Можно ли доказать, что два приватных ключа связаны?

Greendrake

11.05.2023, 00:45

Скажем, у Алисы есть две пары ключей: ($Pub_1$, $Priv_1$) и ($Pub_2$, $Priv_2$).

Пара ($Pub_1$, $Priv_1$) довольно обыденно.

$Priv_2$ был намеренно создан Алисой путем объединения $Priv_1$ и слово "банан" (а потом она вывела $Pub_2$ снаружи $Priv_2$ обычным способом).

Боб знает открытые ключи.

В Любые алгоритм с асимметричным ключом, может ли Алиса доказать, что $Priv_2$ = $Priv_1$ + "банан"? без раскрытия закрытых ключей?

605

0 + 0

доказательства с нулевым разглашением

kelalaka

11.05.2023, 06:18

Apple сделала это для диверсификации и анонимности как [двойная диверсификация] (https://crypto.stackexchange.com/q/86073/18298).

Ответить

Greendrake

11.05.2023, 23:25

@knaccc Проблема описана [здесь] (https://greendrake.info/publications/trusted-anon-identity). Вы очень можете прокомментировать это и внести предложения.

Ответить

Рейтинг:3

Crypto

knaccc

11.05.2023, 02:37

Допустим, вы используете Curve25519, которая имеет известную точку генератора $G$ который образует циклическую группу размера $\ell$. Действительные скаляры (закрытые ключи) обычно выражаются в виде 32-байтовых последовательностей без знака с прямым порядком байтов.

Байты ASCII $\texttt{банан}$ интерпретируется как число с прямым порядком байтов $107126708920674$.

Если вы добавите байты ASCII $\texttt{банан}$ к 32-байтовому (256-битному) закрытому ключу с обратным порядком байтов, то, что вы математически делаете, это добавляете $х$ куда $x = 107126708920674 \cdot 2^{256}$. Поскольку этот закрытый ключ будет превышать размер группы $\ell$, библиотека эллиптических кривых примет его как закрытый ключ только после того, как он будет уменьшен. $mod\ell$.

Поэтому конкатенация с $\texttt{банан}$ значит у тебя есть $priv_2 = priv_1 + x\ mod\ell$.

Любой может легко заметить, что $pub_2 == pub_1 + x \cdotG$, что могло бы произойти только в том случае, если бы вы добавили $х$ к $priv_1$, или добавил $x + n \cdot \ell$ для некоторого значения $n$.

0 + 0

kelalaka

11.05.2023, 08:29

Во-первых, слово не является хорошим рандомизатором. 2. Поскольку ECDSA не хеширует закрытый ключ, как EdDSA, Алиса может создать подпись с другим ключом, используя только слово банан (требуется реальная проверка, кроме моего разума). Большой угрозы я не увидел, однако следует быть очень осторожным при использовании этого простого соотношения.С другой стороны, Twin Diversify обеспечивает лучшие отношения...

Ответить

Admin

Этот вопрос на других языках:

EN: It is possible to prove that two private keys are related?

TH: เป็นไปได้ไหมที่จะพิสูจน์ว่าคีย์ส่วนตัวสองคีย์เกี่ยวข้องกัน?

RO: Este posibil să demonstrăm că două chei private sunt legate?

RU: Можно ли доказать, что два приватных ключа связаны?

VI: Có thể chứng minh rằng hai khóa riêng có liên quan?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.