fundal

MuSig este o extensie a/derivare de la semnăturile Schnorr folosind grupuri ciclice pe curbele eliptice. În hârtie originală, autorii subliniază că multi-Schnorr-ul naiv este vulnerabil la un atac cu chei necinstite:

Dat $\Bbb G$ este un grup ciclic de ordin prim; $g$ este punctul generator; $H$ este o funcție hash; $m$ este mesajul de semnat; și sunt $n$ participanti:

Lăsa $L = \{ X_1 ...

să avem sbox s: Vn -> Vn.

Dacă facem un tabel LAT pentru s, fixăm orice rând și obținem o sumă pe coloane, acea sumă ar fi $+-2^{n-1}$.

Și invers, dacă fixăm orice coloană și obținem o sumă pe rânduri, acea sumă ar fi $+-2^{n-1}$ de asemenea. De ce este așa?

Elementul din rândul „a”, coloana „b” a LAT este $#{<a, x>=<b,s(x)>} - 2^{n-1}$. Unde <,> este un produs ...

Lăsați-l să fie $K$ un algoritm de generare a cheilor care ia $(k,d)$ ca intrare cu $k$ ca lungime de bit pentru $n=pq$ cu $p,q \in \mathbb{P}$ și $d=|p-q|$ ca distanta minima intre $p$ și $q$ (RSA).Care ar fi parametrul de securitate $1^\kappa$?

Ar fi $\kappa=k+d$ sau numai $\kappa=k$ si daca ar fi cazul de ce ar depinde?

Am căutat următoarele link-uri și nu am găsit un răspuns la întrebarea m ...

Avem un caz de utilizare de tokenizare a informațiilor cardului de credit și returnarea unei valori tokenizate după păstrarea formatului.

În mod ideal, aceasta ar trebui să fie într-un singur sens, iar urmarea unui FPE ar putea să nu fie cea mai bună soluție. Vă rugăm să sugerați care este cea mai bună soluție care poate fi oferită aici.

Dacă ar fi posibil să primim un șir de numere de la un obiect ceresc (de către oricine de pe Pământ care știe la ce obiect să se uite și la ce oră să se uite) ar putea fi acest lucru de vreun folos în criptografie?

Sau ar fi inutil, pentru că dacă un actor rău ar ști la ce obiect te uiți și la ce oră, ar putea găsi cheia?

Să începem cu ceea ce vreau să spun prin far criptografic aleatoriu (RB). Un RB este un protocol între unele părți care generează o valoare aleatorie împreună, astfel încât:

1. aceste partide nu au incredere una in alta
2. rezultatul este verificabil public (oricine poate verifica că rezultatul este corect generat de protocol)
3. Rezultatul este imparțial: nicio parte nu poate influența rezulta ...

Am avut ideea de a stoca cantități mari de date într-un spațiu mic folosind un arbore Merkle. Dar din ceea ce am înțeles despre arborii Merkle este că nu puteți extrage datele din rădăcina Merkle (deoarece hashurile nu sunt reversibile). Deși mă întreb, există o modalitate de a folosi un algoritm de criptare care oferă o lungime fixă ​​de ieșire, cum ar fi modul în care folosim has ...

Văd o mulțime de mențiuni că dovezile zk-STARK care sunt dezvoltate în special pentru a fi utilizate în rețelele blockchain sunt etichetate ca „rezistente cuantice”. Multe articole și rapoarte care afirmă acest lucru, susțin acest lucru pe baza ideii că zk-STARK se bazează pe hashuri rezistente la coliziuni. Înțeleg însă că nu poate exista niciodată un hash perfect rezistent la col ...

Am dat peste acest lucrarea „Hybrid Key Encapsulation Mechanisms”, au fost definite trei metode care permit o combinație sigură a unei încapsulări clasice a cheilor cu o încapsulare post-cuantică a cheii.

În ceea ce privește securitatea și performanța, toate cele trei par a fi la fel de bune.

Pentru a doua metodă, numită „DualPRF Combiner”, este scris:

OurdualPRFcombiner este in ...

Mellisa O'Neil a testat Xoroshiro128+ cu 512 terabytes (2^49 bytes) de date. Și în cele din urmă a eșuat. Ar eșua AES PractRand cu suficiente date?

Când ne putem aștepta ca AES să eșueze? Poate cu $2^{64}$ de date?

Cineva mi-a spus recent că utilizarea modului CBC cu un IV predictibil (de exemplu, toate 0) este rezonabil de sigură dacă o cheie este folosită doar o singură dată pentru criptare. Am trecut prin câteva exemple de atacuri alese în text clar împotriva modului CBC cu un IV previzibil și se pare că ei presupun că cheia care este folosită pentru textul criptat al atacatorului este aceeași cu  ...

Lucrez la un depozit de date criptografice în care bloburile trebuie identificate și referite printr-un hash al datelor criptate. Gândiți-vă la arborele Merkle cu noduri criptate. Într-o astfel de setare în care hash-ul stabilește deja autenticitatea (presupunând că funcția hash în sine nu este întreruptă), există vreo valoare în utilizarea unui AEAD, mai degrabă decât în ​​utiliz ...

Am văzut că formatul FF1 și FF3 păstrează criptarea. Există anumite diferențe în ceea ce privește un număr de runde și la utilizarea rețelei Feistel dezechilibrate. Ce face diferit ca atacurile FF3 să funcționeze și pe FF1?

În Durak și colab. lucrare 2017 menționează atacul specific doar FF3. De ce este așa?

Referință hârtie: https://eprint.iacr.org/2017/521.pdf

Caut un ZK PoK al unei semnături digitale. Am văzut construcții care funcționează pentru semnăturile ElGamal (vezi asta mai vechi hârtie), dar trebuie să lucrați cu semnăturile Waters, așa cum este descris Aici.

A văzut cineva o construcție care ar putea funcționa în acest caz?

Pentru orice $v$ mulți $b$vectori -biți $(\mathbf{x}_0, \mathbf{x}_1, \ldots, \mathbf{x}_{v-1}) \in \{\{0, 1\}^b\}^v$, ce este cel mai rapid mod de a combina $\mathbf{x}_0, \mathbf{x}_1, \ldots, \mathbf{x}_{v-1}$ într-un singur număr, astfel încât operația să fie sensibil la ordine?

De exemplu. spune asta $\călărie+$ este o metodă de combinare a numerelor (nu neapărat adunare, dar o putem defi ...

Mă întreb dacă cunoașterea formei ambilor factori (p și q) ai unui modul RSA N este un ajutor semnificativ pentru factorizare sau nu.

De exemplu: p de forma 4k+3, deci (p-3)%4 = 0 și q de forma 4k+7, deci (q-7)%4 = 0

Este posibil următorul sistem criptografic:

Există o funcție de criptare:

criptează (k1, k2, T1, T2) = M, unde

T1, T2 - două texte simple, cu același număr de caractere, k1, k2 - chei de criptare de aceeași lungime, M - text cifrat, a cărui lungime este egală cu lungimea textului introdus. Lungimea tastei este în general mult mai mică decât lungimea textului introdus

și, în consecință, fun ...

Proiectez o API web care trebuie să acorde acces la diverse aplicații client printr-o cheie API trimisă ca antet http. Știu, nu chiar cum ar trebui făcut, dar nu am control asupra acestei părți.

Designul meu actual pentru cheia api: au 16 octeți pentru id-ul aplicației (un ghid) în baza de date + 16 octeți generați aleatoriu (keybytes). Datorită politicii companiei, mi s-a cerut să n ...

Ruperea problemei de calcul Diffie-Hellman într-un grup rupe întotdeauna logaritmii discreti din acel grup?

Încerc să analizez un joc de „unicitate” în jurul semnăturilor Schnorr. Jocul este descris în $\textbf{B.}$ și încerc să prevăd $\textbf{1.}$ și $\textbf{2.}$ câteva răspunsuri incomplete pentru a o rezolva. Este posibil să o rezolvi pe deplin? Nu am folosit în analiza mea o reducere la problema DL; poate există vreo modalitate de a reduce jocul la el? Scuze pentru lipsa de rigoare crip ...

Acest lucru este foarte simplu, dar ceea ce mă întreb este: am câteva notații de criptare hashing/RSA de care nu sunt sigur când citesc.

PKE(PW, K) Cu PW reprezentând o parolă, K reprezentând un șir de 128 de biți și PKE reprezentând RSA, cum ar fi interpretat acest lucru? Combin șirul și parola, apoi criptez asta sau altceva?

Același lucru este valabil și pentru aceasta, ssk = H(K,NB, ...

Imaginați-vă că vreau să trimit o cheie privată K (adică haș (K)), dar dacă am aplicat hash o concatenare a cheii K și a numelui de utilizator, să spunem următorul hash: hash("john cena" + K )

Să presupunem că toată lumea (chiar și hackerul) știe că „john cena” este folosit pentru a face hash: poate ajuta hackerii să inverseze hash-ul?

Cu alte cuvinte, există o diferență în ceea ...

Încerc ca autodidact să citesc capitolul 4 din Foundation of Cryptography de Oded Goldreich (doar ca să vă las să vă „ajustați” răspunsurile, am experiență de inginerie).

Dacă am înțeles corect, oferind un simulator perfect $S_1$ posibilitatea de a opri nu este o problemă deoarece putem defini un simulator $S_2$ care se repetă $S_1$ sa spunem $n$ ori, afișând rezultatul primei ne-op ...

Am început să lucrez ca dezvoltator într-o companie de criptografie în urmă cu 3 luni, unde aplicațiile sunt pentru cele mai multe aplicații Windows. Am constatat că nu am suficiente cunoștințe cu privire la subiectele enumerate în tabelul din care este preluat Obstacole pentru dezvoltatori în criptografie.

Într-adevăr, acestea sunt subiectele pe care majoritatea dezvoltatorilor le es ...

Există 2 definiții diferite ale solidității speciale în literatură:

(1) poate fi găsit în Damgard:

Spunem că un protocol Sigma $\Pi$ satisface o soliditate deosebită, dacă există un extractor PPT $\mathcal{E}$, astfel încât având în vedere orice pereche de transcrieri de acceptare $(com,ch_1,resp_1),(com,ch_2,resp_2)$ cu $ch_1\neq ch_2$, $\mathcal{E}$ se poate recupera $sk$.

(2) poate fi găs ...

Să presupunem că doresc să configurez o strategie clasică de autentificare a numelui de utilizator și a parolei pe un server. Toate comunicațiile sunt criptate prin TLS. Dar, în mod ideal, tot nu vreau ca serverul să poată citi parolele în text simplu, chiar și temporar. În acest scop, clientul ar putea trimite parola care este hashing și sărată cu o cheie (pentru simplitate, să presupun ...

Cheile RSA-4096 GPG mai vechi generate atunci când SHA1 încă se credea a fi acceptabil au cheia publică autosemnată cu SHA1. Aceasta va fi considerată cheie slabă? Și cu ce argumente? AFAIK, ID-urile cheilor GPG folosesc încă SHA1. Deci, poate că nici aceasta nu este o problemă majoră, pentru că cealaltă parte va avea oricum cheia publică completă.

În linkul de mai jos, autorul folosește aes ca bază pentru cifrul său. În cuvintele sale: Teza investighează și explorează comportamentul algoritmului AES prin înlocuirea a două dintre modulele sale originale, și anume S-Box și Key Schedule, cu alte două module bazate pe haos.

S-ar putea întreba: acest sistem va moșteni măcar securitatea I the Aes? În plus, este o temă comună  ...

Știu că, în calculul multipartid, putem considera adversari semi-onești sau răuvoitori. Pot găsi lucrări care consideră adversari rău intenționați, dar termenul semi-onest este menționat doar în documentele MPC. Sunt acei adversari specifici pentru MPC sau sunt utilizați și în alte tehnologii, cum ar fi criptarea homomorfă, confidențialitate diferențială etc.