Регистрация Войти
Рейтинг:1
avatar Crypto

Однопроходный EdDSA с защитой от столкновений?

флаг ph
augustus

Есть ли причина, по которой вместо этого не используются устойчивые к коллизиям варианты ed25519, использующие однопроходный режим? Например:

$n = h(одноразовый ключ \| m)$

$h(R \| pub \| n)$ вместо $h(R \| паб \| м)$

или, альтернативно, если мы хотим не изменять сам алгоритм EdDSA и вместо этого реализовать защиту от коллизий поверх него:

Позволять $n'$ быть 256-битным числом, случайно сгенерированным подписывающей стороной:

$sig = n' \| S_{priv}(h(n' \| m))$

В обеих этих схемах (если не ошибаюсь) злоумышленник, который запрашивает сообщение $м$ быть подписанным подписывающей стороной (например, в случае подписи сертификата) не должен иметь возможности обманом заставить подписывающую сторону создать подпись, которую можно использовать с сообщением. $м'$ куда $м \neq м'$ если $ч$ не устойчив к столкновениям.

65
0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.