Я думаю, что один из них связан с многоцелевыми атаками, а другой связан с атаками столкновений. Но я не могу найти, как криптография на основе хэша связана с хеш-коллизиями.
1-) Рассмотрим следующую схему Лампорта для одноразового размера.
- Предположим, что 128-битная хеш-функция $Ч$ используется
- Случайный выбор $p_i$ и $r_i$ за $1\leq я \leq 128$
- $SK=\{(p_i,r_i)\}_i$ является секретным ключом и $PK=\{(H(p_i),H(r_i))\}_i$ является открытым ключом.
- Для сообщения $ млн $, берем хэш $ч=Н(М)$. Позволять $h=h_1h_2\cdots h_{128}$
- Для подписания $ млн $, мы публикуем $p_i$ если $h_i=0$ и $r_i$ если $h_i=1$ для каждого $я$.
Как противник может применить $2^{64}$-стоимость атаки?
Какова безопасность этой схемы? (думаю 120-битный, т.к. применяется многоцелевой т.е. достаточно найти хотя бы один из $p_i,r_i$с. Случайное предположение имеет вероятность $\фракция{256}{2^{128}}$)
2-) Рассмотрим исходное дерево Меркла с $2^{10}$ Однократные подписи Lamport без битовых масок с хеш-функцией $Ч$ использован выше. Какова безопасность этой схемы? (Как и выше, у нас есть 120-битная безопасность после $2^т$ подписи, потому что $\frac{256\cdot 2^t}{2^{128}}$)
Я думаю, что если мы используем здесь хэш с ключом ИЛИ битовые маски, безопасность этой схемы будет 128-битной. Так зачем нам оба?
ИЛИ, какова безопасность SPHINCS+ без ключевого хэша или битовых масок?
