Регистрация Войти
Рейтинг:0
J. Doe avatar Crypto

Есть ли склеп.методы $f,g,h$, которые коммутируют, и найти $x$ для заданного $c=f^ig^jh^k(x)$ сложнее, чем $O(i+j+k)$, но только с $

флаг at
J. Doe

Существуют ли какие-либо криптографические методы $ф,г,ч$ которые могут быть применены в любом порядке к входу $х$ при этом все равно приводя к тому же результату $г$: $$f(g(h(x)))=h(g(f(x)))=ghf(x)=fhg(x)=hfg(x)=gfh(x) = r$$

То же самое для их обратной функции: $$f^{-1}(g^{-1}(h^{-1}(r)))=h^{-1}(g^{-1}(f^{-1}(r )))=g^{-1}(h^{-1}(f^{-1}(r))) =...= x$$

Если сейчас $ф,г,ч,$ применены $i,j,k$-раз на вход $х$ поиск/вычисление $х$ для данного $с$ $$c=f^i(g^j(h^k(x)))$$ должно быть максимально жестким и при этом занимать более $O(|i|+|j|+|k|)$ шаги.
Кроме того, методы $ф,г,ч$ сохраняют формат: $X \mapsto X$, так что каждый выход может служить новым входом.
Количество различных значений $|Х|$ должен быть как можно меньше, сохраняя при этом адекватную безопасность.
Максимальный размер должен быть: $$|Х| < 2^{256}$$

Дальнейшие узлы:
Вычисления $ф,г,ч$ и их обратные должны занимать одинаковое время для каждого входа (независимо от $i,j,k$).

более того $ф,г,ч$ нужно создать цикл вроде $f(f(....f(x)...)) = x$ с размером $F,G,H$ с $F\приблизительно G \приблизительно H \gg 1$

И случайный $х$ может быть сгенерирован без знания секретного параметра из $ф,г,ч$ (противник имеет доступ к работающему коду).

Цель: Даны два случайных $x_1,x_2$ с $x_2=f^ig^jh^k(x_1)$ вычисление/нахождение $i,j,k$ должно быть как можно сложнее, а количество различных $х$ должно быть как можно меньше.
Не предпочтительнее, но некоторые комбинации $x_1,x_2$ может не иметь никакого $i,j,k$, методы $f,g,h: X_d \mapsto X_d$ с $d<\ок. 10$

Целевая безопасность $\приблизительно 2^{100}$ шагов (= количество вычислений $ф,г$ или же $ч$ (или эквивалент)) необходимо.
С совершенным $ф,г,ч$ (если они существуют) нужно только $|Х| \приблизительно 2^{150}$ (например, пересечение линии $f^l(x_1)$ с поверхностью $g^mh^n(x_2)$)
(У противника нет квантового компьютера)

Связанный вопрос: Если мы игнорируем максимальный размер домена $|Х|<2^{256}$ ответ моего очень похожий вопрос приводит к большому $|Х|$ избежать факторизации. Я ищу как можно меньше $|Х|$.

47
0 + 0
kodlu avatar
флаг sa
kodlu
некоторые скобки отсутствуют в первом наборе композиций
0
Ответить
J. Doe avatar
флаг at
J. Doe
@kodlu ты имеешь в виду «ghf (x)»? Я оставил их для лучшего обзора. Если они коммутируют друг с другом, это не должно иметь никакого значения. Или же?
0
Ответить
Рейтинг:1
poncho avatar Crypto
флаг my
poncho

Вот идея, которая, казалось бы, отвечает всем вашим заявленным требованиям. Теперь он не соответствует другим разумным криптографическим требованиям; однако вы никогда не просили их.

Вот идея: мы работаем в группе эллиптической кривой соответствующего размера (скажем, P224) с размером группы $q$ (что является простым) и выберите три генератора $Ф, Г, Н$ (с неизвестными отношениями; возможно, сгенерировано с использованием метода Hash2Curve); и:

$$f(X) = F + X$$

$$g(X) = G + X$$

$$h(X) = H + X$$

Очевидно, что эти операции коммутируют, и мы имеем $f^i(g^j(h^k(X))) = iF + jG + kH + X$.

Прохождение ваших требований:

Если сейчас $ф,г,ч$, применены $i,j,k$-раз на вход $х$ поиск/вычисление $х$ для данного $ c = f ^ i (g ^ j (h ^ k (x))) $ должно быть максимально жестким и при этом занимать более $O(|i|+|j|+|k|)$ шаги.

Я предполагаю, что в этом требовании злоумышленник не знает значения $я, дж,к$ (он знает относительный диапазон). В этом случае лучший поиск, который я могу найти, чтобы проверить значение $с$ берет $O( \sqrt{i \cdot j \cdot k } )$ время (при условии $i \cdot j \cdot k < q$, очевидно); это больше, чем $О(я + j + к)$. Этот поиск осуществляется с помощью $0F, 1F, ..., iF$, $0G, 1G, ..., jG$, $0H, 1H, ..., кГ$, разделив их на два списка, где сумма любых трех элементов в трех списках может быть выражена как сумма двух элементов в списке, а затем применив алгоритм стиля «большой шаг/маленький шаг».

Кроме того, методы $ф,г,ч$ сохраняют формат: $X \стрелка вправо X$, так что каждый выход может служить новым входом.

Пока ты в порядке с $Х$ будучи набором точек эллиптической кривой, мы хорошо здесь.

Максимальный размер должен быть: $|Х|<2^{256}$

С Р-224 это правда.

Вычисления $ф,г,ч$ и их обратные должны занимать одинаковое время для каждого входа (независимо от $i,j,k$).

нам здесь хорошо

более того $ф,г,ч$ нужно создать цикл вроде $f(f(....f(x)...))=x$ с размером $F,G,H$ с $F \приблизительно G \приблизительно H \gg 1$

Истинный; $ф, г, ч$ у всех порядок $q$, что намного больше 1

Вы можете легко выбрать диапазоны для $я, дж,к$ чтобы целевая безопасность была соблюдена.

Единственное, чего эта идея не дает, это то, что, учитывая $с, х$ с $ c = f ^ i (g ^ j (h ^ k (x))) $, вычислить несложно $c' = f^i(g^j(h^k(x')))$. Однако вы никогда не просили, чтобы это было тяжело...

0 + 0
dave_thompson_085 avatar
флаг cn
dave_thompson_085
ITYM f,g,h ездить на работу, а не совершать.
1
Ответить
J. Doe avatar
флаг at
J. Doe
Да, вы правы, это не то, что я на самом деле ищу, но это ответ на письменный вопрос, а также уже возможный запасной план, если я не найду ничего лучше. Я должен был добавить, что последовательности $f,g,h$, которые генерируются, содержат разные значения, или они могут генерировать больше разных значений вместе, чем по отдельности, или произведение их индивидуального размера последовательности должно быть близко к $|X|$. Или, по крайней мере, в лучшем случае они это делают. Трудно включить все, не написав роман, который никто не читает. Так что спасибо за ответ еще раз.
0
Ответить
J. Doe avatar
флаг at
J. Doe
«Пока вы согласны с тем, что $X$ является набором точек эллиптической кривой, у нас все хорошо» -> Меня устраивает все, что может быть сгенерировано случайным образом без знания секретного параметра. Также хорошо, если какой-то член $X$ не может быть сгенерирован случайным образом. ### 'Теперь, одна вещь, которую эта идея не обеспечивает, это то, что, учитывая $c$,$x$ с[..] -> Это не проблема, $i,j,k$ будут разными (почти) каждый раз . $c$ и $x$ выбираются случайным образом, и соответствующие $i,j,k$ должны быть неизвестны/трудно вычислить.
0
Ответить
J. Doe avatar
флаг at
J. Doe
Не могли бы вы вкратце объяснить, почему это $O(\sqrt{i\cdot j \cdot k})$, пожалуйста. Хотя это $O(\sqrt{q})$ (и если предположить, что $q\equiv |X|$ и $f,g,h$ *не* генерируют одни и те же значения (и не могут быть переданы в друг друга, поэтому лучший вариант использования (насколько я знаю))) это будет $O(|X|^\frac{2}{3})$)
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.