Публичные ключи WOTS+ стали короче

Rígille S. B. Menezes

08.11.2022, 22:40

В WOTS+ — как описано в разделе 3 RFC 8391 - открытые ключи, закрытые ключи и подписи состоят из $len$ строки с $n$ байт каждый, где $len, n \in \mathbb{N}$. Безопасно ли использовать хэш конкатенации всех $len$ строки в качестве короткого открытого ключа? Поскольку вам нужно только сообщение и подпись для вычисления (длинного) открытого ключа, процесс будет точно таким же, как описано в разделе 3.1.6 RFC, за исключением того, что верификатору нужно будет взять дополнительный хэш в конце и сравнить результат с коротким открытым ключом. Я особенно озадачен, почему эта возможность не упоминается в документе. Я подозреваю, что их больше беспокоил размер подписи, чем размер открытого ключа. Это правдоподобно?

1 + 1

постквантовая криптография

хэш-подпись

MaiaVictor

09.11.2022, 00:21

Согласно [этой статье в Википедии] (https://en.wikipedia.org/wiki/Lamport_signature#Short_public_key), эту оптимизацию действительно можно применить, но она удвоит размер подписи, так как вам нужно выявить неиспользуемые хэши. Дело в том, что для Лэмпорта это верно, а вот на WOTS неиспользуемых хэшей не бывает. Интересно, статья неправильная?

Ответить

Рейтинг:1

Crypto

mephisto

15.11.2022, 08:51

Это действительно возможно. L-деревья в 4.1.5 RFC делают именно это таким образом, что устраняется требование устойчивой к коллизиям хэш-функции. Там это только описано, так как «хэш-функция» во многом такая же, как и само дерево Меркла. Таким образом, вы можете просто использовать L-дерево как часть WOTS для сжатия открытого ключа до значения n байтов (для n, используемого в RFC). Если вы хотите использовать один вызов хеш-функции, вы можете либо посмотреть, как это делается в SPHINCS+, где они вводят настраиваемые хэш-функции (по сути, обобщение концепции использования псевдослучайных битовых масок и ключей в хеш-функции), либо вы можете используйте один вызов хэш-функции с защитой от коллизий размером 2 байта. В последнем случае длина должна быть 2n, так как n выбрано для защиты только от атак (второго) прообраза. В частности, этого недостаточно, чтобы предотвратить приступы дня рождения.

0 + 2

poncho

15.11.2022, 11:39

Я не понимаю, почему атаки на день рождения актуальны, поскольку злоумышленник, который пытается сгенерировать подделку, не имеет возможности собирать данные, которые поступают в обе стороны. Сейчас актуальны многоцелевые коллизионные атаки (где атакующий работает сразу с несколькими публичными ключами и выигрывает, если сможет сгенерировать подделки к любому из них); однако это можно решить дешевле, чем хеш-функцию 2n

Ответить

mephisto

15.11.2022, 12:01

Что ж, вы не получите уменьшения от чего-то более слабого, чем сопротивление столкновению, если просто используете пустую хеш-функцию. В ПЗУ я согласен, вы можете перейти к (многоцелевым) атакам второго прообраза

Ответить

Admin

Этот вопрос на других языках:

EN: Making WOTS+ public keys shorter

TH: ทำให้ WOTS+ คีย์สาธารณะสั้นลง

RO: Scurtarea cheilor publice WOTS+

RU: Публичные ключи WOTS+ стали короче

VI: Làm cho khóa công khai WOTS+ ngắn hơn

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.