Регистрация Войти
Рейтинг:3
fadedbee avatar Crypto

Можете ли вы создать алгоритм шифрования из алгоритма подписи или наоборот?

флаг br
fadedbee

Я помню, как несколько лет назад читал, что невозможно запретить шифрование, не запрещая подписывание, поскольку всегда можно создать алгоритм шифрования с открытым ключом из алгоритма подписи.

(Возможно, вы всегда можете создать алгоритм подписи из алгоритма шифрования с открытым ключом.)

Кроме того, я помню, что это работало побитово, так что каждый бит нужно было каким-то образом подписать, чтобы зашифровать сообщение.

Очевидно, что такие алгоритмы были бы ужасно неэффективны, но возможны ли они?

168
3 + 3
Ievgeni avatar
флаг cn
Ievgeni
Что вы имеете в виду под запретом?
0
Ответить
kelalaka avatar
флаг in
kelalaka
$\implies$[Переход от подписи к шифрованию?](https://crypto.stackexchange.com/q/148/18298)
0
Ответить
dave_thompson_085 avatar
флаг cn
dave_thompson_085
Это может быть [классическое раздробление и веяние Ривеста] (https://people.csail.mit.edu/rivest/pubs.html#Riv98a), хотя он предлагает небольшие пакеты, а не (обязательно) отдельные биты, и он называет это альтернативой, а не форма шифрования. Он был опубликован в основном как оппозиция политике правительства США в то время, когда запрещалась большая часть экспортного шифрования, но разрешалась подпись и аутентификация.
1
Ответить
Рейтинг:3
Yehuda Lindell avatar Crypto
флаг us
Yehuda Lindell

Здесь происходит путаница между симметричным и асимметричным мирами.Для симметричного действительно верно, что можно построить шифрование из аутентификации сообщения и наоборот. Теоретически это тривиально, поскольку оба примитива подразумевают односторонние функции, а односторонних функций достаточно для построения как симметричного шифрования, так и MAC. Более прямое решение, при котором вам предоставляется доступ к MAC только через черный ящик, было представлено Ривестом в статье под названием Отвеивание и измельчение Рон Ривест.

Ваш вопрос касается асимметричной настройки. В этом случае шифрование действительно подразумевает наличие подписей, поскольку для создания цифровых подписей достаточно односторонних функций. Однако существуют «черные ящики», которые показывают, что шифрование с открытым ключом не может быть построено из односторонних функций (или даже односторонних перестановок или хеш-функций). Таким образом, для этого потребуется серьезный прорыв. Например, мы знаем, как создавать цифровые подписи из хеш-функций, но мы не можем создавать шифрование с открытым ключом из хеш-функций (если рассматривать хеш-функцию как черный ящик).

Короче говоря, нет. Тебе нельзя в общем построить шифрование с открытым ключом из цифровых подписей (через конструкции черного ящика). Вопрос о том, можно ли это сделать без «черного ящика», остается открытым, но было бы очень удивительно, если бы да.

0 + 2
fadedbee avatar
флаг br
fadedbee
Спасибо, да, я читал «Веяние и поддразнивание».
0
Ответить
Yehuda Lindell avatar
флаг us
Yehuda Lindell
Как ни странно, эта статья была одной из первых, которые я когда-либо читал по криптографии :-).
0
Ответить
Рейтинг:1
ming alex avatar Crypto
флаг in
ming alex

С точки зрения теории, схема шифрования и подписи основана на односторонней функции, которая может предотвратить раскрытие и подделку зашифрованного текста и подписи соответственно. Поэтому на данный момент кажется возможным преобразование между ними, например RSA, elgmal в учебнике и т. д.

Однако на практике два требования к безопасности совершенно разные, так что для схемы шифрования она должна соответствовать безопасности IND-CCA; но для схемы подписи она должна соответствовать требованиям безопасности UF-CMA.

Таким образом, вообще говоря, тип математического предположения, на котором они основаны, также отличается:

  1. Схема шифрования, всегда основанная на предпосылках принятия решений, таких как DDH, DLP и т. д., чтобы сбить противника с толку и определить, является ли зашифрованный текст c результатом шифрования $m_1$ или же $m_0$. Таким образом, можно сделать вывод, что алгоритм шифрования должен быть вероятностный.
  2. Схема подписи всегда основана на вычислительных предположениях, таких как CDH, SDH и т. д., чтобы предотвратить подделку злоумышленником действительной подписи. мы также можем сделать вывод, что алгоритм подписи должен быть детерминированный.

Это мое мнение о вашем вопросе, не подробное, но должно быть в состоянии ответить на ваш вопрос.

0 + 3
Yehuda Lindell avatar
флаг us
Yehuda Lindell
Это неправильно. Схемы подписи не требуют функций лазейки или перестановок лазейки. Они могут быть построены только из односторонних функций. Кроме того, вопрос не в том, можно ли использовать схему шифрования как есть, а в том, можно ли построить одну из другой. Таким образом, тот факт, что у них разные требования к безопасности, не отвечает на вопрос.
0
Ответить
ming alex avatar
флаг in
ming alex
@YehudaLindell Профессор, для меня большая честь встретиться с вами здесь :). Недавно я изучаю, как модифицировать метод zk-SNARK для использования в схеме анонимной аутентификации, но не получается :(. Не могли бы вы дать мне несколько идей для продвижения моего исследования? Ха, ха, это роскошный вопрос, я подумал .
0
Ответить
Yehuda Lindell avatar
флаг us
Yehuda Lindell
Рад познакомиться и с вами! Если я понимаю вашу цель, вы хотите получить короткую схему анонимной аутентификации. Я не эксперт в этой области, и я предполагаю, что вы знакомы с работами Анны Лысянской, Яна Камениша и Йенса Грота в этой области. Извините, я ничем не могу помочь, но удачи!
0
Ответить
Рейтинг:1
fgrieu avatar Crypto
флаг ng
fgrieu

вы всегда можете сделать алгоритм шифрования с открытым ключом из алгоритма подписи

Я думаю, что это утверждение либо

  • был сделан для асимметричных крипто-черных ящиков с учетом учебника RSA, но он неверен: мы не можем превратить РСАССА-ПСС, ДСА, ЭЦДСА, или же ЭдДСА подписание черного ящика в ящик дешифрования для любого безопасного алгоритма асимметричного шифрования.
  • был сделан для асимметричных криптоалгоритмов, но все еще неверен в теории (например, Подпись Лэмпорта), даже если это правда на практике (легко превратить подпись RSA в шифрование; это возможно для ECDSA, например. ECIES).
  • отклонился от истинного утверждения о симметричных крипто-черных ящиках: можно создать надежное симметричное шифрование из сильного MAC, что правильно (мы можем построить шифр Фейстеля).
0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.