Рейтинг:7

Доказательство безопасности короткой подписи Шнорра

флаг st

Я знаю, что это очень специфический вопрос, но я все же надеюсь, что кто-то может мне помочь. Я пытаюсь немного лучше понять безопасность короткой подписи Шнорра. Параметр безопасности $к$. Подпись Шнорра $\сигма = (с,е)$ с $s,e \in \mathbb{Z}_q$ имеет длину подписи $4k$ биты ($s$ и $е$ имеют $2k$ биты, $е$ является хеш-выводом). Короткая подпись Шнорра использует более короткий хеш-выход $к$ битовой длины, так что результирующая подпись имеет длину $3k$ биты. Судя по всему, короткая подпись Шнорра имеет тот же уровень безопасности, что и «обычная» подпись Шнорра. Как указано в доказательствах безопасности на последней странице бумаги «Безопасность подписанного шифрования Эль-Гамаля», Шнорр, Якобссон (стр. 85). Я просто процитирую ту часть, которую я не понимаю, и надеюсь, что кто-нибудь сможет мне это объяснить, и мне не придется давать дополнительный контекст.

... CCA-атакующий не преуспевает лучше, чем с вероятностью $\frac{1}{2}+t^2/q+l(2^{-k}-\frac{1}{q})$, куда $л$ это количество взаимодействия с дешифратором. Это показывает, что случайные хеш-значения могут безопасно перемещаться по набору $\квт д$ ценности.

( $q \приблизительно 2^{2k}$ )

Заранее большое спасибо!

fgrieu avatar
флаг ng
Что удивительно в цитате, так это то, что вызываемый результат (из теоремы 1), «CCA-атака» и «расшифровщик» предназначены для шифрования, а не для подписи. Я признаю, что не вижу в этом смысла. Я понимаю, что $k$ должна быть шириной хеша в короткой подписи Шнорра.
fgrieu avatar
флаг ng
Вопрос об этой конкретной бумаге? Ограничено ли это теоретическим (s) EUF-CMA или учитываются другие аспекты безопасности? Короткая подпись Шнорра имеет ряд пограничных практических проблем, которых нет у обычных Schnorr, EdDSA, (EC)DSA, в том числе: уязвимость ко второй атаке предварительного образа хэша с усилием $2^k$ хэшей (имеется в виду симметричный хеш, асимметричная криптография — практическое слабое место); и что владелец закрытого ключа может создавать пары значимых сообщений с одной и той же подписью по цене около 2 ^ {k/2} $ хэшей (что может быть воспринято как риск отказа / FUD).
флаг us
Что ж, безопасность коротких подписей Шнорра доказана совсем в другой статье — neven.org/papers/schnorr.html. Пожалуйста, изучите это в первую очередь

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.