Рейтинг:1

Каков уровень безопасности XMSS в соответствии с категориями NIST PQC?

флаг cn

В контексте Процесс стандартизации NIST PQC, NIST определил следующие пять категорий безопасности:

  1. Любая атака, нарушающая соответствующее определение безопасности, должна требовать вычислительных ресурсов, сравнимых или превышающих ресурсы, необходимые для поиска ключа в блочном шифре со 128-битным ключом (например, AES128).
  2. Любая атака, нарушающая соответствующее определение безопасности, должна требовать вычислительных ресурсов, сравнимых или превышающих ресурсы, необходимые для поиска коллизий в 256-битной хэш-функции (например, SHA256/SHA3-256).
  3. Любая атака, нарушающая соответствующее определение безопасности, должна требовать вычислительных ресурсов, сравнимых или превышающих ресурсы, необходимые для поиска ключа в блочном шифре со 192-битным ключом (например, AES192).
  4. Любая атака, нарушающая соответствующее определение безопасности, должна требовать вычислительных ресурсов, сравнимых или превышающих ресурсы, необходимые для поиска коллизий в 384-битной хеш-функции (например, SHA384/SHA3-384).
  5. Любая атака, нарушающая соответствующее определение безопасности, должна требовать вычислительных ресурсов, сравнимых или превышающих ресурсы, необходимые для поиска ключа в блочном шифре с 256-битным ключом (например, AES 256).

В какой категории находится XMSS падать при создании экземпляра с помощью SHA256 или SHAKE256?

kelalaka avatar
флаг in
[Безопасность схем HBS с отслеживанием состояния в этой публикации зависит только от безопасности лежащих в их основе хеш-функций — в частности, от невозможности найти прообраз или второй прообраз — и считается, что безопасность хеш-функций не будет быть нарушена развитием крупномасштабных квантовых компьютеров`] (https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-208.pdf)
Рейтинг:3
флаг my

К какой категории относится XMSS при создании с помощью SHA256 или SHAKE256?

Что ж, XMSS так же сильна, как сопротивление второму прообразу базовой хеш-функции — ни с SHA256, ни с SHAKE256 второй прообраз не может быть найден (насколько нам известно, конечно) проще, чем найти AES-256. ключ; следовательно, это уровень NIST 5.

Для наборов параметров, определенных IETF, XMSS использует SHAKE-128 для 256-битных хэшей, что значительно снижает уровень безопасности (если не практически). С другой стороны, все наборы параметров, определенные в NIST SP 800-208, используют SHAKE-256, поэтому применима описанная выше логика.

poncho avatar
флаг my
@kelalaka: я не осознавал, что IETF RFC8391 и NIST SP 800-208 различаются ...
kelalaka avatar
флаг in
Используются ли XMMS в реальной жизни? Вы знаете что-нибудь об этом? Примечание: свойство перестановки было полезно включить в ответ.
poncho avatar
флаг my
@kelalaka: я действительно считаю, что XM*S*S иногда используется для аутентификации обновлений программного обеспечения (что является идеальным вариантом его использования — у нас есть жесткий контроль над подписывающей стороной, нам не нужно подписывать так много раз, и нам все равно, если подписи большие...)
kelalaka avatar
флаг in
Жесткий контроль, не могли бы вы его немного расширить?
poncho avatar
флаг my
@kelalaka: ну, с хэшами с отслеживанием состояния (такими как XMSS) вы должны быть осторожны, запоминая состояние (по сути, сколько подписей вы сгенерировали до сих пор) - если вы подписываете две разные вещи с одним и тем же состоянием, что ж, плохо всякое случается. Централизованный подписывающий для обновлений программного обеспечения, по-видимому, может быть осторожен в этом (и убедиться, что, скажем, резервное копирование и восстановление базы данных не создает резервную копию состояния) — в других сценариях мы не можем утверждать это с такой уверенностью.
kelalaka avatar
флаг in
Ах, я вижу, жесткий контроль за использованием. Спасибо.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.