interogări către ROM în timp ce cu $O(\sqrt N)$ interogări către QROM prin algoritmul lui Grover. Cu toate acestea, acest lucru necesită mai mult decât $O(\sqrt N)$ întrebări. Care este cazul când e ...

Când este creată o semnătură Schnorr, numărul $r$ este concatenat cu mesajul pentru a produce o nouă valoare care este apoi hashing pentru a da un număr reprezentat de $e$. Numarul $e$, însoțită de alte date care sunt utilizate în timpul validării, vor fi apoi trimise către un verificator de semnături.Verificatorul semnăturii va încerca apoi să recalculeze numărul $r$ folosind info ...

Edit: dacă cineva, fără experiență ca mine, ajunge la această întrebare, i s-a răspuns la stackoverflow.

De ce codul Python, vezi mai jos, returnează false?

Mai mult context: trec prin FIPS 186-4 iar la pagina 43, există un algoritm, A.2.3 Generarea canonică verificabilă a generatorului g, pentru a genera generatoare. Am scris un cod Python, vezi mai jos, care codifică acest algoritm.  ...

Am citit ETSI TS 103 097 și EEE Std 1609.2 care îmi oferă structura datelor de securitate definită în notația ASN.1. Vreau să folosesc mbed LTS pentru a calcula semnătura ECDSA. Înțeleg că ar trebui să calculez semnătura ECDSA și apoi să pun rezultatele în structura de date cu datele și apoi să o codific. intrebarile mele sunt:

1. Puteți să menționați pașii pentru semnarea unui C ...

Lucrez la crearea unui seif digital securizat. Folosesc mnemonic pentru a genera o sămânță. Semințele sunt folosite pentru a genera o pereche de chei de semnare pentru verificarea identității. Cu toate acestea, vreau să criptez și conținutul seifului în scopuri de recuperare.

Poate fi folosită aceeași sămânță pentru semnare și pentru criptarea datelor? (Pot adăuga o sare sau o f ...

Pentru a face exponențierea într-un grup pentru care inversarea este trivial de ușoară, cum ar fi grupurile de curbe eliptice, există un algoritm pentru calcularea $w$NAF ("$w$-ary form non-adiacent") matrice mai rapid decât $O(n^2)$? The algoritm standard este listat pe Wikipedia ca (tradus în Python):

def wnaf(d):
    rezultat = []
    pentru i în interval (256):
        dacă d & 1:
 ...

Să spunem că am nevoie de performanță pe 64 de biți mașină, atunci SHA3-512 este calea de urmat.
SHA-512/256(x) este SHA-512(x) cu ieșire trunchiată la 256 de biți, conform https://pycryptodome.readthedocs.io/en/latest/src/hash/sha512.html

Lăsa H1(x) fi SHA-512/256(SHA-512(SHA-512(x)))
Lăsa H2(x) fi SHA-256(SHA-512(SHA-512(x)))

Este H1 mai sigur decât H2?

Există vreo modalitate de a trunc ...

„Paradoxul zilei de naștere” plasează o limită superioară a rezistenței la coliziune: dacă o funcție hash produce $N$ biți de ieșire, un atacator care calculează numai $2^{N/2}$ (...) operațiunile hash pe intrare aleatorie vor găsi probabil două ieșiri potrivite. Dacă există un metoda mai usoara decât asta atac cu forță brută, este de obicei considerat un defect al funcției hash ...