Điểm:3

Tiêu chuẩn chữ ký ngắn nào?

lá cờ ng

Trong một số ứng dụng như mã QR, việc tiết kiệm 25 byte trên 100 sẽ tạo ra sự khác biệt về khả năng sử dụng.

Có sự lựa chọn nào cho sơ đồ chữ ký với (tiêu chí quan trọng nhất trước)

  1. Kích thước chữ ký càng nhỏ càng tốt (đối với chữ ký có phụ lục) hoặc kích thước được thêm vào càng nhỏ càng tốt (được đo ở thông báo tùy ý 40 byte cho lược đồ chữ ký có khôi phục thông báo, nhưng tôi muốn tránh những điều này), ở mức bảo mật 128 bit được phỏng đoán (nỗ lực phá vỡ so sánh với tìm kiếm khóa AES-128) chiết khấu Máy tính lượng tử liên quan đến mật mã.
  2. Chuẩn hóa hoặc hiệu đính bởi iso, IEC, ETSI, ANSI, mật mã, NIST, ANSI, BSI, SECG, CFRG, một số tiêu chuẩn quốc gia hoặc cơ quan, unamitâ¦, hoặc thậm chí là một hoạt động IETF RFC hoặc sự đồng thuận hợp lý của các chuyên gia về tiền điện tử.
  3. Không hoặc không còn vướng mắc về bằng sáng chế.
  4. Không quá tốn tài nguyên để xác minh (có thể sử dụng DSA-3072-256 làm giới hạn).

Cho đến nay tôi thấy:

  • Nhiều sơ đồ 64 byte tốt: Ed25519 biến thể trong RFC8032 và như thế FIPS 186-5, ECDSA hoặc EC-SDSA-opt (EC-Schnorr) của ISO/IEC 14888-3 với secp256r1, DSA-3072-256.
  • Một sơ đồ 48 byte: BLS12-381 (Boney-Lynn-Shacham), thay vì không được chính quyền xem xét¹, do đó AFAIK thất bại [2] (Tôi thấy nó chỉ được đề xuất bởi một tài khoản đã hết hạn không được đánh số dự thảo RFC), và báo cáo thất bại [4].
  • Một số sơ đồ 48 byte có khôi phục thông báo (do đó phức tạp hơn để sử dụng/ít mong muốn hơn), bao gồm ECAO (Abe-Okamoto) của ISO/IEC 9796-3 (không được sử dụng ở bất cứ đâu tôi biết), ECPVS (Pinstov-Vanstone) của ANSI X9.92-1 (mà tôi coi là không thành công [3] cho đến khi được hiển thị khác).

Đáng chú ý vắng mặt là chữ ký Schnorr ngắn (trên Đường cong Elliptic hoặc nhóm Schnorr), sẽ có dung lượng khoảng 48 byte, nhưng AFAIK không thành công [2]. Có lẽ nó không được tiêu chuẩn hóa vì nó có các đặc điểm bảo mật hơi đáng lo ngại:

  • Cuộc tấn công vũ phu tốt nhất chỉ vào hàm băm (ví dụ: với ASIC như trong khai thác bitcoin) có xác suất đạt được $1/n$ một thông điệp có chữ ký về nội dung thiết thực với chi phí $2^{128}/n$ băm và một chỉ đơn thuần đã biết cặp tin nhắn/chữ ký, so với chi phí $\sqrt n$ cao hơn nhiều lần và một truy vấn chữ ký với đã chọn tin nhắn cho đối thủ cạnh tranh 64 byte.
  • Người nắm giữ khóa riêng có thể tạo các cặp thông báo có nội dung thiết thực và khác nhau nhưng có cùng chữ ký bằng cách sử dụng about $2^{66}$ băm.

¹ Tôi nghĩ mọi người bị lạnh chân sau Sàng trường số tháp mở rộng xúi giục sửa đổi xuống các ước tính bảo mật trước đó về các đường cong thân thiện với việc ghép nối trước đây được cho là an toàn và thay đổi một số phương án đã triển khai. chủ đề có tăng Vì thế phức tạp Tôi không thể làm theo, nhưng từ những gì dường như là một tóm tắt một trang trong số các ước tính mới nhất xung quanh, đối với bảo mật 128 bit, tốt nhất là BLS12-381 không có nhiều lợi nhuận và BN254 dường như có nguy cơ, ít nhất là trong một số ứng dụng (tôi không biết chữ ký BLS).

Gilles 'SO- stop being evil' avatar
lá cờ cn
ângười giữ khóa riêng có thể tạo các cặp thư có nội dung thực tế và khác nhau nhưng có cùng một chữ kýâ Có nhiều ứng dụng mà đây không phải là vấn đề.Rốt cuộc, chúng ta thường sử dụng các sơ đồ MAC và AEAD trong đó người giữ khóa bí mật có thể tạo ra xung đột với chi phí không đáng kể. Tính xác thực không đảm bảo tính toàn vẹn nói chung.
fgrieu avatar
lá cờ ng
@Gilles 'VÌ- đừng trở nên xấu xa nữa': đồng ý, không có đặc điểm bảo mật nào trong số hai đặc điểm bảo mật hơi đáng lo ngại mà tôi gọi tắt là (EC-)Schnorr là trình chiếu. Đặc biệt, chúng không phá vỡ (các) EUF-CMA. Tôi đã trích dẫn những lý do này có lẽ là lý do ngắn (EC-)Schnorr không được tiêu chuẩn hóa, khi EC-Schnorr là. [cập nhật: Tôi đã làm rõ điều đó trong câu hỏi]
lá cờ kr
Tôi không biết về các nỗ lực tiêu chuẩn hóa, nhưng có nguy cơ nghe có vẻ hơi liều lĩnh, tôi sẽ không giảm giá chữ ký BLS trên BN254 cho loại ứng dụng này. Kích thước chữ ký chỉ là 32 byte, tốc độ tốt hơn đáng kể so với BLS12-381 và mặc dù vậy, exTNFS, tôi sẽ không ngạc nhiên nếu người ta có thể đưa ra trường hợp rằng đó là mức bảo mật tương tự như AES sau khi tất cả các chi phí tấn công được tính đúng ( bao gồm quyền truy cập bộ nhớ chẳng hạn).
fgrieu avatar
lá cờ ng
@Mehdi Tibouchi: bạn đang nói các lý do liên quan đến exTNFS mà BN254 đã bị hạ cấp để ủng hộ BLS12-381 trong một số ứng dụng [xem ghi chú mới ¹ trong câu hỏi về các liên kết] nói chung không làm hại nó xuống dưới mức AES-128, hoặc rằng họ không có chữ ký BLS nói riêng? Trong cả hai trường hợp, tôi thắc mắc tại sao không có đường cong Barreto-Naehrig nào được xem xét trong [bản nháp RFC](https://tools.ietf.org/pdf/draft-irtf-cfrg-bls-signature-04.pdf) cho chữ ký BLS . Tôi thừa nhận rằng cơ sở lý luận cho việc lựa chọn các đường cong thân thiện với cặp đôi bay cao trên đầu tôi và khiến tôi sợ hãi!
lá cờ kr
@fgrieu Nếu một người có thể tính toán các nhật ký rời rạc, thì người đó có thể trực tiếp khôi phục khóa bí mật trong sơ đồ chữ ký BLS, do đó, không có gì đặc biệt về cài đặt đó khiến nó trở nên đặc biệt linh hoạt trước exTNFS. Vấn đề là "128 bit bảo mật" thực sự có nghĩa là gì. Bài báo bạn đề cập trong ghi chú của mình ước tính chi phí phá vỡ BN254 bằng STNFS vào khoảng 2^105 hoặc hơn. Tuy nhiên, điều này có nghĩa là 2^105 bước tính toán, mỗi bước tính toán *rất nhiều* tốn kém hơn một lần đánh giá AES. Cuộc tấn công cũng yêu cầu một lượng lớn bộ nhớ và giao tiếp giữa các nút tính toán. Vì vậy, tôi cảm thấy...
lá cờ kr
…khá tự tin tuyên bố rằng 105 bit bảo mật TNFS cao hơn 128 bit bảo mật AES, để đánh giá hợp lý hai chi phí đó.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.