Рейтинг:3

Публичные ключи WOTS+ стали короче

флаг cn

В WOTS+ — как описано в разделе 3 RFC 8391 - открытые ключи, закрытые ключи и подписи состоят из $len$ строки с $n$ байт каждый, где $len, n \in \mathbb{N}$. Безопасно ли использовать хэш конкатенации всех $len$ строки в качестве короткого открытого ключа? Поскольку вам нужно только сообщение и подпись для вычисления (длинного) открытого ключа, процесс будет точно таким же, как описано в разделе 3.1.6 RFC, за исключением того, что верификатору нужно будет взять дополнительный хэш в конце и сравнить результат с коротким открытым ключом. Я особенно озадачен, почему эта возможность не упоминается в документе. Я подозреваю, что их больше беспокоил размер подписи, чем размер открытого ключа. Это правдоподобно?

флаг ca
Согласно [этой статье в Википедии] (https://en.wikipedia.org/wiki/Lamport_signature#Short_public_key), эту оптимизацию действительно можно применить, но она удвоит размер подписи, так как вам нужно выявить неиспользуемые хэши. Дело в том, что для Лэмпорта это верно, а вот на WOTS неиспользуемых хэшей не бывает. Интересно, статья неправильная?
Рейтинг:1
флаг in

Это действительно возможно. L-деревья в 4.1.5 RFC делают именно это таким образом, что устраняется требование устойчивой к коллизиям хэш-функции. Там это только описано, так как «хэш-функция» во многом такая же, как и само дерево Меркла. Таким образом, вы можете просто использовать L-дерево как часть WOTS для сжатия открытого ключа до значения n байтов (для n, используемого в RFC). Если вы хотите использовать один вызов хеш-функции, вы можете либо посмотреть, как это делается в SPHINCS+, где они вводят настраиваемые хэш-функции (по сути, обобщение концепции использования псевдослучайных битовых масок и ключей в хеш-функции), либо вы можете используйте один вызов хэш-функции с защитой от коллизий размером 2 байта. В последнем случае длина должна быть 2n, так как n выбрано для защиты только от атак (второго) прообраза. В частности, этого недостаточно, чтобы предотвратить приступы дня рождения.

poncho avatar
флаг my
Я не понимаю, почему атаки на день рождения актуальны, поскольку злоумышленник, который пытается сгенерировать подделку, не имеет возможности собирать данные, которые поступают в обе стороны. Сейчас актуальны многоцелевые коллизионные атаки (где атакующий работает сразу с несколькими публичными ключами и выигрывает, если сможет сгенерировать подделки к любому из них); однако это можно решить дешевле, чем хеш-функцию 2n
флаг in
Что ж, вы не получите уменьшения от чего-то более слабого, чем сопротивление столкновению, если просто используете пустую хеш-функцию. В ПЗУ я согласен, вы можете перейти к (многоцелевым) атакам второго прообраза

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.