Рейтинг:3

Является ли NOTS допустимой схемой одноразового размера?

флаг ca

я только что узнал о НЕТ, квантово-устойчивая схема подписи, основанная на хеш-функциях, которая, как утверждается, имеет гораздо более короткие размеры подписи и ключа. Известно ли, что эта схема подписи безопасна? Глядя на документ, я с подозрением отношусь к тому, как он использует модуль индексов (не мог ли противник просто сгенерировать хэш с тем же количеством символов?). Это законно? введите описание изображения здесь

Рейтинг:6
флаг my

Это законно?

Нет, и вы попали в причину — алгоритм преобразует сообщение в ряд из 16 значений от 1 до 128, а затем подписывает только на основе этого. Всего 112 бит; на самом деле, это несколько хуже, так как алгоритм, который они используют для преобразования хэша сообщения в серию из 16 значений, будет генерировать значения, которые всегда суммируются (по модулю 128) с 64;. Это означает, что с допустимой парой сообщение/подпись вы можете найти второе изображение, которое преобразуется в те же первые 15 значений [1] (и, таким образом, будет действительным сообщением для той же подписи) с ожидаемым $О(2^{105})$ усилие. Хуже того, поскольку перевод не включает рандомизацию, вы можете ожидать коллизии (а затем попросить подписать одно сообщение; второе сообщение с той же подписью будет подделкой) с ожидаемым $О(2^{52,5})$ усилие.

В документе также делается ряд ошибочных заявлений; вот те, что мне приглянулись:

  • Они утверждают, что «Другие типы схем OTS/FTS (кроме WOTS и ее варианты) не позволяют вычислить публичный ключ из подписей разве что огромный дополнительный набор информации предоставляется верификатору». Это неверно. Для каждой схемы подписи на основе хеша, которую я видел, процесс проверки был, по сути, «брать сообщение, подпись и, возможно, некоторое небольшое количество данных из открытого ключа, вычислите серию хэшей, и если результат совпадет с тем, что в открытом ключе, вы выиграете». То есть все, что вам нужно для восстановления открытого ключа, — это «возможно небольшое количество данных», а не «огромный дополнительный набор информации». ". Незначительный момент, за исключением того, что они неоднократно подчеркивают это.

  • Их оценка, которая состоит из сравнения с некоторыми выбранными другими схемами подписи на основе хэшей (но ничего с большим параметром W); однако они настаивают на том, что используют конкурирующие схемы с нереально большим размером хеш-функции (значение n) — они отмечают, что их схема (которая имеет большой параметр W и меньшее значение n) приводит к меньшим подписям; неудивительно, когда они так сильно кладут большой палец на весы.

  • Они также заявляют, что «наконец, NOTS добился всех этих сокращений. в размерах ключа и подписи без ущерба для уровня безопасности»; хотя взгляд на их таблицу показывает, что они утверждают, что NOTS имеет значительно более низкий уровень безопасности (не считая того, что я сделал выше о том, что он даже не достигает этого).

  • Что касается их доказательств безопасности, то они состоят из предоставляемых ими алгоритмов, которые принимают подделку и создают коллизию; однако прохождение алгоритма показывает, что даже в случае подделки он может дать сбой (то есть не вызвать столкновение); следовательно, оно недействительно в качестве доказательства.


[1]: Как только вы впервые найдете совпадение в первых 15, вы всегда получите совпадение в шестнадцатом.

флаг ca
Спасибо. Так что прямо сейчас уровень техники с точки зрения размера квантово-устойчивой подписи — это WOTS+, верно?
poncho avatar
флаг my
@MaiaVictor: для подписей на основе хэша подписи LM-OTS меньше (в основном потому, что он поддерживает большие значения W). Конечно, если вы не ограничиваетесь подписями на основе хэшей, Rainbow *гораздо* меньше...
флаг in
@poncho... "Радуга..." ты не забыл крохотную деталь их...:-P и первоначально опубликованный WOTS + допускает произвольные (даже нецелые степени двойки) значения для w. Только RFC ограничил w значением 16 (хотя он и допускает другие значения, он просто не определяет наборы параметров, использующие их).
poncho avatar
флаг my
@mephisto: на уровне 1 NIST Rainbow (по крайней мере, в представлении 3-го раунда) имеет размер подписи 66 байтов.Для получения таких коротких подписей (даже при условии, что 16-байтовые хэши) WOTS+ потребовал бы $Wâ2^{64}$, и даже если мы считаем такой огромный $W$ практичным, структура ADDR WOTS+ предполагает, что $W
флаг in
@poncho: Конечно, но в этом контексте вы также должны упомянуть размер открытого ключа, который может иметь отношение к пользователю.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.