Рейтинг:1

Как была рассчитана вероятность успеха злоумышленника в этой статье 2002 года Додиса, Каца, Сюй, Юнга о схемах подписи с изолированным ключом?

флаг vn

В это статья («Схемы подписи с изолированным ключом» Додиса, Каца, Сюй, Юнга (2002)), я понимаю большую часть доказательства леммы 1 (стр. 9); Я борюсь с тем, как рассчитывается некоторая вероятность.

Я думаю, нет необходимости читать газету, все, что вам нужно, это следующее:

Контекст

  • противник $А$ ломает («новую») схему $\Пи$
  • Челленджер $А'$ хочет сломать основную схему $\тета$ с использованием $А$
  • Подписывающий оракул принимает в качестве входных данных сообщение и временной период $я$
  • максимальное количество запросов к подписывающему оракулу $ д (к) $

Запутанная часть:

В какой-то момент претендент $А'$ рисует случайный $r \in \{1,..,q(k)\}$ а потом смотрит на $ г ^ {й} $ подписывающий запрос, который $А$ делает.

  • Если этот запрос имеет в качестве входных данных период времени, который уже использовался в предыдущем запросе на подпись, прервите эксперимент.
  • Если это первый раз, когда этот период времени (обозначается $я^*$) запрашивается, продолжайте.
  • Если $А$ в любое время запрашивает или запрашивал оракул «ключевого воздействия» за период времени $я^*$, а также прервать (раскрытие ключа = раскрытие секретного ключа для запрошенного периода).

В конце, $А$ подделывает подпись на определенный период времени $я$. (адаптивно, Я думаю, так $я$ не является фиксированным в начале, но А выбирает его в конце.)

Потом в газете написано:

По крайней мере с вероятностью $1/к(к)$, эксперимент не прерывается и $i^â = i$ [..].

Моя догадка

$P(\text{эксперимент не прерван} \клин\, i^â = i) =\ P(\text{период }i^* \text{ранее не запрашивалось } r^{th} \text{запрос на подпись} \wedge\, \text{нет запроса на раскрытие ключа для }i^* \wedge\, i^ = я )$

Что теперь? Я не понимаю, как вычисления могут быть настолько очевидными; Я могу придумать так много вопросов:

  • Являются ли эти события независимыми и, следовательно, $P(\text{период }i^* \text{ранее не запрашивалось } r^{th} \text{запрос на подпись} \wedge\, \text{нет запроса на раскрытие ключа для }i^* \wedge\, i ^ â = i ) = P(\text{период}i^* \text{ранее не запрашивалось } r^{th} \text{запрос на подпись})*P(\text{нет запроса раскрытия ключа для}i ^*)*P( i^â = i)?$
  • Является $P( i^â = i )=1/q(k)$ или выше вероятность того, что противник выберет $я$ за подделку, о которой им что-то известно (= о которой они уже допрашивали)? Или мы предполагаем, что $А$запросы случайны? Почему мы так предположили?
  • Является $P(\text{период }i^* \text{ранее не запрашивалось } r^{th} \text{запрос на подпись})$ одинаково для всех $г$ или это выше для маленьких $г$ (="ранние" запросы)? Зависит ли это от того, $P( я ^ = я )$?

Честно говоря, я озадачен тем, что эта вероятность дается без дополнительных объяснений, я, должно быть, упускаю что-то элементарное. Вы можете помочь?

Рейтинг:1
флаг us

Противник $А$ ломает схему $\Пи$ путем создания какой-то подделки. Каждой подделке можно присвоить какой-либо ярлык $я$. Этот ярлык $я$ выбирается противником, но существует лишь полиномиальное число вариантов для $я$.

Алгоритм редукции может настроить вещи так, чтобы они выглядели точно так же, как мир, который $А$ надеется. Кроме того, алгоритм редукции может устанавливать вещи с определенным $я^*$ в виду, так что, если противник произведет подделку, этикетка которой окажется $я^*$, то алгоритм редукции может успешно сломать схему $\тета$. Важно, и это может быть то, что вы упускаете, $А$взгляд на вещи не зависит от $я^*$. Иными словами, независимо от того, какие конкретные $я^*$ имеет в виду редукция, она всегда производит совершенно точную симуляцию мира, который $А$ надеется.

Как должен выбирать алгоритм редукции $я^*$? Он не может заранее предсказать, какой ярлык будет носить подделка противника. Поэтому вместо этого он выберет $я^*$ равномерно случайным образом из полиномиального множества вариантов.

Почему это работает? В конце концов противник выдает подделку, и подделка имеет некоторый ярлык. $я$. Если весь взгляд противника не зависит от выбора $я^*$, то выбор противником $я$ не зависит от выбора $я^*$. С $я^*$ распределена равномерно и не зависит от $я$, мы можем сказать, что $\Pr[i=i^*] = \frac{1}{\mbox{количество вариантов}}$.


В вашей настройке "ярлык" $я$ подделки является (очевидно -- я следовал вашим инструкциям, чтобы фактически не читать статью) индексом первого запроса подписывающего оракула, сделанного с использованием периода времени, указанного в подделке. Если алгоритм сокращения может предсказать, какой запрос подписывающего оракула будет сделан первым в течение периода времени, когда противник подделывал данные, то он сделает что-то особенное в ответ на этот запрос (включит некоторую информацию, которая поможет ему взломать $\тета$). Конечно, он не может предсказать это свойство подделки, поэтому он угадывает. Есть только $ д (к) $ возможности идентичности этого «специального» запроса.

В вашей обстановке также происходит некоторое прерывание, но это отвлекает от вопроса о реальной вероятности. На самом деле происходит следующее: Редукция успешна только при нарушении $\тета$ когда это догадка $я^*$ соответствует метке $я$ из $А$подлог. Здесь авторы говорят, что редукция может с таким же успехом сдаться (т. е. прерваться), когда увидит, что ее предположение будет неверным. Было бы хорошо, если бы они написали алгоритм сокращения, чтобы он никогда не прерывался, а вместо этого просто делал слепой «удар в темноте» при взломе. $\тета$ в этих случаях.

phi.nm avatar
флаг vn
Хорошо спасибо! Я думаю, что ваше замечание о том, что точка зрения противника не зависит от того, что догадывается претендент, принесло домой важное сообщение: противник не пытается саботировать претендента, потому что его не волнует предыстория претендента с помощью $\Theta$, а только наличие подходящей среды для подделки подписи для $\Pi$. Правильно? Но: Вы хотите сказать, что вероятность аборта здесь не играет никакой роли? Или вы говорите, что $P(\text{эксперимент не прерван} \wedge\, i^* = i)$ точно такой же, как $P(\text{Челленджер угадывает правильную метку})=1/q(k )?$
phi.nm avatar
флаг vn
Я также только что понял, что мой второй вопрос («Выбирает ли $A$ метку для подделки, о которой ему что-то известно (= использовалось в запросе)?») не применим, потому что доказательство рассматривает два случая, а часть, в которой мы находимся, обрабатывает случай «$A$ использует запрошенную метку для подделки» - я только этого не распознал. Влияет ли это на вероятность $i^*=i$? После всего
phi.nm avatar
флаг vn
- извините, продолжение предыдущего комментария - Влияет ли это на вероятность $i^*=i$? В конце концов, доказательство говорит, что вероятность «не менее $1/q(k)$», а не «равна». Мои мысли: Пул возможных меток меньше (если что), то есть вероятность угадать правильно (если что). Правильно? Или ваше объяснение уже охватывает часть «по крайней мере», потому что это как-то связано с абортом?
флаг us
Я не знаю, почему в доказательстве говорится о вероятности «не менее 1 доллара за q$», а не «ровно 1 доллар за q$». Но я вижу, что вы можете сделать реальную вероятность равной $1/q'$, где $q'$ — это количество различных значений времени, запрашиваемых у подписывающего оракула. Таким образом, $q'=q$ только в том случае, если злоумышленник никогда не повторяет значение времени в подписывающем запросе, а в противном случае $q'\le q$. Если запрос подписи не является *первым*, использующим определенное значение времени, то он не может быть меткой подделки. Так как $q'\le q$, то и $1/q' \ge 1/q$. Может быть, именно это они имеют в виду, говоря «вероятность не менее $1/q$»?
phi.nm avatar
флаг vn
Хорошо, да - это то, что я пытался сказать своим объяснением "пула меток" :-) И $P(\text{Челленджер угадывает правильную метку}) = P(\text{не прервано и угадывает правильную метку}) $, потому что аборт происходит только тогда, когда метка угадывается неправильно, так что это одно и то же событие. Правильно?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.