Рейтинг:1

Зачем в SPHINCS+ нужны и битмаски, и ключевой хеш?

флаг va

Я думаю, что один из них связан с многоцелевыми атаками, а другой связан с атаками столкновений. Но я не могу найти, как криптография на основе хэша связана с хеш-коллизиями.

1-) Рассмотрим следующую схему Лампорта для одноразового размера.

  • Предположим, что 128-битная хеш-функция $Ч$ используется
  • Случайный выбор $p_i$ и $r_i$ за $1\leq я \leq 128$
  • $SK=\{(p_i,r_i)\}_i$ является секретным ключом и $PK=\{(H(p_i),H(r_i))\}_i$ является открытым ключом.
  • Для сообщения $ млн $, берем хэш $ч=Н(М)$. Позволять $h=h_1h_2\cdots h_{128}$
  • Для подписания $ млн $, мы публикуем $p_i$ если $h_i=0$ и $r_i$ если $h_i=1$ для каждого $я$.

Как противник может применить $2^{64}$-стоимость атаки?

Какова безопасность этой схемы? (думаю 120-битный, т.к. применяется многоцелевой т.е. достаточно найти хотя бы один из $p_i,r_i$с. Случайное предположение имеет вероятность $\фракция{256}{2^{128}}$)

2-) Рассмотрим исходное дерево Меркла с $2^{10}$ Однократные подписи Lamport без битовых масок с хеш-функцией $Ч$ использован выше. Какова безопасность этой схемы? (Как и выше, у нас есть 120-битная безопасность после $2^т$ подписи, потому что $\frac{256\cdot 2^t}{2^{128}}$)

Я думаю, что если мы используем здесь хэш с ключом ИЛИ битовые маски, безопасность этой схемы будет 128-битной. Так зачем нам оба?

ИЛИ, какова безопасность SPHINCS+ без ключевого хэша или битовых масок?

Рейтинг:2
флаг my

Я думаю, что если мы используем здесь хэш с ключом ИЛИ битовые маски, безопасность этой схемы будет 128-битной. Так зачем нам оба?

На самом деле, нет. Sphincs+ (по крайней мере, версия 3 раунда) имеет два набора наборов параметров: «простой» и «надежный». Простой имеет только «ключевой хэш» (который я буду интерпретировать в структуре адреса, которая включена в каждую оценку PRF, F, H и T; на самом деле это не ключ, поскольку он не является секретным), в то время как надежный имеет как ключевой хеш и битмаски.

Почему это? Это сводится к доказуемым свойствам; Simple имеет 128-битную безопасность (для наборов параметров уровня 1), если предположить, что хеш-функция действует как случайный оракул; для надежности мы получаем этот уровень безопасности при более слабом предположении, что вычисление вторых прообразов хеш-функции занимает $2^{128}$ время.

user avatar
флаг va
Большое спасибо за разъяснения.Я до сих пор не могу найти какие-либо коллизии атак на схемы на основе хэшей. Статья «Цифровые подписи вне второго прообраза Устойчивые хеш-функции» говорится, что «мы предлагаем новую конструкцию для аутентификации Merkle. деревья, которые не требуют устойчивых к коллизиям хеш-функций;". Существуют ли какие-либо схемы, в которых безопасность опирается на устойчивые к коллизиям хеш-функции. Как обстоит дело с моими примерами выше?
user avatar
флаг va
Еще одно интересное предложение из ia.cr/2017/349: «XMSS использует вариант WOTS (WOTS+ [13]), который устраняет необходимость в хэш-функции, устойчивой к коллизиям». Почему безопасность WOTS страдает от коллизий, а WOTS+ нет.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.