Регистрация Войти
Рейтинг:1
ming alex avatar Crypto

Проблема безопасности схемы фиксации битов, созданной Наором в 1990 г.

флаг in
ming alex

В разделе 3.12 книга Написанное Бонехом и Шоупом, обязательство Bit от безопасных PRG представлено следующим образом:

Боб совершает бит $b_0\in_R\{0,1\}$:

Шаг 1: Алиса выбирает случайный $ г \ в р $ и отправляет $г$ к Бобу.

Шаг 2: Боб выбирает случайный $s\в S$ и вычисляет $c=com(s,r,b_0)$, куда $com(s,r,b_0)$ следующая функция: $c=com(s,r,b_0):=\left\{ \begin{array}{rcl}G(s) & \mbox{if}& b_0=0 \ G(s)\oplus r & \ mbox{if} & b_0=1 \ \end{массив}\right.$, куда $G:S\to R$ является безопасным PRG и $|R|\geq |S|^3$.

Выходы Боба $с$ в качестве строки обязательства и использует $s$ как вступительная строка.

На этапе выявления, при получении $s$ и $b_0$ от Боба, Алиса может проверить, что действительно $c=com(s,r,b_0)$.

Итак, мой вопрос в том, что если мы удалим значение $г$ из вышеприведенной схемы, что означает:

  1. На шаге 1 Алисе не нужно отправлять случайное значение Бобу, что делает схему неинтерактивной.
  2. На шаге 2. если $b_0=1$ затем Боб вычисляет $c=G(s)\oplus k$, куда $k=0...01\in R$ — известная константа и первая $|к|-1$ кусочки $к$ все нулевые.

модифицированная версия по-прежнему безопасна или нет? или, другими словами, может ли Боб обмануть Алису?

53
0 + 0
Рейтинг:2
avatar Crypto
флаг us
Mikero

Вы спрашиваете конкретно о свойстве привязки («может ли Боб обмануть Алису?»). Полезно вспомнить, как связывание доказывается в схеме Наора.

Предположим, что противник создает некоторые обязательства $с$. Если они могут открыть обязательство до 0, тогда должно существовать $s_0$ такой, что $G(s_0) = с$. Если они могут открыть обязательство до 1, тогда должно существовать $s_1$ такой, что $G(s_1) \oplus r = c$. Поэтому, если они могут открыть $с$ к обе значения, то должны существовать $s_0, s_1$ такой, что $G(s_0) \oplus G(s_1) = r$. Если противник может уклоняться, то это отражает что-то смешное о $г$ больше, чем это отражает что-то смешное о $с$.

Если значение $г$ обладает вышеуказанным свойством, назовем его «проблемным». Есть $2^{2\лямбда}$ пары $(s_0,s_1)$, и так максимум $2^{2\лямбда}$ проблемные значения $г$. Если $G$ утраивается по длине, то есть $2^{3\лямбда}$ возможные значения $г$ что Алиса могла выбрать. Итак, когда Алиса выбирает $г$ равномерно, она получает проблемный с незначительной вероятностью $1/2^\лямбда$. И пока она избегает проблемного $г$, обязательство будет абсолютно обязывающим.

Теперь вы предлагаете исправить конкретное $г$, например как $r=0\cdots01$. Вопрос в том, является ли это $г$ может быть проблематично. Может ли существовать $s_0, s_1$ такой, что $G(s_0) \oplus G(s_1) = 0\cdots 01$? Конечно! Просто возьмите свой любимый PRG и две ваши любимые струны. $s_0$ и $s_1$, и переопределить вывод PRG на $s_0$ и $s_1$ иметь указанное выше свойство. Модифицированная функция по-прежнему является PRG, но ваша измененная схема Naor небезопасна с этой PRG (противник может полагаться на $s_0$ и $s_1$ потому что противник может зависеть от выбора PRG, конечно).

Так что нет, схема Наора в целом небезопасна, когда $г$ фиксированный. Для любой $г$ которую вы хотите исправить, я могу создать безопасную PRG, которая делает эту модифицированную схему Наора небезопасной. Для получения дополнительных баллов создайте безопасный PRG $G$ такой, что для каждый возможный выход $G(s)$, Значение $G(s)\oplus 0\cdots01$ также является возможным выходом $G$.

0 + 0
ming alex avatar
флаг in
ming alex
Огромное спасибо за ваш ответ. Вы разрешили многие из моих сомнений относительно доказательства безопасности в статье Наора. Тем не менее, у меня все еще есть две проблемы: первая заключается в том, что если они оба использовали общедоступную защищенную PRG, такую ​​​​как Salsa PRG, я думаю, что найду два разных $s_0,s_1$ s.t. $G(s_0)=G(s_1)\oplus r$, где $r$ — фиксированное и хорошо известное значение, невозможно за полиномиальное время вероятности. Другой вопрос заключается в том, подразумевает ли ваше последнее предложение, что такое измененное обязательство существует с использованием описанной вами защищенной PRG?
0
Ответить
флаг us
Mikero
Если PRG является «естественной» (непатологической) и $r$ выбирается после того, как PRG исправлена, то может быть разумным сделать такое предположение (что трудно найти $s_0$ и $s_1$ с таким свойством). Но это было бы очень нестандартно, особенно если $r$ что-то простое вроде $0\cdots 01$. Мое последнее предложение подразумевает, что существует безопасная PRG, для которой *каждое* честное обязательство Naor (с фиксированным $r=0\cdots01$) может быть легко двусмысленно.
1
Ответить
ming alex avatar
флаг in
ming alex
Хорошо, я понимаю, что вы имеете в виду. Предположение моего предложения слишком сильное, чтобы быть практичным. так что это не общий метод. Еще раз спасибо!
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.