Ultimele Crypto intrebări

În prezent lucrez la o implementare hardware (cu verilog) a PRESENT-80 în scopuri de cercetare. Datorită obiectivului nostru de a întări securitatea PRESENT-80 cu Mascare și Detectare erori, trebuie să înțeleg cum este proiectat S-Box.

În PREZENT: Un cifr de bloc ultra-ușor S-Box-ul 4x4 este pur și simplu menționat ca un tabel de căutare:

Lăsa $H:\mathbb{Z} \rightarrow \mathbb{Z}_{p}^{*}$ și $a \mapsto g^a\bmod p$ pentru $g \in \mathbb{Z}_{p}^{*}$ Unde $p$ este prim. Este această funcție (puternic) fără coliziuni, ceea ce înseamnă că nu putem găsi practic $x_1$,$x_2$ astfel încât $H(x_1)=H(x_2)$?

Susțin nu cu următorul raționament: Să $A$ fi un algoritm care generează $x_1 \neq x_2$ astfel încât $H(x_1)=H(x_2)$ ...

Imaginează-ți asta:

• Charlie alege două numere întregi $x_1$ și $x_2$ și semnează fiecare dintre aceste numere întregi cu aceeași cheie privată.
• Charlie îi trimite Alicei următoarele:
  • $x_1$ și $x_2$,
  • cele două semnături și
  • cheia lui publică.
• Alice calculează $x = x_1 + x_2$ și îi trimite lui Bob următoarele:
  • $x$ și
  • Cheia publică a lui Charlie.

Poate Alice să-i ...

Am o problemă cu un protocol pentru care pot dovedi securitatea dacă mesajele trimise de adversar sunt trimise clar, dar nu mai pot dovedi securitatea dacă mesajele trimise de adversar sunt criptate... și asta este puțin ciudat, deoarece mă aștept ca protocolul să fie sigur și în al doilea caz.

Mai exact, mă gândesc la un protocol pentru care un server Bob primește un mesaj $k$ de la Alic ...

Știu că unul dintre avantajele funcțiilor hash este că sunt rapide.Totuși, am citit undeva (nu știu unde exact) că viteza este un dezavantaj pentru hash-urile parolelor atunci când le stochează în baze de date, dar de ce este așa? Mi-ar explica cineva dacă a fi rapid este un dezavantaj pentru hashing parole și de ce este așa? (Dacă este posibil, ați putea scrie și câteva link-uri cătr ...

Am început recent să citesc despre Acumulatorii criptografici pentru a le încorpora într-un proiect. Folosind acest sondaj pentru a înțelege ce caracteristici trebuie să ofere acumulatorul se pare că caut un acumulator puternic dinamic universal care acceptă doar adăugare. Acest Lucrarea listează referința [23] ca având caracteristicile de mai sus în Tabelul 1, dar citind hârtie se pare ...

Cred că am găsit o mică eroare în dovada de securitate Legătură sfârşitul paginii 37. Se precizează că

$ \sum_{i\leq q} \frac{3i+2}{p-(3q +2)^2/4} \leq \frac{3(q +1)q/2+2}{p - ( 3q +2)^2 /4}$.

Dar nu ar trebui să fie

$\sum_{i\leq q} \frac{3i+2}{p-(3q +2)^2/4} \leq \frac{3(q+1)q/2+2q}{p - ( 3q +2)^2 /4}$ ?

Cred că dovada încă funcționează, deoarece vrem să arătăm că aveți nevoie

Acest (https://en.m.wikipedia.org/wiki/Discrete_logarithm) Articolul Wikipedia mă încurcă. Dacă aveți ecuația a = g^n (mod P) și g, P și a sunt toate cunoscute, atunci cum se execută o soluție de forță brută pentru n algoritm în timp exponențial, așa cum se arată în acest articol. Nu ar trebui să fie liniar sau citesc greșit acest articol?

Încerc să implementez un sistem criptocramer-shop, dar nu înțeleg cum să lucrez cu textul simplu pe care vreau să-l criptez.

Din câte am înțeles, textul clar trebuie convertit într-un element al grupului ciclic G, care a fost generat cu cheia. Am verificat mai multe resurse, de la wiki la mai multe lucrări, și niciuna dintre ele nu pare să-și ia timp să explice cum să convertești  ...

Încerc să implementez un sistem de criptare Cramer Shoup în C, dar am întâmpinat probleme cu generarea cheilor.

Din câte am găsit pe wiki și în alte lucrări, pentru a genera chei pentru Cramer Shoup trebuie să generați un grup ciclic G de ordinul q cu generatoarele g1 și g2, apoi să luați 5 valori între 0 și (q-1) și cu asta puteți genera cu ușurință cheile.

Am încercat inițial ...

Să presupunem că părțile A și B au un secret comun $k$. Există un protocol în care ambele părți își eliberează împreună un angajament? $k$ pentru ca mai târziu, nici A sau B să nu poată nega care a fost secretul comun?

Edit: Mai exact, sunt interesat de scenariul în care una dintre părți poate fi rău intenționată și trebuie să dovedim unei terțe părți C că un angajament

următoarea ecuație este folosită pentru a demonstra teorema lui Shannon arătând existența a două mesaje $m_0, m_1$ dacă $|K| < |M|$ dar nu reușesc să vizualizez/înțeleg probabilitățile. Mai ales cel $Pr$ peste $K$ lucru nu-mi intră în cap. Poate cineva sa explice?

• $\mathcal{K}$ este spațiul cheie
• $\text{Pr}$ înseamnă probabilitate
• $m_0$ și $m_1$ sunt mesaje din spațiul de ...

Citeam comentariile unui articol despre o nouă implementare propusă a /dev/random în Linux astăzi și cineva a remarcat că trebuie să fie deranjant să treci prin 43 de revizuiri și să nu ai încă patch-ul. Câteva comentarii pe rând și cineva aparent sugerează că această nouă implementare ar fi compatibilă cu FIPS 140-2, și că acest lucru este controversat cu „un dezvoltator al un ...

Sunt relativ nou în criptografie, dar programez de ceva vreme. Iată o poveste care stabilește bine problema pe care încerc să o rezolv:

Alice are un pașaport digital semnat cu cheia privată a guvernului ei. Fiecare proprietate este semnată separat, și ar fi totuși verificabil că, de exemplu, prenumele ei este „Alice”, fără a mai spune că numele ei de familie este „Smith”.

De aici ...

Am ceva cod, care poate sparge o problemă de logaritm discret în ~ O(0,5n) timp. Cu toate acestea, acest lucru funcționează numai dacă, în următoarele, N este mai mic decât P:

G^N (mod P). Pentru a fi clar, programul meu poate afla valoarea lui N pe baza G și P atâta timp cât N este între 1 și P (inclusiv și, respectiv, exclusiv).

Acest lucru ar fi util pentru a sparge ceva de genul Diff ...

Factorul rădăcină hermite care corespunde unui nivel de securitate de biți, cum ar fi 1,0045 corespunzător securității de 128 de biți. Care este factorul hermite de rădăcină corespunzător securității pe 100, 160 și 180 de biți?

factor de rădăcină hermite: 1,0045 ? ? ? Bit-securitate: 128 100 160 180

Doar de exemplu, să presupunem că am descărcat „aventurile lui Tom Sawyer” de la gutenberg în format de fișier .txt și l-am salvat pe unitatea mea USB.

Și după cum puteți vedea, unitatea USB nu este un dispozitiv ideal pentru păstrarea datelor pe termen lung. Dar dacă insist să-l folosesc, există posibilitatea ca orice fișiere din stocarea mea să fie în sfârșit corupte după ...

PRNG este un mecanism de producere aleatorie dintr-o sămânță aleatorie inițială, deci practic o modalitate de a obține mai multe secrete dintr-un secret.

Privind intrarea Wikipedia pentru KDF veți găsi

În criptografie, o funcție de derivare a cheilor (KDF) este un algoritm criptografic care derivă una sau mai multe chei secrete dintr-o valoare secretă, cum ar fi o cheie principală, o ...

https://link.springer.com/content/pdf/10.1007/3-540-49649-1_18.pdf

În clasa I, de ce (4) implică $g\equiv 1 \mod q$

De asemenea, chiar dacă primesc $p$ și $q$ tot nu poate ajunge $ord_n(g)$ fără a încerca diferite posibilități sau există o modalitate de a face toate falsurile?

De ce nu definim moduri de operare pentru criptarea cu chei publice la fel cum sunt definite pentru cifrurile bloc?

Când criptez datele, vreau să verific dacă cheia corectă a fost introdusă fără să o trimit. Este sigur să decriptezi textul cifrat și să compari hash-ul acestuia cu cel stocat sau textul simplu (care ar putea fi foarte lung) poate fi citit din hash?

Mi-am dat ideea acestei dovezi, că, deoarece PRG se extinde de la n la 2n, nu poate proiecta la toți {0,1}^{2n}, doar la o parte neglijabilă de care putem abuza pentru a face un bun deosebitor doar spunând dacă A reușește să găsească o preimagine în X. Un șir aleatoriu din U2n are foarte probabil să nu aibă preimagine în X. Astfel, putem distinge U2n de G(Un). Dar cred că nu înțel ...

Să presupunem că avem problema obișnuită a comunicării securizate, unde fiecare dintre $I$ agenții au un semnal privat $s_1,s_2,\dots,I$ și doresc să calculeze orice funcție $f(s_1,s_1,...,s_I)=(x_1,x_2,...,x_I)$ în așa fel încât niciun partid să învețe mai mult decât contribuția lor $s_i$ și ieșire $x_i$.

Deși am văzut multe protocoale criptografice concepute pentru a fi sig ...

În lucrarea Simmons și Norris, ei demonstrează atacul ciclism cu următorul exemplu:

p = 383 q = 563 s = 49 și t = 56957 (un prim)

Atacatorul cunoaște r = pq = 215.629 , s = 49 disponibil public și un mesaj criptat C. Prin formarea C₁ = C⁴⁹ , C₂ = C₁⁴⁹, etc. El va găsi C_j = C pentru 1, 2, 5 sau 10

Nu înțeleg cum și-au dat seama că vor avea M = C_j-1 in cel mult 10 pasi? Ei menționeaz ...

Criptografia bazată pe zăbrele este utilizată pentru mai multe primitive și aplicații.

Știu că există lucrări mai noi pentru PIR, PSI, ORAM care au înregistrat îmbunătățiri extraordinare datorită FHE. În unele cazuri, FHE este singurul instrument care poate fi folosit pentru construcțiile practice ale acestor primitive.

Întrebarea mea este care alte astfel de primitive au văzut îmb ...

citesc ziarul"De ce și cum funcționează zk-SNARK" pentru a învăța zkSNARK și am avut o problemă în secțiunea 4.4, când dovedesc capacitatea de operare unică.

În această secțiune, încearcă să vină cu un protocol pentru a verifica dacă probatorul are capacitatea de a face multiplicare. Oferă două numere $b$ și $c$ și încearcă să verifice rezultatul înmulțirii. Construcția do ...

Parametrul unei scheme de semnătură latice DAZ19 cu o reducere strânsă poate fi ales pentru a face problema durității de bază insolubilă. Cum se estimează parametrul unei scheme de semnătură cu zăbrele ESLL19 cu reducerea pierderilor? există vreo relație între reducere și parametru?

Sunt nou în criptografie și încerc să implementez o aplicație de chat securizată folosind OpenSSL.

Vreau să mă asigur că mesajele publice (care vor fi afișate tuturor utilizatorilor) nu pot fi modificate în timpul transmiterii.

Utilizarea conexiunii SSL garantează asta?

Dacă nu, utilizarea semnăturilor digitale pentru a semna fiecare mesaj, astfel încât să dovedească identitatea expedito ...

Cred că am înțeles greșit ceva despre limitele derivate pentru eroarea de comutare a cheii în CKKS. Mă voi referi la hârtie inițială, dar limite similare au fost derivate în toate variantele pe care le-am analizat.

Punctul meu special de confuzie este cu $B_{\mathsf{mult}}(\ell)$ (la pagina 12, ca parte a lemei 3), care este definit a fi $P^{-1}q_\ell B_{\mathsf{ks}}$, Unde $B_{\mathsf{ks}} =  ...

Știu că Bitcoin folosește un nonce pe 32 de biți pe care minerii îl repetă încercând să atingă numărul țintă de 0 prefixate în hash. Dacă parcurg toate cele 2^32 de combinații, atunci schimbă altceva în bloc (fie câmpul extraNonce de 32 de biți, fie adăugând și eliminând tranzacții, schimbând ușor marcajul de timp al blocului etc.)

Îmi implementez propria mea criptomone ...