Рейтинг:3

Какой стандарт короткой подписи?

флаг ng

В некоторых приложениях, таких как QR-коды, экономия 25 байтов из 100 делает разницу в удобстве использования.

Какой выбор есть для схемы подписи с (сначала самые важные критерии)

  1. Как можно меньше размер подписи (для подписи с приложением) или как можно меньше добавленного размера (измеряется как 40-байтовое произвольное сообщение для схемы подписи с восстановлением сообщения, но я бы предпочел их избегать), при предполагаемом 128-битном уровне безопасности (попытка взломать сопоставимо с поиском по ключу AES-128) Криптографически значимые квантовые компьютеры.
  2. Стандартизированы или проверены ИСО, МЭК, ЕТСИ, ANSI, СКРИПТ, НИСТ, АНСИ, БСИ, SECG, CFRGкакой-нибудь национальный стандарт или орган, unamit… или даже активный IETF RFC или разумный консенсус криптоэкспертов.
  3. Не обременено патентом или больше не обременено патентом.
  4. Не слишком ресурсоемкий для проверки (возможно, использовать ДСА-3072-256 в качестве предела).

Пока я вижу:

  • Множество прекрасных 64-байтных схем: Эд25519 вариации в RFC8032 и так далее FIPS 186-5, ЭЦДСА или EC-SDSA-opt (EC-Шнорр) из ИСО/МЭК 14888-3 с секп256р1, ДСА-3072-256.
  • Одна 48-байтовая схема: BLS12-381 (Бони-Линн-Шахам), скорее не проверенный властями, таким образом, AFAIK терпит неудачу [2] (я считаю, что это было предложено только ненумерованным просроченным проект RFC), и как сообщается провал [4].
  • Несколько 48-байтных схем с восстановлением сообщений (таким образом, более сложные в использовании/менее желательные), в том числе ECAO (Абэ-Окамото) из ИСО/МЭК 9796-3 (который не используется нигде, насколько мне известно), ECPVS (Пинстов-Вэнстон) из АНСИ Х9.92-1 (который я считаю несостоятельным [3], пока не будет показано обратное).

Заметно отсутствует короткая подпись Шнорра (на эллиптической кривой или группе Шнорра), что было бы около 48 байт, но AFAIK терпит неудачу [2]. Возможно, он не был стандартизирован, потому что имеет несколько тревожные характеристики безопасности:

  • Лучшая атака грубой силы только на хеш (например, с помощью ASIC, как при майнинге биткойнов) достигается с вероятностью $1/n$ подписанное сообщение практического содержания по себестоимости $2^{128}/n$ хэши и один просто известен пара сообщение/подпись по сравнению со стоимостью $\кв.п$ раз выше и один запрос подписи с выбранный сообщение для 64-байтных конкурентов.
  • Владелец закрытого ключа может генерировать пары сообщений с разным и практичным содержанием, но с одной и той же подписью, используя примерно $2^{66}$ хеши.

¹ Я думаю, что люди струхнули после Расширенное сито поля номера башни подстрекают к пересматривать вниз более ранние оценки безопасности удобных для сопряжения кривых, которые ранее считались безопасными, и изменить некоторые развернутые схемы. Тема имеет вырос так сложный Я не могу следовать, но из того, что кажется одностраничное резюме по последним оценкам, для 128-битной безопасности BLS12-381 в лучшем случае не имеет большого запаса, а BN254 кажется подверженным риску, по крайней мере, в некоторых приложениях (я не знаю для подписи BLS).

Gilles 'SO- stop being evil' avatar
флаг cn
«Владелец закрытого ключа может генерировать пары сообщений с разным и практичным содержанием, но с одной и той же подписью». Во многих приложениях это не проблема.В конце концов, мы обычно используем схемы MAC и AEAD, где владелец секретного ключа может создавать коллизии с незначительной стоимостью. Подлинность не гарантирует целостности в целом.
fgrieu avatar
флаг ng
@ Жиль «ТАК - перестань быть злым»: согласен, ни одна из двух слегка тревожных характеристик безопасности, которые я привожу для краткости (EC-) Schnorr, не является демонстрацией. В частности, они не нарушают (s)EUF-CMA. Я ссылался на это как на возможные причины, по которым короткий (EC-) Schnorr не стандартизирован, тогда как EC-Schnorr стандартизирован. [обновление: я уточнил это в вопросе]
флаг kr
Я не знаю о попытках стандартизации, но, рискуя показаться немного безрассудным, я бы не стал сбрасывать со счетов подписи BLS на BN254 для приложений такого типа. Размер подписи составляет всего 32 байта, скорость значительно лучше, чем BLS12-381, и, несмотря на exTNFS, я не удивлюсь, если можно будет доказать, что уровень безопасности аналогичен AES, если правильно учесть все затраты на атаки ( включая доступ к памяти, скажем).
fgrieu avatar
флаг ng
@Mehdi Tibouchi: вы говорите, что причины, связанные с exTNFS, BN254 был понижен в должности в пользу BLS12-381 в некоторых приложениях [см. новое примечание ¹ в вопросе для ссылок] не наносят вреда ниже уровня AES-128 в целом, или что они не делают в подписи BLS в частности? В любом случае мне интересно, почему кривая Баррето-Нэрига не рассматривается в [проекте RFC] (https://tools.ietf.org/pdf/draft-irtf-cfrg-bls-signature-04.pdf) для подписи BLS. . Я признаю, что обоснование выбора удобных для сопряжения кривых летает высоко над моей головой и пугает меня!
флаг kr
@fgrieu Если можно вычислить дискретные журналы, можно напрямую восстановить секретный ключ в схеме подписи BLS, поэтому в этом параметре нет ничего особенного, что делает его особенно устойчивым к exTNFS. Проблема больше в том, что на самом деле означает «128-битная безопасность». В документе, который вы упоминаете в своей заметке, стоимость взлома BN254 с помощью STNFS оценивается примерно в 2 ^ 105 или около того. Однако это означает 2^105 вычислительных шагов, каждый из которых *значительно* дороже, чем одна оценка AES. Атака также требует огромных объемов памяти и связи между вычислительными узлами. Так что я чувствую ¦
флаг kr
…достаточно уверенно заявляя, что 105-битная безопасность TNFS выше, чем 128-битная безопасность AES, при разумной оценке этих двух затрат.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.