Điểm:1

Crypto

Xác suất thành công của đối thủ được tính toán như thế nào trong bài báo năm 2002 này của Dodis, Katz, Xu, Yung về các sơ đồ chữ ký cách điện bằng khóa?

phi.nm

21:24, 20/12/2022

Trong cái này giấy ("Strong keycách điện chữ ký lược đồ" của Dodis, Katz, Xu, Yung (2002)), tôi hiểu hầu hết các bằng chứng cho Bổ đề 1 (trang 9); Mặc dù vậy, tôi đấu tranh với cách tính toán một số xác suất.

Tôi nghĩ không cần phải đọc báo, tất cả những gì bạn cần là như sau:

Bối cảnh

đối thủ $A$ chương trình phá vỡ ("mới") $\Pi$
người thách thức $A'$ muốn phá vỡ kế hoạch cơ bản $\Theta$ sử dụng $A$
Nhà tiên tri ký nhận đầu vào là một thông báo và một khoảng thời gian $i$
Các số lượng truy vấn tối đa để ký oracle là $q(k)$

Phần khó hiểu:

Tại một số điểm, thách thức $A'$ rút thăm ngẫu nhiên $r \in \{1,..,q(k)\}$ và sau đó nhìn vào $r^{th}$ ký truy vấn đó $A$ làm cho.

Nếu truy vấn này có đầu vào là khoảng thời gian đã được sử dụng trong truy vấn ký trước đó, thì hãy hủy thử nghiệm.
Nếu đây là lần đầu tiên khoảng thời gian này (ký hiệu là $i^*$) được truy vấn, hãy tiếp tục.
Nếu $A$ bất kỳ lúc nào truy vấn hoặc đã truy vấn nhà tiên tri "tiếp xúc chính" trong khoảng thời gian $i^*$, cũng hủy bỏ (lộ khóa = tiết lộ khóa bí mật cho khoảng thời gian được truy vấn).

Đến cuối cùng, $A$ giả mạo chữ ký trong một khoảng thời gian $i$. (Thích nghi, tôi nghĩ, Vì thế $i$ không cố định ngay từ đầu nhưng A chọn nó ở cuối.)

Sau đó, tờ báo nói:

Với xác suất ít nhất $1/q(k)$, thử nghiệm không bị hủy bỏ và $i^â = i$ [..].

tôi đoán

$P(\text{thử nghiệm chưa bị hủy } \wedge\, i^â = i) =\ P(\text{period }i^* \text{không được truy vấn trước } r^{th} \text{truy vấn ký } \wedge\, \text{không có truy vấn hiển thị phím nào cho }i^* \wedge\, i^ â = i )$

Gì bây giờ? Tôi không thấy làm thế nào tính toán điều này có thể rõ ràng như vậy; Tôi có thể nghĩ ra rất nhiều câu hỏi:

Có phải những sự kiện đó đều độc lập và do đó $P(\text{period }i^* \text{không được truy vấn trước } r^{th} \text{truy vấn ký } \wedge\, \text{không có truy vấn hiển thị phím nào cho }i^* \wedge\, i ^â = i ) = P(\text{period }i^* \text{không được truy vấn trước } r^{th} \text{truy vấn ký })*P(\text{không có truy vấn hiển thị phím nào cho }i ^*)*P( i^â = i )?$
Là $P( i^â = i )=1/q(k)$ hoặc là xác suất cao hơn mà đối thủ chọn một $i$ đối với sự giả mạo mà họ biết điều gì đó (= mà họ đã truy vấn trước đó)? Hay chúng ta cho rằng $A$truy vấn của là ngẫu nhiên? Tại sao chúng ta lại giả định như vậy?
Là $P(\text{period }i^* \text{chưa truy vấn trước } r^{th} \text{truy vấn ký })$ giống nhau cho tất cả $r$ hoặc là nó cao hơn cho nhỏ $r$ (="truy vấn sớm")? Nó có phụ thuộc vào việc $P( i^â = i )$?

Tôi thực sự bối rối khi xác suất này được đưa ra mà không cần giải thích thêm, tôi phải thiếu một cái gì đó cơ bản. Bạn có thể giúp?

1 + 0

an ninh có thể chứng minh được

xác suất

Điểm:1

Crypto

Mikero

07:07, 21/12/2022

kẻ thù $A$ kế hoạch phá vỡ $\Pi$ bằng cách tạo ra một số loại giả mạo. Mỗi giả mạo có thể được gán một số nhãn $i$. nhãn này $i$ được chọn bởi đối thủ, nhưng chỉ có một số đa thức các lựa chọn cho $i$.

Thuật toán rút gọn có thể thiết lập mọi thứ giống như thế giới mà $A$ mong đợi. Ngoài ra, thuật toán giảm có thể thiết lập mọi thứ với một cụ thể $i^*$ trong tâm trí, để nếu đối thủ tạo ra một giả mạo có nhãn tình cờ là $i^*$, thì thuật toán rút gọn có thể phá vỡ sơ đồ thành công $\Theta$. Điều quan trọng, và đây có thể là điều bạn đang thiếu, $A$quan điểm của mọi thứ là độc lập với $i^*$. Nói cách khác, bất kể điều gì cụ thể $i^*$ trong tâm trí, nó luôn tạo ra một mô phỏng hoàn toàn trung thực về thế giới $A$ mong đợi.

Thuật toán rút gọn nên chọn như thế nào $i^*$? Nó không thể dự đoán trước sự giả mạo của kẻ thù sẽ mang nhãn hiệu gì. Vì vậy, thay vào đó nó sẽ chọn $i^*$ ngẫu nhiên đều từ trong số nhiều lựa chọn đa thức.

Tại sao điều này làm việc? Cuối cùng, kẻ thù đưa ra một giả mạo và giả mạo có một số nhãn hiệu $i$. Nếu toàn bộ quan điểm của đối thủ độc lập với sự lựa chọn của $i^*$, thì sự lựa chọn của đối phương $i$ không phụ thuộc vào sự lựa chọn của $i^*$. Từ $i^*$ phân bố đều và không phụ thuộc vào $i$, chúng ta có thể nói về điều đó $\Pr[i=i^*] = \frac{1}{\mbox{# lựa chọn}}$.

Trong cài đặt của bạn, "nhãn" $i$ của một sự giả mạo là (dường như -- Tôi đã làm theo hướng dẫn của bạn để không thực sự đọc bài báo) chỉ mục của truy vấn tiên tri ký đầu tiên được thực hiện bằng cách sử dụng khoảng thời gian có tên trong sự giả mạo. Nếu thuật toán rút gọn có thể dự đoán truy vấn tiên tri ký nào sẽ là truy vấn đầu tiên được thực hiện trong khoảng thời gian giả mạo của đối thủ, thì nó sẽ thực hiện điều gì đó đặc biệt để đáp lại truy vấn đó (nhúng một số thông tin sẽ giúp nó phá vỡ $\Theta$). Tất nhiên nó không thể dự đoán thuộc tính giả mạo này, vì vậy nó đoán. Chúng là duy nhất $q(k)$ khả năng nhận dạng của truy vấn "đặc biệt" này.

Trong bối cảnh của bạn, cũng có một số trường hợp hủy bỏ đang diễn ra, nhưng điều này làm xao nhãng câu hỏi xác suất thực. Điều gì đang thực sự xảy ra là thế này: Việc giảm chỉ thành công trong việc phá vỡ $\Theta$ khi nó đoán $i^*$ bằng nhãn $i$ của $A$là giả mạo. Các tác giả ở đây đang nói rằng việc giảm thiểu cũng có thể từ bỏ (tức là hủy bỏ) khi thấy rằng dự đoán của nó sẽ sai. Sẽ ổn thôi nếu họ viết thuật toán rút gọn để không bao giờ hủy bỏ, và thay vào đó chỉ tạo ra một cú "đâm trong bóng tối" mù quáng khi phá vỡ $\Theta$ trong những trường hợp này.

0 + 5

phi.nm

08:42, 21/12/2022

Được rồi cảm ơn! Tôi nghĩ quan điểm của bạn rằng quan điểm của đối thủ không phụ thuộc vào những gì đối thủ đoán đã mang đến một thông điệp quan trọng: Đối thủ không cố gắng phá hoại đối thủ bởi vì nó không quan tâm đến nền tảng của đối thủ với $\Theta$, mà chỉ quan tâm đến có môi trường phù hợp để giả mạo chữ ký cho $\Pi$. Đúng? Nhưng: Bạn đang nói rằng xác suất phá thai không đóng vai trò gì ở đây? Hay bạn đang nói rằng $P(\text{experiment not aborted } \wedge\, i^* = i)$ hoàn toàn giống với $P(\text{Người thách thức đoán đúng nhãn})=1/q(k )?$

Hồi đáp

phi.nm

10:46, 21/12/2022

Tôi cũng chỉ hiểu rằng câu hỏi thứ hai của tôi ("$A$ có chọn nhãn cho sự giả mạo mà nó biết điều gì đó (= đã được sử dụng trong truy vấn) không?") không áp dụng, bởi vì bằng chứng xem xét hai trường hợp và phần chúng tôi đang xử lý trường hợp "$A$ sử dụng nhãn được truy vấn để giả mạo" - Tôi chỉ không nhận ra điều đó. Điều đó có ảnh hưởng đến xác suất của $i^*=i$ không? Rốt cuộc

Hồi đáp

phi.nm

10:54, 21/12/2022

- xin lỗi , bình luận trước đó tiếp tục - Điều đó có ảnh hưởng đến xác suất của $i^*=i$ không? Xét cho cùng, bằng chứng nói rằng xác suất là "ít nhất $1/q(k)$", không phải "bằng". Suy nghĩ của tôi: Nhóm các nhãn có thể nhỏ hơn (nếu có), nghĩa là xác suất đoán đúng sẽ cao hơn (nếu có). Đúng? Hay lời giải thích của bạn đã bao gồm phần "ít nhất", bởi vì điều đó có liên quan đến việc phá thai?

Hồi đáp

Mikero

16:19, 21/12/2022

Tôi không biết tại sao bằng chứng lại ghi xác suất "ít nhất là $1/q$" thay vì "chính xác là $1/q$." Nhưng tôi có thể thấy rằng bạn có thể khiến xác suất thực tế là $1/q'$, trong đó $q'$ là số lượng giá trị thời gian riêng biệt được truy vấn tới tiên tri ký kết. Vì vậy, $q'=q$ chỉ khi đối thủ không bao giờ lặp lại giá trị thời gian trong truy vấn ký và ngược lại là $q'\le q$. Nếu một truy vấn ký tên không phải là *lần đầu tiên* sử dụng một giá trị thời gian cụ thể thì đó không thể là nhãn giả mạo. Vì $q'\le q$, nên $1/q' \ge 1/q$ cũng vậy. Có lẽ đây là những gì họ nghĩ đến khi nói "xác suất ít nhất là $1/q$"?

Hồi đáp

phi.nm

09:01, 22/12/2022

Ok, vâng - đó là những gì tôi đã cố gắng nói với giải thích về "nhóm nhãn" của mình :-) Và $P(\text{Người thách thức đoán đúng nhãn}) = P(\text{không bị hủy bỏ và đoán đúng nhãn}) $, bởi vì phá thai chỉ xảy ra khi nhãn không được đoán chính xác, vì vậy chúng là cùng một sự kiện. Đúng?

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: How was the adversary's success probability calculated in this 2002 paper by Dodis, Katz, Xu, Yung about key-insulated signature schemes?

TH: ความน่าจะเป็นที่จะสำเร็จของฝ่ายตรงข้ามคำนวณอย่างไรในรายงานปี 2545 นี้โดย Dodis, Katz, Xu, Yung เกี่ยวกับรูปแบบลายเซ็นที่มีการหุ้มฉนวน

RO: Cum a fost calculată probabilitatea de succes a adversarului în această lucrare din 2002 a lui Dodis, Katz, Xu, Yung despre schemele de semnătură izolate cu cheie?

RU: Как была рассчитана вероятность успеха злоумышленника в этой статье 2002 года Додиса, Каца, Сюй, Юнга о схемах подписи с изолированным ключом?

VI: Xác suất thành công của đối thủ được tính toán như thế nào trong bài báo năm 2002 này của Dodis, Katz, Xu, Yung về các sơ đồ chữ ký cách điện bằng khóa?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.