Регистрация Войти
Рейтинг:3
fgrieu avatar Crypto

Многоцелевые атаки открытых ключей ECC

флаг ng
fgrieu

Представьте себе ситуацию, когда вокруг есть много ценных открытых ключей, использующих одну и ту же группу эллиптических кривых, скажем $к$ в миллионах открытых ключей¹. Может ли злоумышленник найти один из соответствующих закрытых ключей с гораздо меньшими затратами, чем поиск закрытого ключа для конкретного ключа?

Каков наилучший возможный метод²? Какова его стоимость по сравнению с наиболее известным возможным методом для одного ключа (то есть, я полагаю, распределенного ро Поларда с выделенными точками) в зависимости от $к$ и, возможно, групповой порядок эллиптической кривой $n$?

¹ Представьте биткойн с secp224k1, и соответствующие понци имели аналогичную рыночную стоимость.

² Предполагая известные существующие технологии, включая суперкомпьютеры, GPU, FPGA, ASIC, но не квантовые компьютеры, пригодные для криптоанализа.

109
1 + 7
SAI Peregrinus avatar
флаг si
SAI Peregrinus
Я знаю, что Кун и Струик [доказали в 2001 году] (https://tik-db.ee.ethz.ch/file/24d4a86d39ea8fae126fc84b69885ba7/sac01.pdf) (раздел 4), что метод ро Полларда может вычислить $k$ дискретных журналов в $ \sqrt k$ времени. Первый занимает полное ожидаемое время, второй меньше, следующий еще меньше и т. д.
2
Ответить
SAI Peregrinus avatar
флаг si
SAI Peregrinus
Проблема в том, что это с 2001 года. Я ожидаю, что есть новые исследования или что новые атаки могут быть дешевле. Так что я действительно не хочу отвечать на него только этим, так как это статья 20-летней давности. Я только что вспомнил, что он цитируется в разделе «Пакетные дискретные логарифмы» статьи Бернштейна Curve25519, и просмотрел его. Хотя, конечно, это предел сложности.
2
Ответить
флаг pe
Samuel Neves
Это в основном то же самое, что и [этот ответ] (https://crypto.stackexchange.com/a/25849/592)
1
Ответить
fgrieu avatar
флаг ng
fgrieu
@Samuel Neves: спасибо, что указали [это] (https://crypto.stackexchange.com/a/25849/592). Возможно, не совсем то же самое: предварительное вычисление — это не то же самое, что многоцелевое, потому что цель (цели) неизвестна, когда начинается предварительное вычисление. По крайней мере, в RSA это имеет существенное значение: я не знаю ни одной атаки с предварительным вычислением для факторных модулей RSA, но есть некоторые (погранично полезные) многоцелевые атаки, такие как p-1 Полларда.
0
Ответить
флаг pe
Samuel Neves
Там также нет предварительных вычислений; «предварительное вычисление» на самом деле просто решает первую цель (или фиктивную цель, если настаивать на предварительном вычислении).
0
Ответить
fgrieu avatar
флаг ng
fgrieu
@SamuelNeves: \[Обновлено: после следующего комментария я понял вас, и что [ваш существующий ответ](https://crypto.stackexchange.com/a/25849/592) действительно решает вопрос\]. Я не понимаю тебя. Вы говорите, что найти все закрытые ключи так же сложно, как найти один? Я готов в это поверить, но как?
0
Ответить
флаг pe
Samuel Neves
Нет; поиск всех $k$ закрытых ключей стоит $O(\sqrt{kn})$, то есть вы экономите фактор $\sqrt{k}$ по сравнению с решением каждого журнала по отдельности. Это было явно доказано [Yun] (https://eprint.iacr.org/2014/637), но это уже цена лучшей атаки с 1997 года или около того (Сильверман).
2
Ответить
Рейтинг:2
poncho avatar Crypto
флаг my
poncho

Может ли злоумышленник найти один из соответствующих закрытых ключей с гораздо меньшими затратами, чем поиск закрытого ключа для конкретного ключа?

Нет, и это доказуемо (и не зависит от используемой технологии).

Предположим, что у нас есть черный ящик, который может принимать $к$ разные открытые ключи $a_1G, a_2G, ..., a_kG$, и восстановить $a_iG$ (для некоторых $я$) в $о(\sqrt{n})$ время.

Затем, вот как мы могли бы использовать этот черный ящик, чтобы, имея один открытый ключ $aG$, восстановить закрытый ключ $а$ в $о(\sqrt{n})$ время. Мы будем:

  • Выбирать $к$ случайные значения $r_1, r_2, ..., r_k$, и вычислить последовательность $r_1(aG), r_2(aG), ..., r_k(aG)$, который (путем определения $b_i = r_i а$) можно рассматривать как $b_1G, b_2G, ..., b_kG$

  • Дайте последовательность $b_1G, b_2G, ..., b_kG$, который восстановит $b_i$

  • Мы вычисляем $a = r_i^{-1}b_i$, и, таким образом, восстановить ключ.

Действия в дополнение к вызову черного ящика $ О (к) $ времени, которым можно пренебречь при разумных размерах $к$.

Обратите внимание, что последовательность $b_1G, b_2G, ..., b_kG$ распределен равномерно, и, следовательно, даже если черный ящик является вероятностным, он все равно позволит нам восстановить открытый ключ.

0 + 1
fgrieu avatar
флаг ng
fgrieu
Это вариант того, что вы уже сказали мне, и это точно!
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.