Рейтинг:1

Crypto

Как была рассчитана вероятность успеха злоумышленника в этой статье 2002 года Додиса, Каца, Сюй, Юнга о схемах подписи с изолированным ключом?

phi.nm

20.12.2022, 21:24

В это статья («Схемы подписи с изолированным ключом» Додиса, Каца, Сюй, Юнга (2002)), я понимаю большую часть доказательства леммы 1 (стр. 9); Я борюсь с тем, как рассчитывается некоторая вероятность.

Я думаю, нет необходимости читать газету, все, что вам нужно, это следующее:

Контекст

противник $А$ ломает («новую») схему $\Пи$
Челленджер $А'$ хочет сломать основную схему $\тета$ с использованием $А$
Подписывающий оракул принимает в качестве входных данных сообщение и временной период $я$
максимальное количество запросов к подписывающему оракулу $ д (к) $

Запутанная часть:

В какой-то момент претендент $А'$ рисует случайный $r \in \{1,..,q(k)\}$ а потом смотрит на $ г ^ {й} $ подписывающий запрос, который $А$ делает.

Если этот запрос имеет в качестве входных данных период времени, который уже использовался в предыдущем запросе на подпись, прервите эксперимент.
Если это первый раз, когда этот период времени (обозначается $я^*$) запрашивается, продолжайте.
Если $А$ в любое время запрашивает или запрашивал оракул «ключевого воздействия» за период времени $я^*$, а также прервать (раскрытие ключа = раскрытие секретного ключа для запрошенного периода).

В конце, $А$ подделывает подпись на определенный период времени $я$. (адаптивно, Я думаю, так $я$ не является фиксированным в начале, но А выбирает его в конце.)

Потом в газете написано:

По крайней мере с вероятностью $1/к(к)$, эксперимент не прерывается и $i^â = i$ [..].

Моя догадка

$P(\text{эксперимент не прерван} \клин\, i^â = i) =\ P(\text{период }i^* \text{ранее не запрашивалось } r^{th} \text{запрос на подпись} \wedge\, \text{нет запроса на раскрытие ключа для }i^* \wedge\, i^ = я )$

Что теперь? Я не понимаю, как вычисления могут быть настолько очевидными; Я могу придумать так много вопросов:

Являются ли эти события независимыми и, следовательно, $P(\text{период }i^* \text{ранее не запрашивалось } r^{th} \text{запрос на подпись} \wedge\, \text{нет запроса на раскрытие ключа для }i^* \wedge\, i ^ â = i ) = P(\text{период}i^* \text{ранее не запрашивалось } r^{th} \text{запрос на подпись})*P(\text{нет запроса раскрытия ключа для}i ^*)*P( i^â = i)?$
Является $P( i^â = i )=1/q(k)$ или выше вероятность того, что противник выберет $я$ за подделку, о которой им что-то известно (= о которой они уже допрашивали)? Или мы предполагаем, что $А$запросы случайны? Почему мы так предположили?
Является $P(\text{период }i^* \text{ранее не запрашивалось } r^{th} \text{запрос на подпись})$ одинаково для всех $г$ или это выше для маленьких $г$ (="ранние" запросы)? Зависит ли это от того, $P( я ^ = я )$?

Честно говоря, я озадачен тем, что эта вероятность дается без дополнительных объяснений, я, должно быть, упускаю что-то элементарное. Вы можете помочь?

1 + 0

доказуемая безопасность

вероятность

Рейтинг:1

Crypto

Mikero

21.12.2022, 07:07

Противник $А$ ломает схему $\Пи$ путем создания какой-то подделки. Каждой подделке можно присвоить какой-либо ярлык $я$. Этот ярлык $я$ выбирается противником, но существует лишь полиномиальное число вариантов для $я$.

Алгоритм редукции может настроить вещи так, чтобы они выглядели точно так же, как мир, который $А$ надеется. Кроме того, алгоритм редукции может устанавливать вещи с определенным $я^*$ в виду, так что, если противник произведет подделку, этикетка которой окажется $я^*$, то алгоритм редукции может успешно сломать схему $\тета$. Важно, и это может быть то, что вы упускаете, $А$взгляд на вещи не зависит от $я^*$. Иными словами, независимо от того, какие конкретные $я^*$ имеет в виду редукция, она всегда производит совершенно точную симуляцию мира, который $А$ надеется.

Как должен выбирать алгоритм редукции $я^*$? Он не может заранее предсказать, какой ярлык будет носить подделка противника. Поэтому вместо этого он выберет $я^*$ равномерно случайным образом из полиномиального множества вариантов.

Почему это работает? В конце концов противник выдает подделку, и подделка имеет некоторый ярлык. $я$. Если весь взгляд противника не зависит от выбора $я^*$, то выбор противником $я$ не зависит от выбора $я^*$. С $я^*$ распределена равномерно и не зависит от $я$, мы можем сказать, что $\Pr[i=i^*] = \frac{1}{\mbox{количество вариантов}}$.

В вашей настройке "ярлык" $я$ подделки является (очевидно -- я следовал вашим инструкциям, чтобы фактически не читать статью) индексом первого запроса подписывающего оракула, сделанного с использованием периода времени, указанного в подделке. Если алгоритм сокращения может предсказать, какой запрос подписывающего оракула будет сделан первым в течение периода времени, когда противник подделывал данные, то он сделает что-то особенное в ответ на этот запрос (включит некоторую информацию, которая поможет ему взломать $\тета$). Конечно, он не может предсказать это свойство подделки, поэтому он угадывает. Есть только $ д (к) $ возможности идентичности этого «специального» запроса.

В вашей обстановке также происходит некоторое прерывание, но это отвлекает от вопроса о реальной вероятности. На самом деле происходит следующее: Редукция успешна только при нарушении $\тета$ когда это догадка $я^*$ соответствует метке $я$ из $А$подлог. Здесь авторы говорят, что редукция может с таким же успехом сдаться (т. е. прерваться), когда увидит, что ее предположение будет неверным. Было бы хорошо, если бы они написали алгоритм сокращения, чтобы он никогда не прерывался, а вместо этого просто делал слепой «удар в темноте» при взломе. $\тета$ в этих случаях.

0 + 5

phi.nm

21.12.2022, 08:42

Хорошо спасибо! Я думаю, что ваше замечание о том, что точка зрения противника не зависит от того, что догадывается претендент, принесло домой важное сообщение: противник не пытается саботировать претендента, потому что его не волнует предыстория претендента с помощью $\Theta$, а только наличие подходящей среды для подделки подписи для $\Pi$. Правильно? Но: Вы хотите сказать, что вероятность аборта здесь не играет никакой роли? Или вы говорите, что $P(\text{эксперимент не прерван} \wedge\, i^* = i)$ точно такой же, как $P(\text{Челленджер угадывает правильную метку})=1/q(k )?$

Ответить

phi.nm

21.12.2022, 10:46

Я также только что понял, что мой второй вопрос («Выбирает ли $A$ метку для подделки, о которой ему что-то известно (= использовалось в запросе)?») не применим, потому что доказательство рассматривает два случая, а часть, в которой мы находимся, обрабатывает случай «$A$ использует запрошенную метку для подделки» - я только этого не распознал. Влияет ли это на вероятность $i^*=i$? После всего

Ответить

phi.nm

21.12.2022, 10:54

- извините, продолжение предыдущего комментария - Влияет ли это на вероятность $i^*=i$? В конце концов, доказательство говорит, что вероятность «не менее $1/q(k)$», а не «равна». Мои мысли: Пул возможных меток меньше (если что), то есть вероятность угадать правильно (если что). Правильно? Или ваше объяснение уже охватывает часть «по крайней мере», потому что это как-то связано с абортом?

Ответить

Mikero

21.12.2022, 16:19

Я не знаю, почему в доказательстве говорится о вероятности «не менее 1 доллара за q$», а не «ровно 1 доллар за q$». Но я вижу, что вы можете сделать реальную вероятность равной $1/q'$, где $q'$ — это количество различных значений времени, запрашиваемых у подписывающего оракула. Таким образом, $q'=q$ только в том случае, если злоумышленник никогда не повторяет значение времени в подписывающем запросе, а в противном случае $q'\le q$. Если запрос подписи не является *первым*, использующим определенное значение времени, то он не может быть меткой подделки. Так как $q'\le q$, то и $1/q' \ge 1/q$. Может быть, именно это они имеют в виду, говоря «вероятность не менее $1/q$»?

Ответить

phi.nm

22.12.2022, 09:01

Хорошо, да - это то, что я пытался сказать своим объяснением "пула меток" :-) И $P(\text{Челленджер угадывает правильную метку}) = P(\text{не прервано и угадывает правильную метку}) $, потому что аборт происходит только тогда, когда метка угадывается неправильно, так что это одно и то же событие. Правильно?

Ответить

Admin

Этот вопрос на других языках:

EN: How was the adversary's success probability calculated in this 2002 paper by Dodis, Katz, Xu, Yung about key-insulated signature schemes?

TH: ความน่าจะเป็นที่จะสำเร็จของฝ่ายตรงข้ามคำนวณอย่างไรในรายงานปี 2545 นี้โดย Dodis, Katz, Xu, Yung เกี่ยวกับรูปแบบลายเซ็นที่มีการหุ้มฉนวน

RO: Cum a fost calculată probabilitatea de succes a adversarului în această lucrare din 2002 a lui Dodis, Katz, Xu, Yung despre schemele de semnătură izolate cu cheie?

RU: Как была рассчитана вероятность успеха злоумышленника в этой статье 2002 года Додиса, Каца, Сюй, Юнга о схемах подписи с изолированным ключом?

VI: Xác suất thành công của đối thủ được tính toán như thế nào trong bài báo năm 2002 này của Dodis, Katz, Xu, Yung về các sơ đồ chữ ký cách điện bằng khóa?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.