Điểm:2

Tái sử dụng Poly1305 của r

lá cờ ru

Poly1305 sử dụng $r, r^2, r^3$$r^4$. Tôi hiểu điều này nếu $r$ là một máy phát của trường hữu hạn. Nhưng kể từ khi $r$ có thể là bất kỳ số ngẫu nhiên khác 0 nào, số mũ của nó có được phân phối không đồng đều không? Đó là, ngay cả khi $r$ được chọn ngẫu nhiên thống nhất trên trường, $r^4$ không đồng đều trên sân. Tại sao đây không phải là một điểm yếu?

Lưu ý rằng các bài báo của Bernstein* sử dụng các sơ đồ tương tự cho không tí nào trường hữu hạn, sử dụng tối đa $r^8$, ngụ ý rằng chúng được chấp nhận cho trường hữu hạn bất kỳ.

* Mục 4.2 của https://cr.yp.to/antiforgery/pema-20071022.pdf sử dụng $r$ 8 lần, mỗi lần có số mũ lớn hơn.

Fractalice avatar
lá cờ in
Bạn có ý nghĩa gì khi "lên đến r^8"?
lá cờ ru
@Fractalice Đã chỉnh sửa câu trả lời
Fractalice avatar
lá cờ in
Cảm ơn, tôi đã xem 8 lần nhưng tôi vẫn không thấy "mỗi người có số mũ cao hơn" ở đó.
Điểm:4
lá cờ in

Thật vậy, modulo một số nguyên tố, đã $r^2$ không đồng nhất - chỉ một nửa số giá trị là có thể. Mặc dù các đa thức được tính toán thực sự không tuân theo phân phối đồng đều, nhưng tính không đồng nhất bị giới hạn: mỗi giá trị đầu ra của đa thức có thể có tối đa $L$ tiền hình ảnh (rễ), nơi $L$ là bậc của nó, bằng số khối. Có nghĩa là xác suất có thể tăng từ $1/R$ đến $L/R$, ở đâu $R$ là số tất cả có thể $r$ (đó là $2^{106}$ trong Poly1305). Để có được xác suất thành công không đáng kể, người ta phải cố gắng giả mạo với một số lượng lớn các khối.

Lưu ý rằng đầu ra được che bằng cách thêm AES (không phải). Điều này làm cho việc dự đoán MAC mù quáng trở nên vô dụng. Cuộc tấn công mạnh mẽ nhất ở đây là một nỗ lực giả mạo khác biệt: đưa ra một (tin nhắn, nonce, tag) gấp ba, tạo một bộ ba khác (tin nhắn', nonce, tag'). Cùng loại bỏ nonce AES (không phải) từ việc xem xét sự khác biệt $(thẻ' - thẻ)$. Chúng tôi "chỉ" phải dự đoán poly(tin nhắn') - poly(tin nhắn) bất cứ gì thông điệpthông điệp' của sự lựa chọn của chúng tôi. Điều này khó vì sự khác biệt của các đa thức không bằng nhau vẫn là một đa thức khác không có cùng mức độ hoặc nhỏ hơn và xác suất để đoán đầu ra đúng là nhỏ.

Lý luận này hoạt động cho bất kỳ trường hữu hạn nào.

chỉnh sửa: cảm ơn @poncho vì đã nhận thấy sự nhầm lẫn nguy hiểm giữa xor và phép cộng trên GF(p)

chỉnh sửa: Trong https://cr.yp.to/antiforgery/pema-20071022.pdf , Bernstein lần đầu tiên giới thiệu MAC dựa trên sản phẩm chấm, tức là. $MAC(m) = m_1r_1 + m_2 r_2 + ... + s$. Các $n=8$ cổ phiếu chỉ được chọn để minh họa, vì điều này chỉ cho phép ký các tin nhắn gồm 8 khối. Một lần nữa, điều này chỉ được thực hiện vì lý do giáo dục và để hiển thị các công trình lịch sử "thuần túy". Sau đó trong bài báo, ông thay thế $r_i$ với $r^i$: điều này cho phép tránh việc tạo và lưu trữ giả ngẫu nhiên đầy đủ $r$'S. Tương tự, hoàn toàn ngẫu nhiên $s$ có thể được thay thế bằng e.g. AES (không có).

lá cờ cn
Bạn có thể muốn đi sâu hơn một chút vào phần "bất kỳ trường hữu hạn nào" của câu hỏi.
lá cờ ru
Cảm ơn. Bạn có thể làm rõ toán học một chút? Tôi hiểu ý bạn là: Nếu chúng ta sử dụng 8 giá trị $r$ riêng biệt (như bài báo khác của Bernstein cho thấy), thì bạn sẽ có xác suất đoán được $1/R$ là $a$. Vì chúng tôi chỉ sử dụng một $r$ và sử dụng nó theo cấp số nhân $L = 8$ cách, nên bạn có một thăm dò $L/R$. Tại sao $L$ là số mũ _max_? Tôi mong đợi nó là _sum_ của _all_ số mũ (nghĩa là nếu giá trị tối đa là $r^8$, $L = 15$).
lá cờ ru
"Thật vậy, modulo một số nguyên tố, $r^2$ đã không đồng nhất - chỉ một nửa giá trị là có thể" Điều này có vẻ hợp lý, nhưng tôi không thể chứng minh điều đó. Bạn có thể cho thấy làm thế nào bạn bắt nguồn nó?
poncho avatar
lá cờ my
@SRobertJames: à, trong số các giá trị khác 0, một nửa là các giá trị không dư bậc hai modulo $p = 2^{130}-5$; đó là những giá trị (theo định nghĩa) không thể được biểu diễn dưới dạng $r^2 \bmod p$. Nghĩa là, không thể có giá trị nào $r$ mà $r^2$ là các giá trị đó, và do đó chúng có xác suất xuất hiện bằng 0.
poncho avatar
lá cờ my
"Lưu ý rằng đầu ra bị che (xored) bởi AES(nonce)."; trên thực tế, nó được thêm vào. Một điều mà tôi đã quan sát được một thời gian trước là nếu bạn thay thế phần bổ sung này bằng xor (như bạn đã viết), khả năng giả mạo cao là hoàn toàn có thể xảy ra ...
Fractalice avatar
lá cờ in
@poncho bạn nói đúng, bắt tốt! Bằng chứng chỉ bao gồm chênh lệch GF(p), trong khi với xor AES(nonce) chúng ta phải xem xét phân phối của chênh lệch xor. Nhưng bạn có nghĩ đến một cuộc tấn công xác suất cao cụ thể cho trường hợp này không?
Fractalice avatar
lá cờ in
@SRobertJames đa thức được tính là khoảng $m_1 r^1 + m_2r^2 + ... + m_8 r^8$ ($m_i$ là khối thông báo thứ $i$). Cho dù có bao nhiêu số hạng, nó vẫn có bậc 8, vì vậy L = 8.
poncho avatar
lá cờ my
@Fractalice: vâng, tôi đã tìm thấy một sự khác biệt (đối với cả tin nhắn và thẻ) đã thành công với xác suất là 0,25 hoặc 0,5. Đã lâu rồi - tôi sẽ xem liệu tôi có thể đào nó lên không...
Fractalice avatar
lá cờ in
@poncho Tôi hiểu rồi, phép nhân với -1 mod $2^{130}-5$ rất gần với phép xo với chuỗi bit tất cả một. Vì vậy, chúng tôi có thể sử dụng giá trị có thể mã hóa tối đa $c_1=2^{129}$ và giá trị âm $c_1'=2^{129}-5$ của nó. XOR dường như bằng với mô-đun $2^{130}-5$ với xác suất cao.
Fractalice avatar
lá cờ in
Số mũ sẽ là 131, nó sẽ không hoạt động!

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.