Điểm:3

Các cuộc tấn công đa mục tiêu của khóa công khai ECC

lá cờ ng

Hãy tưởng tượng một tình huống có nhiều khóa công khai có giá trị cao xung quanh, sử dụng cùng một nhóm Đường cong Elliptic, giả sử $k$ trong hàng triệu khóa công khai¹. Liệu kẻ thù có thể tìm thấy một trong những khóa riêng phù hợp với chi phí thấp hơn nhiều so với việc tìm khóa riêng cho một khóa cụ thể không?

Phương pháp khả thi nhất² là gì? Chi phí của nó là bao nhiêu so với phương pháp khả thi được biết đến nhiều nhất cho một khóa (tôi tin rằng, phân phối rho của Polard với các điểm phân biệt), như một chức năng của $k$ và có lẽ thứ tự nhóm Elliptic Curve $n$?


¹ Hãy tưởng tượng Bitcoin với sec224k1và ponzi tương ứng có giá trị thị trường tương tự.

² Giả sử các công nghệ hiện có đã biết, bao gồm siêu máy tính, GPU, FPGA, ASIC, nhưng không phải máy tính lượng tử có thể sử dụng để phân tích mật mã.

SAI Peregrinus avatar
lá cờ si
Tôi biết Kuhn và Struik [đã được chứng minh vào năm 2001](https://tik-db.ee.ethz.ch/file/24d4a86d39ea8fae126fc84b69885ba7/sac01.pdf) (phần 4) rằng phương pháp rho của Pollard có thể tính $k$ nhật ký rời rạc trong $ \sqrt k$ thời gian. Lần đầu tiên chiếm toàn bộ thời gian dự kiến, lần thứ hai ít hơn, lần tiếp theo thậm chí còn ít hơn, v.v.
SAI Peregrinus avatar
lá cờ si
Vấn đề với điều đó là từ năm 2001. Tôi hy vọng sẽ có nghiên cứu mới hoặc các cuộc tấn công mới có thể rẻ hơn. Vì vậy, tôi thực sự không muốn trả lời nó chỉ với điều đó, vì nó là một bài báo 20 năm tuổi. Tôi chỉ nhớ rằng nó được trích dẫn trong phần "Logarit rời rạc hàng loạt" của bài báo Curve25519 của Bernstein và tra cứu nó. Chắc chắn đó là một giới hạn trên về độ khó.
lá cờ pe
Điều này về cơ bản giống như [câu trả lời này](https://crypto.stackexchange.com/a/25849/592)
fgrieu avatar
lá cờ ng
@Samuel Neves: cảm ơn vì đã chỉ ra [điều đó](https://crypto.stackexchange.com/a/25849/592). Có thể không hoàn toàn giống nhau: tính toán trước không giống như đa mục tiêu, bởi vì (các) mục tiêu không được biết khi bắt đầu tính toán trước. Ít nhất là trong RSA, điều đó tạo ra sự khác biệt đáng kể: Tôi biết không có cuộc tấn công tính toán trước nào đối với các mô-đun RSA, nhưng có một số cuộc tấn công đa mục tiêu (hữu ích ở ranh giới), như p-1 của Pollard.
lá cờ pe
Không có tính toán trước liên quan ở đó; "tính toán trước" thực sự chỉ là giải quyết mục tiêu đầu tiên (hoặc mục tiêu giả, nếu một người khăng khăng đòi tính toán trước).
fgrieu avatar
lá cờ ng
@SamuelNeves: \[Đã cập nhật: theo nhận xét tiếp theo, giờ tôi hiểu bạn và [câu trả lời hiện tại của bạn](https://crypto.stackexchange.com/a/25849/592) giải quyết được câu hỏi\]. Tôi không hiểu bạn. Bạn có nói rằng việc tìm tất cả các khóa riêng cũng khó như tìm một khóa không? Tôi đã sẵn sàng để tin điều đó, nhưng làm thế nào?
lá cờ pe
Không; việc tìm kiếm tất cả $k$ khóa riêng tốn $O(\sqrt{kn})$, tức là bạn tiết kiệm được một hệ số $\sqrt{k}$ so với việc giải quyết từng nhật ký một cách riêng biệt. Điều này đã được chứng minh rõ ràng bởi [Yun](https://eprint.iacr.org/2014/637), nhưng đã là cái giá phải trả cho cuộc tấn công tốt nhất kể từ năm 1997 trở đi (Silverman).
Điểm:2
lá cờ my

Liệu kẻ thù có thể tìm thấy một trong những khóa riêng phù hợp với chi phí thấp hơn nhiều so với việc tìm khóa riêng cho một khóa cụ thể không?

Không, và điều đó có thể chứng minh được (và không phụ thuộc vào công nghệ được sử dụng)

Giả sử rằng chúng ta có một hộp đen có thể lấy $k$ khóa công khai khác nhau $a_1G, a_2G, ..., a_kG$, và phục hồi $a_iG$ (đối với một số $i$) Trong $o(\sqrt{n})$ thời gian.

Sau đó, đây là cách chúng ta có thể sử dụng hộp đen đó, được cung cấp một khóa công khai $aG$, khôi phục khóa riêng $a$ Trong $o(\sqrt{n})$ thời gian. Chúng tôi sẽ:

  • Lựa chọn $k$ giá trị ngẫu nhiên $r_1, r_2, ..., r_k$, và tính trình tự $r_1(aG), r_2(aG), ..., r_k(aG)$, mà (bằng cách xác định $b_i = r_i a$) có thể xem như $b_1G, b_2G, ..., b_kG$

  • Đưa ra trình tự $b_1G, b_2G, ..., b_kG$, sẽ phục hồi $b_i$

  • chúng tôi tính toán $a = r_i^{-1}b_i$, và do đó khôi phục khóa.

Các bước ngoài việc gọi hộp đen thực hiện $O(k)$ thời gian, có thể bỏ qua đối với kích thước hợp lý $k$.

Lưu ý rằng trình tự $b_1G, b_2G, ..., b_kG$ được phân phối đồng đều và do đó, ngay cả khi hộp đen là xác suất, thì nó vẫn cho phép chúng tôi khôi phục khóa chung.

fgrieu avatar
lá cờ ng
Đó là một biến thể của thứ mà bạn đã nói với tôi, và hãy chú ý!

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.