Điểm:3

Làm cách nào để tính n trong bảo mật n-bit của thuật toán mật mã?

lá cờ ng

Tôi nghĩ rằng tôi có thể bỏ lỡ cụm từ này vì tìm kiếm cụm từ này cho kết quả không chính xác lắm. Tôi đang tìm cách tính toán bảo mật n-bit của Paillier so với ElGamal so với EC ElGamal, khi tôi sử dụng khóa x-bit.

Cái này paper tuyên bố rằng "để đạt được mức bảo mật 128-bit, 4096-bit p và 256-bit q thường được sử dụng trong ElGamal, trong khi ở Paillier, kích thước của n thường được chọn là 4096 bit."

Làm cách nào tôi có thể tính toán những giá trị cần thiết cho bảo mật 256-bit? Có phải nó chỉ đơn giản là nhân hai ở đây?

Điểm:5
lá cờ ag

TLDR: Kích thước của nhóm/vòng được quyết định bởi người nhanh nhất hiện được biết đến tấn công (như đã giải thích trong cái này bài Wikipedia).

Chi tiết. Đối với trường hợp rời rạc-đăng nhập $\mathbb{Z}_p^*$ và bao thanh toán $\mathbb{Z}_N^*$, thuật toán nhanh nhất hiện được biết đến là sàng trường số chung (GNFS). GNFS có thời gian chạy (khoảng) $L_n(1/3,2)$, ở đâu $$L_n(\alpha,c):=e^{(c+o_n(1))n^\alpha\ln^{1-\alpha}(n)}$$$L$-ký hiệu$n$ biểu thị độ dài bit của (biểu diễn tiêu chuẩn của) $p$ hoặc $N$ (I E., $\lceil(\log(p)\rceil$$\lceil(\log(N)\rceil$, tương ứng).$^*$ Từ $b$bảo mật -bit đối với một sơ đồ có nghĩa là nó sẽ thực hiện bất kỳ thuật toán nào $2^b$ hoạt động để phá vỡ nó, để tính toán $n$$\mathbb{Z}_p^*$$\mathbb{Z}_N^*$ đạt được $128$bảo mật -bit người ta phải giải quyết $$2^{128}\approx e^{2n^{1/3}\ln^{2/3}(n)}\Leftrightarrow n\ln^2(n)\approx64^3.$$ Điều này sẽ đưa ra một con số về công viên bóng về kích thước của mô đun nên như thế nào - như được tính toán trong cái này câu trả lời này hóa ra là xung quanh $3072$ bit (hoặc $4096$ bit để ở bên an toàn hơn?). Vì chúng ta không biết cách nào tốt hơn để giải quyết DDH/CDH (các bài toán làm cơ sở cho lược đồ kiểu El-Gamal) hơn là tính toán các bản ghi rời rạc, El-Gamal trong (thương số) $\mathbb{Z}_p^*$ cần được triển khai với các số nguyên tố có kích thước $\approx3072/4096$ chút ít.

Tương tự, vì chúng ta không biết cách nào tốt hơn để giải bài toán phần dư bậc hai quyết định Trong $\mathbb{Z}_{N^2}^*$ (vấn đề cơ bản hệ mật mã của Paillier) so với thừa số $N$, bằng lập luận tương tự ở trên, chúng ta cần phải làm việc $N$ kích thước $\khoảng 3072/4096$ chút ít.

Đối với nhật ký rời rạc trong các đường cong elip, tôi tin rằng chúng ta không biết gì tốt hơn các thuật toán nhật ký rời rạc chung (ví dụ: Pollard's rho) chạy theo thời gian căn bậc hai kích thước của nhóm. Vì vậy, đối với $128$-bit bảo mật của EC-El-Gamal, nó đủ để hoạt động với các đường cong elip trên một trường kích thước $2^{256}$. (Điều này cũng có nghĩa là EC-El-Gamal giao tiếp hiệu quả hơn đáng kể so với El-Gamal trong $\mathbb{Z}_p^*$.)

$^*$GNFS ban đầu là một heuristic. Nhưng như được chỉ ra bởi @djao (xem cái này nhận xét), có các biến thể có thể chứng minh được chạy trong $\khoảng L_n(1/3,3)$.

djao avatar
lá cờ cn
Sàng trường số đã được chứng minh là chạy trong thời gian yêu cầu và đặc biệt là (chứng minh) nhanh hơn sàng bậc hai. https://cstheory.stackexchange.com/questions/32508/
ckamath avatar
lá cờ ag
Cảm ơn! Tôi đã không nhận thức được. Sẽ cập nhật câu trả lời.
Điểm:1
lá cờ fr

Bảo mật n-bit của mỗi thuật toán được tính toán thông qua "phương pháp tấn công tốt nhất". Ví dụ: RSA dựa trên bài toán phân tích thừa số và nó có thể được giải quyết bằng thuật toán "Sàng trường số", vì vậy chúng tôi sử dụng "độ phức tạp tính toán" của NFS để xác định mức bảo mật n-bit của RSA. Đối với các hàm băm mật mã, chúng tôi sử dụng "tấn công sinh nhật" để tính toán bảo mật n-bit, v.v.

Điểm:0
lá cờ si

Không có câu trả lời duy nhất, đơn giản. bảo mật n-bit có nghĩa là logarit cơ số 2 (thường được viết chỉ $\log$) về số lượng "hoạt động" cần thiết để phá vỡ nguyên thủy.

Đối với mật mã đối xứng như AES-128, một "thao tác" thường là mã hóa hoặc giải mã thử nghiệm, nhiều hơn một chu kỳ CPU đơn lẻ. AES-128 thường có bảo mật 128-bit vì có $2^{128}$ các phím có thể và không có cuộc tấn công chung nào nhanh hơn là thử tất cả các phím và $\log(2^{128})=128$.

Các hệ thống bất đối xứng như Paillier, ElGamal và EC ElGamal đều có các cuộc tấn công nhanh hơn nhiều so với việc thử tất cả các khóa có thể. Vì vậy, để tính toán "bảo mật đối xứng tương đương" theo bit, bạn cần tính toán chi phí của cuộc tấn công được biết đến nhiều nhất đối với các tham số được sử dụng.

Bạn cũng cần quyết định xem chi phí của một "chiến dịch" trong một cuộc tấn công như vậy có khác biệt đáng kể so với một "chiến dịch" tấn công (các) mật mã đối xứng mà bạn đang so sánh hay không và nếu có, hãy điều chỉnh số lượng hoạt động của bạn một cách thích hợp.Cân nhắc cuối cùng đó là lý do tại sao các hệ thống bất đối xứng như ElGamal sẽ có số bit bảo mật chống lại sự tấn công của các máy tính lượng tử được sửa lỗi cho mục đích chung bằng một nửa so với các máy tính hiện tại.

Tôi không đặc biệt quen thuộc với các cuộc tấn công tối tân chống lại ba hệ thống được đề cập, vì vậy tôi không thể đưa ra con số tuyệt đối. Do đó, đây chỉ là một câu trả lời một phần cho câu hỏi được hỏi.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.