Рейтинг:1

Небольшой размер открытого ключа или небольшой размер подписи, что предпочтительнее?

флаг tr

Предположим, что две схемы подписи обеспечивают одинаковый уровень безопасности.Сумма размеров открытого ключа и подписи, т. е. sizeof(sig) + sizeof(pk), в обеих схемах одинакова. Одна из схем имеет меньший размер открытого ключа, а другая — меньший размер подписи. Тогда какая схема предпочтительнее на практике? Если это зависит, то в каких сценариях мы предпочитаем меньшие открытые ключи, в каких сценариях мы предпочитаем меньшие подписи?

Вот более конкретный пример. Предположим, мы хотим использовать многостороннюю схему подписи. У нас есть два варианта, оба обеспечивают $256$-битовая безопасность: 1. Схема, где группа $N$ пользователи имеют общий открытый ключ размером $512$ бит и создает подписи размером $512N$ биты; 2. Схема, где группа $N$ пользователи имеют общий открытый ключ размером $512N$ бит и создает подписи размером $512$ биты. У нас нет оптимальной схемы, и мы вынуждены идти на компромисс.

Рейтинг:2
флаг my

Одна из схем имеет меньший размер открытого ключа, а другая — меньший размер подписи. Тогда какая схема предпочтительнее на практике?

Это зависит (очевидно); в некоторых случаях это не имеет значения; в других случаях лучше использовать меньшие подписи; в некоторых неясных ситуациях меньшие открытые ключи могут быть лучше.

Случаи, когда это не имеет значения, это когда открытый ключ и подпись всегда появляются вместе (например, в сертификате); в этом случае оба ваших примера займут $513N$ бит, и поэтому оба они одинаково затратны (с точки зрения пространства, и вы не даете никакого другого способа различить две схемы).

Случаи, когда меньшие подписи лучше, — это когда ограничением является общая пропускная способность, и люди могут кэшировать большой открытый ключ (и поэтому его не нужно передавать). В вашем примере, если каждое устройство может хранить $512N$ открытый ключ, то все, что им нужно для передачи, — это 512-битные подписи, и это значительно дешевле.

Случай, когда меньшие открытые ключи лучше? Что ж, рассмотрим случай, когда устройства ограничены до такой степени, что у них нет места для хранения $512N$ битовый открытый ключ; кроме того, логика проверки подписи способна обрабатывать подпись в секциях [1], так что ей не нужно хранить все сразу. В таком случае передача $512N$ битовые подписи на самом деле работают лучше; общая пропускная способность значительно больше, однако в данном случае это не то ограничение, для которого мы оптимизируем; вместо этого мы оптимизируем возможности наших ограниченных устройств.


[1]: И, если вам интересно, да, такие системы подписей действительно существуют — подписи на основе хэшей — один из примеров.

Рейтинг:0
флаг ng

Как упоминает пончо, это, конечно, зависит от приложения. Для одного из «самых очевидных» приложений (TLS 1.3) У Баса Вестербана из Cloudflare есть хороший пост в блоге. Конечно, вы должны прочитать все это для получения более подробной информации, но вынос из сообщения в блоге

Своевременное внедрение подписей PQ в Интернете было бы здорово. Наши данные на данный момент показывают, что это будет проще всего, если шесть подписей и два открытых ключа поместятся в 9 КБ.

Это означает, что для TLS1.3 «естественная метрика» составляет 6 sizeof(sig) + 2 sizeof(pk), что предполагает, что (для TLS) размер подписи более важен, чем размер открытого ключа.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.