Ultimele Crypto intrebări

Citesc Hârtie kyber CRYSTALS și sunt blocat cu demonstrația de corectitudine PKE de la pagina 5. Nu văd cum ar ajuta inegalitatea triunghiului pentru a ajunge la rezultat $|| \lceil q / 2 \rfloor \cdot (m - m') ||_\infty < 2 \cdot \lceil q / 4 \rfloor$.

Am studiat algoritmul de hashing MD5 și există ceva ce pur și simplu nu înțeleg încă. Ei spun că serverul deține un fel sau „secret” și că adaugă un fel de „mesaj” (sau „date”) la acel secret. Apoi, algoritmul adaugă padding-ul corespunzător la concatenat ("secret" + "date") și procesul continuă de acolo.Acum, se spune că doar serverul știe „secretul”, dar un atacator a ...

Folosesc cuvântul „deschis”, ca în capitolul 6 „Securitate rău intenționată” din MPC pragmatic, adică pentru a „deschide” circuitul este pentru ca deformatorul să ofere toată aleatorietatea folosită pentru a denatura circuitul, astfel încât evaluatorul să poată fi sigur că circuitul a fost deranjat corect.

Să presupunem că Bob tocmai a evaluat circuitul pe care i l-a trimi ...

În [BGK+18] în secțiunea 4, Boneh și colab. scrie ca:

Pentru orice alegere de cursuri ideale $\mathfrak{a}_1,\dots,\mathfrak{a}_n,\mathfrak{a}_1',\dots,\mathfrak{a}_n'$ în ${Cl}(\mathcal{O})$, soiurile abeliene \begin{align} (\mathfrak{a}_1 \star E) \times \dots \times (\mathfrak{a}_n \star E) \text{ și } (\mathfrak{a}_1' \star E) \times \dots \times (\mathfrak{a}_n' \star E) \end{alig ...

Puterea criptografiei RSA vine din duritatea (sau așa credem noi) factorizării numerelor mari. Pentru lungimi de cheie de peste 2048 de biți, este imposibil ca computerele actuale sau viitoare să factorizeze acele numere într-un timp rezonabil.

Dar ce zici de creierul uman? Sunt oameni cu abilități remarcabile la matematică; de exemplu, savanti care pot efectua multe calcule complexe. Imag ...

Să presupunem un protocol P este compus din două protocoale diferite de zero-cunoaștere. Putem presupune P este, de asemenea, cunoștințe zero?

În lucrarea sa "Deficiențe de autentificare în GCM„Ferguson descrie modul în care unii biți din polinomul de eroare pot fi setați la zero, crescând astfel semnificativ șansa unui fals.

Î: Ce înseamnă în detaliu? Că ecuațiile rezultate nu rezolvă în totalitate problema obținerii falsului, dar spațiul de soluție este redus semnificativ? Deci putem remedia câțiva biți din poli ...

Să presupunem că în două instanțe RSA la fel $p,q,N$ sunt folosite, dar chei publice diferite $a,b$ (și cheile private corespunzătoare)

Să presupunem că acum avem cele două ecuații

$c_{1}=m^{a} \bmod N$

$c_{2}=m^{b} \bmod N$

Este posibil să preluați mesajul original $m$ cu aceste informatii?

În contextul unui serviciu de stocare rezistent la gazdă, există o schemă de criptare care îmi permite să dovedesc serverului că dețin cheia secretă pentru a decripta textul cifrat pe care îl încarc în prezent, dar (într-adevăr) fără a dezvălui cheia sau mesajul text simplu ?

Spus altfel, există o modalitate prin care serverul să se asigure că 1) un fișier încărcat este crip ...

Este larg cunoscut faptul că utilizarea unui GCM nonce de două ori sau chiar mai des poate fi folosită pentru a dezvălui cheia de autentificare H. Înțeleg de ce acest lucru este posibil teoretic. Cu toate acestea, nu am niciun sentiment despre efortul de calcul din spatele obținerii rădăcinilor polinomiale în GF($2^{128}$). Există un algoritm simplu disponibil sau trebuie să aplicăm n ...

Vreau să compar cota secretă aditivă cu criptarea Paillier.Cu toate acestea, nu am aflat cum să setez parametrii în așa fel încât nivelul de securitate să fie consistent. Partajare secretă aditivă (explicată în SecureML) la fel: $a_1 = a - a_0 \mod 2^l$

Poate Logaritm discret ZK să fie implementat pe curbe eliptice? Se pare că o astfel de implementare ar trebui să arate astfel:

1. $Y = \alpha G$
2. Alegerea aleatorie $v$
3. $t = vG$
4. $c = H(G, y, t)$
5. $r = v - cx$
6. Verifica: $t = rG + cY$

Dacă da, pot folosi ed25519 în acest scop și cum pot selecta $G$?

Conform FiatâShamir euristic există doi parametri ai algoritmului: număr prim mare $p$ și rădăcină primitivă $g$. Astfel, apar mai multe întrebări:

1. Cât de mare ar trebui să fie numărul prim $p$ fi? Cum să selectezi $p$ astfel încât, de exemplu, algoritmul PohligâHellman sau alți algoritmi cunoscuți nu l-ar putea rupe?
2. Cum se selectează rădăcina primitivă $g$? Din cate sti ...

Pentru validarea algoritmului de criptare/decriptare ChaCha20 scris în VB.NET, caut mai mulți vectori de testare ChaCha20 care se bazează pe specificațiile finale pentru ChaCha20 care pot fi găsite Aici. Vezi vectorul de testare din subcapitolul 2.3.2. Acest vector de testare validează codul meu care oferă rezultatul exact specificat în vectorul de testare. (Există un vector aproape identic mai t ...

În încercarea de a înțelege mai bine extractoarele aleatorii (în contextul post-procesării TRNG), am citit câteva lucrări despre Extractor von Neumann și Santha-Vazirani (SV-) surse. Extractorul von Neumann este un algoritm simplu care funcționează pe surse independente, părtinitoare, cum ar fi o monedă părtinitoare. Cu toate acestea, sursele fizice disponibile ale aleatoriei sunt im ...

The Program cheie în TLS 1.3 RFC incepe asa:

             0
             |
             v
   PSK -> HKDF-Extract = Early Secret
             |
             +-----> Derive-Secret(., "ext binder" | "res binder", "")
             | = binder_key
             |
             +-----> Derive-Secret(., "c e trafic", ClientHello)
             | = client_early_traffic_secret
              ...

Am studiat diverse atacuri cripto, iar unul dintre atacurile pe care le-am studiat recent a fost atacul padding oracle. Acum, în cea mai mare parte îl înțeleg, dar există un aspect al atacului oracolului de umplutură despre care m-au încurcat diferiți profesori din surse diferite:

Să presupunem că am o adresă URL:

http://somesite.com/place?ciphertext=aaaaaaaaaaaaaaaaabbbbbbbbbbbbbbccccccccccccccd ...

Aceasta este o continuare a unei întrebări anterioare Înmulțirea matriceală a rezumatelor hash admite manipularea rezultatului?; această formulare a eșuat deoarece a admis matrici singulare și, prin urmare, degenerează la matricea zero după ce sunt înmulțite suficiente elemente. Răspunsul a sugerat să folosești un câmp precum $GF(256)$ în loc de un inel și respingerea matricilo ...

Vreau doar să mă asigur că înțelegerea mea este corectă dacă există o singură cheie publică pentru orice cheie privată și invers.

Știu că există mulți algoritmi, iar aceasta poate să nu fie o proprietate a tuturor (sau este? ..), de unde etichetarea doar RSA.

Să presupunem că avem un circuit care scoate un hash sha256 dintr-o concatenare a intrării lui Alice și a intrării lui Bob (unde Alice este greșita și Bob este evaluatorul).

Încerc să înțeleg la ce metode poate recurge Alice atunci când deranjează circuitul în mod rău intenționat pentru a scurge cel puțin un bit din intrarea lui Bob în ieșire. (Nu este la fel de important în ca ...

Cunoaștem deja multe exemple de criptografie post-cuantică pentru algoritmi de semnătură asimetrică, simetrică și digitală, dar există vreun risc ca funcțiile hash să fie atacate cu calculatoarele cuantice și există exemple de funcții hash post-cuantice?

Există o funcție hash $H$ si functionare $\uneori$, care îndeplinesc următoarea proprietate?

$$ H(A) \otimes H(B) = H(A \otimes B) $$

$A$ și $B$ sunt blocuri de doi octeți de lungime identică, dacă este necesar limitate la o lungime fixă ​​(de exemplu, 128 de octeți). $H$ ar trebui să fie o funcție hash criptografică, în special, ar trebui să fie rezistentă la pre-imagine și la coli ...

https://github.com/tna0y/Python-random-module-cracker Aici, când obținem 32*624 de biți de ieșiri de la Mersenne-twister, putem recupera Mersenne twister. Întrebarea mea este când obținem părțile biților, cum putem recupera Mersenne twister? De exemplu, funcția getrandbits din modulul aleatoriu python oferă doar o parte din biți. Este disponibil să-l dezvolt?

În MD5, dacă M=100, cum putem efectua umplutură pe el și de câte blocuri sunt necesare în fiecare rundă?

Acestea sunt întrebări generale pentru înțelegerea umpluturii și a rundelor.

În timp ce Cofactorul curbei Edwards este ales 4, cofactorul curbei Edwards răsucite este ales 8. Nu înțeleg acest motiv. Putem alege cofactorul 4 pentru curba Edwards răsucită?

Dacă $A$ este un algoritm eficient care rezolvă problema Computational Diffie-Hellman pentru $\frac{1}{2}$ a intrărilor și returnează un simbol special pentru restul, cum pot folosi $A$ pentru a construi un alt algoritm B care rezolvă $CDH$ cu o probabilitate mai mare ($1 -\frac{1}{2^k}$) ?

Am început de curând să citesc RFC 6979. Sunt curios de ce are nevoie de atâtea bucle.

Această postare pune o întrebare similară: „RFC 6979 - De ce să nu trimiți pur și simplu mesajul și cheia privată pentru ECDSA determinist?”, dar îndoielile mele sunt încă fără răspuns.

De ce nu poate $k$ folosit în ECDSA să fie exact ca $k = SHA256(sk + HASH(m))$ ?

Este doar pentru că HMAC_DRBG a ...

Am un dispozitiv Bluetooth care trimite periodic un pachet mic (fără a primi). Doresc să criptez și să autentific datele folosind AES-128. Are o cheie unică și aleatorie încorporată, care este inscripționată în memorie la producție și este cunoscută de receptor. Am următoarea structură de mesaje:

Am efectuat câteva cercetări privind protocoalele MPC de uz general și nu am reușit să identific exact siguranța oferită de protocolul BMR. Referința pe care am folosit-o pentru cea mai mare parte a cercetării mele este „O introducere pragmatică pentru a securiza calcularea multipartită” de către Evans et al., care precizează că BMR este capabil să realizeze securitate „împotriva o ...

Este bine cunoscut faptul că un adevărat generator aleatoriu exploatează aleatoritatea care apare în unele fenomene fizice. De asemenea, ieșirea unui generator aleatoriu adevărat poate fi fie părtinitoare, fie corelată. Prin urmare, sunt necesare tehnici de de-skewing.

Întrebarea mea este că, dacă avem doi generatori de biți aleatori adevărați ale căror ieșiri nu trec de suita de t ...