Ultimele Crypto intrebări

Există protocoale criptografice în curs de dezvoltare pentru grupuri non-abeliene. Pentru unele protocoale este necesar să se știe dacă grupul are o reprezentare eficientă ca grup de matrice (de exemplu, un grup de matrice peste un câmp $\mathbb{F}$).

Ce ar trebui să fac pentru a afla dacă un produs semidirect al grupurilor finite poate fi reprezentat eficient ca un grup matriceal?

În special, s ...

Trebuie să construiesc un atac de recuperare a cheii pe criptarea cheii simetrice folosind o permutare cunoscută public $\Pi$ în $O(2^\frac{n}{2})$ folosirea timpului $2^\frac{n}{2}$ interogări către un oracol de criptare.

Criptarea se face ca $ \Pi ( m \oplus K) \oplus K $, Unde $K$ este cheia. Ambii $m$ și $K$ apartine ${0, 1}^{n}$

Nu știu cum pot folosi interogările pentru a face atacul de ...

Încerc să descopăr MS CryptoAPI pentru a genera o cheie simetrică pe un computer, apoi o cheie RSA pe altul, să trimit cheia publică pentru a o utiliza pentru a exporta cheia simetrică pe acel alt computer. Mă uit la exemplul lor Aici și se pare că creează o cheie de sesiune (simetrică) a RC4 cu o lungime de biți de 1024 și apoi un RSA (AT_KEYEXCHANGE) de 1024 de biți. Ceea ce mă face să ...

Mă întrebam că ce este de fapt un atac cipherText-only și cum criptarea One Time Pad nu poate fi spartă de acest atac?

Deci, după cum am înțeles, Argon2 este o funcție cu memorie, cu alte cuvinte, trebuie să utilizeze o anumită cantitate de memorie, făcându-l astfel eficient împotriva GPU-urilor.

Deci, ar face acest lucru, în teorie, să facă Argon2 inutil împotriva unui adversar cu memorie infinită?

Dar, de asemenea, dacă acesta este cazul, atunci de ce acordarea lui Argon2 a unei cerințe mai mari de m ...

Lăsa ($Gen,Enc,Dec$) să fie o schemă LHE cu parametru de securitate $\kappa$ și spațiu pentru mesaje $M$. Să presupunem că există o operație de înmulțire în $M$, adică este un inel finit. Lăsa $F : \{0, 1\}^s à L â M$ fi un pseudo-aleatoriu funcţionează cu spaţiul de seminţe $ \{0, 1\}^s$ ( $s=poli(κ)$) și spațiul de etichetă $L$.

înțeleg ce $\kappa$ este ca para ...

Înțeleg aproximativ (fără detalii despre algebra GF) schema GCS/GMAC:

IV trebuie pus în Counter-0, deci inițializarea contoarelor.

Se știe că utilizarea unui IV de două ori poate dezvălui nu numai textul simplu, ci și cheia AES în sine.

Nu inteleg nici pe primul, nici pe al doilea:

Î1: De ce se pierde confidențialitatea mesajelor când se utilizează același IV de două ori? Înseamnă că text ...

În prezent mă gândesc cum să demonstrez că algoritmul prezentat în lucrarea lui Bleichenbacher (http://archiv.infsec.ethz.ch/education/fs08/secsem/bleichenbacher98.pdf) de fapt se încheie.

Știu că în fiecare rundă intervalele în $M_i$ devin mai mici pe măsură ce creștem $s_i$, și asta $m$ trebuie să fie cuprinse în exact un interval de la $M_i$. Deoarece intervalele sunt intersectate, re ...

toate, lucrez la învățarea federată și iată întrebarea mea:

Să presupunem că există doi participanți pentru a face învățarea federată. Pentru unele dintre modele (de exemplu, modele de regresie logistică, presupunem că o parte are anumite caracteristici $X_1$ si eticheta $y$, celălalt are câteva alte caracteristici $X_2$. Coeficienții sunt notați ca $W_1$ și $W_2$, respectiv) ...

Conform Wiki există o abordare pentru demonstrarea cunoașterii $x$ astfel încât $g^x = y$. Cum pot dovedi că știu $x_1, x_2$ astfel încât $g^{x_1} = y_1, g^{x_2}=y_2$. Desigur, pot face aceste dovezi separat, dar aș dori să le combin într-una singură. Ideea mea este să dovedesc că știu așa ceva $x = x_1 + x_2$ acea $g^x = y_1 y_2$. Dar este sigur? Nu face sistemul vulnerabil?

Noțiunile circulare de securitate pentru schemele PKE captează securitatea schemelor (PKE) atunci când se criptează cheia secretă de decriptare.

Există o noțiune analogă, dar pentru criptare aleatoriu folosită pentru criptare? adică ce se întâmplă dacă se fixează mai întâi monedele aleatorii $r$ pentru a fi folosit pentru criptare și apoi calculează textul cifrat pentru aceasta

Este clar că folosind cheia privată ECDSA $x$ ca o intrare suplimentară în algoritmul hash, așa cum este specificat în RFC 6979, nu dăuna securitate (presupunând că HMAC_DRBG este un PRF).

Dar este necesar?

Ar exista vreo problemă în a permite algoritmului de semnătură să aibă aceeași ieșire de $k$ pentru același mesaj, indiferent de cheia folosită? Pe Este sigur să reutilizați un n ...

Introducere

La începutul acestui an, Claus Peter Schnorr a susținut că a „rupt RSA”. Lucrarea originală a fost discutată în Metoda de factoring 2021 a lui Schnorr arată că criptosistemul RSA nu este sigur?. A versiune revizuită din lucrarea sa a fost postată pe iacr în urmă cu aproximativ o săptămână și, conform comentariului lui @fgrieu, cineva a încercat să înceapă o discuție î ...

Rsynccrypto se presupune că folosește AES-CBC cu o răsucire: dacă ultimii câțiva octeți de text simplu îndeplinesc o condiție*, apoi opriți-vă, blocați blocul curent și începeți să criptați blocul nou din poziția curentă din fișier în timp ce reutilizați IV. Un exemplu mai bun ar putea fi în pseudocod:

dacă (declanșare (tampon, i)) {
  encrypt_next_block(buffer, i);
  i ...

Această întrebare este potențial relevantă pentru standardele de criptografie post-cuantică NIST, care implică criptosisteme bazate pe cod, cum ar fi McEliece, BIKE și HQC.

Această hârtie estimează numărul concret de operații pe biți necesare pentru a efectua atacul MayâMeurerâThomae (MMT) de decodare a setului de informații (ISD). Acesta arată că acest lucru este semnificativ mai mic de ...

Această întrebare este potențial relevantă pentru standardele de criptografie post-cuantică NIST, care implică criptosisteme bazate pe cod, cum ar fi McEliece, BIKE și HQC.

Pentru aceste criptosisteme, se pare că un atacator poate folosi o strategie de „decodare a unuia din multe” așa cum este descris Aici pentru a decripta unul dintr-o listă de $n$ texte cifrate, pentru un cost de  ...

Încerc să trimit chei AES de la un computer la altul, dar trebuie să ofer o formă de atestare a provenienței cheii. Cum ar trebui să fac asta?

Folosesc oxid de sodiu, o rugină care se leagă de libsodiu care oferă o funcție numită cutie sigilată care necesită cheia publică a receptorului. Totuși, ei mai menționează că mesajul este criptat cu o cheie publică efemeră.

Înseamnă asta că sealedbox oferă secretul direct sau trebuie să implementez personal secretul direct?

Ideea de blockchain este clară pentru mine - Dacă ajungem la un consens și toți participanții au aceeași stare, este ușor să verificăm tranzacțiile. Dar noi mecanisme (cum ar fi Z-Cash) permit acest lucru fără ca informațiile despre tranzacție să poată fi citite public de toți participanții. Cum este posibil acest lucru?

1. BLS12-381 oferă încă un nivel de securitate de 128 de biți?
2. Ce zici de BN12-254? 112 biți? Există referințe despre nivelul de securitate la asociere?

O mulțime de modele de funcții fizice neclonabile (PUF) din siliciu se bazează pe variații ale întârzierii de propagare (datorită variației procesului) a semnalelor pe căi diferite. În multe cazuri, o provocare selectează căile (de exemplu, folosind un muxer) care urmează să fie comparate, iar biții de răspuns compară cele două căi (de exemplu, care semnal a sosit primul sau numărul  ...

Studiez un videoclip de criptografie pe Coursera Aici intitulat: Modes of Operation: Many Time Key (CTR).

Am doar două întrebări simple:

1. În jur 4:30 în videoclipul pe care îl arată 2^48 fără a spune de unde provine acest număr, poate că face parte din specificația AES?

2. Apoi continuă să explice că au introdus valoarea 2^48 în ecuația subliniată de pe linia de mai sus, pentru a ca ...

Am un dispozitiv care trebuie să comunice cu o altă gazdă și să schimbe mesaje cu lungime fixă. Tot traficul ar trebui să fie criptat și autentificat și ar trebui să fie rezistent la atacurile de reluare. Din păcate, să te bazezi pe TLS nu este o opțiune, așa că trebuie să implementez un protocol personalizat. Am controlul asupra ambelor dispozitive, astfel încât să pot genera și di ...

Dacă o bucată de software rulează în modul FIPS și utilizează module criptografice certificate FIPS, este permisă executarea oricăror algoritmi non-FIPS chiar dacă securitatea sistemului nu depinde în mod unic de aceștia?

Exemplu: să presupunem că aveți un sistem care schimbă două perechi de chei ECDH: o pereche de chei curve25519 și o pereche de chei NIST P-384. Acordul cheii est ...

$h'(x) := h(a_1 \parallel x \parallel b_1) \parallel h(a_2 \parallel x \parallel b_2) \parallel h(a_3 \parallel x \parallel b_3) \parallel \dots \parallel h( a_k \parallel x \parallel b_k)$

$a_i$ și $b_i$ sunt cunoscute prefixe și sufixe.

Dacă $h$ este MD2 sau MD4, câtă muncă ar fi nevoie pentru a găsi o a doua preimagine $h'$?

Doar pentru a fi clar: ieșirea de $h'$ este relativ lung, $k$ ori ma ...

TLS 1.3 RFC, secțiunea 7.1 listează aceasta ca ultima parte a programului cheie:

https://datatracker.ietf.org/doc/html/rfc8446#section-7.1

            ...
   0 -> HKDF-Extract = Master Secret
             |
             +-----> Derive-Secret(., "c ap trafic",
             | ClientHello...server terminat)
             | = client_application_traffic_secret_0
             |
             +----- ...

Conform Wiki există posibilitatea unei dovezi non-interactive de cunoștințe zero a logaritmului discret dacă este provocată $c$ este calculat printr-o funcție hash. Dar care este scopul $c$? De ce nu pot seta întotdeauna $c=1$? Face sistemul vulnerabil?

Am încercat să demonstrez că sistemul de dovezi interactive și sistemul de dovezi interactive generalizate sunt echivalente. Conform ambelor definiții sunt în imagini. Cu toate acestea, încă mă chinui să o fac. Va rog ajutati-ma sa rezolv asta.

Un număr mare de lucrări SCA care vorbesc despre ECDSA menționează necesitatea orbirii/randomizării procesului de semnare, de obicei cu un comentariu dintr-o singură propoziție despre înlocuirea coordonatelor proiective (X,Y,Z) cu ​​cele randomizate (lambda^2).X,lambda^3Y,lambda*Z) și declarând problema rezolvată, dar nimic nu pare să ofere cu adevărat detalii despre pașii specifici nec ...

Keccak - așa cum este folosit în SHA-3 / SHAKE printre altele - poate fi folosit și pentru criptarea autentificată.

Cu toate acestea, par deja mai multe scheme definite pentru acesta, inclusiv propriile lor implementări:

1. Ketje:

   1. Kejt Jr;
   2. Kejte Sr;
   3. Kjte Minor și
   4. Kejte Major

2. Kravatte (excluzând schemele depreciate/întrerupte):

   1. Kravatte-SANE și
   2. Kravatte-SANSE (SIV)

3. Keyak:

    ...