Điểm:1

Chữ ký của dữ liệu entropy thấp: chúng có thể bị làm giả không?

lá cờ cn

Tôi đang làm việc trên một ứng dụng mà tôi có nhãn nhận dạng sản phẩm vật lý có chứa một khối công cộng, dữ liệu entropy thấp (~50 byte) chẳng hạn như số sê-ri và thông tin khác, tất cả đều có sẵn ngay trên nhãn. Tôi muốn sử dụng thuật toán chữ ký dựa trên hàm băm để kiểm tra tính xác thực rằng sản phẩm hợp lệ.

  1. Đây có phải là một ý tưởng hợp lý? Dữ liệu entropy thấp có gây ra sự cố không?
  2. Ai đó sẽ phải lấy bao nhiêu nhãn sản phẩm này để lấy được khóa bí mật?

CHỈNH SỬA: Một câu hỏi hay hơn có thể là, chữ ký này có thể bị giả mạo mà không có khóa bí mật không?

  1. Có cách nào để thực hiện việc này một cách an toàn chỉ với 256 bit dữ liệu đầu ra không?
poncho avatar
lá cờ my
"Có cách nào để thực hiện việc này một cách an toàn chỉ với 256 bit dữ liệu đầu ra không?"; bạn có nghĩa là 'chỉ ký 256 bit dữ liệu đầu ra' (không phải là vấn đề) hoặc có chữ ký chỉ dài 256 bit (điều đó khó - BLS đến gần nhất, tuy nhiên, mức bảo mật khoảng 128 bit vẫn yêu cầu chữ ký khoảng 384 bit )
lá cờ cn
Ý tôi là có một chữ ký chỉ dài 256 bit. Tôi hiểu rằng tôi đang thực hiện một sự đánh đổi an ninh ở đây, nhưng tôi muốn hiểu sự đánh đổi đó tồi tệ như thế nào.
poncho avatar
lá cờ my
Chà, BLS dựa trên các đường cong như BN256I hoặc BN254N sẽ có chữ ký khoảng 256 bit và hiện được ước tính là cung cấp bảo mật khoảng 100 bit; do đó, nếu bạn không ngại cắt bớt phần nào bảo mật, thì có vẻ như có thể thực hiện được ...
poncho avatar
lá cờ my
Bảo mật khoảng 100 bit có thể đủ tốt nếu đối thủ của bạn không phải là TLA thực sự có động lực (không ai khác có thể biên dịch ở bất kỳ đâu gần với nhiều tính toán đó; tôi không chắc về TLA); nó chỉ là một biên độ bảo mật ít hơn so với những gì chúng ta đã từng sử dụng. Tất nhiên, BLS không an toàn chút nào nếu đối thủ có máy tính lượng tử...
Điểm:3
lá cờ my
  1. Đây có phải là một ý tưởng hợp lý?

Nghe có vẻ tốt, miễn là:

  • Bạn sử dụng khóa RSA mạnh (ví dụ: ít nhất 2048 bit)

  • Bạn sử dụng phương pháp đệm chữ ký RSA tốt

  • Bằng cách nào đó, bạn ngăn chặn kẻ tấn công sửa đổi khóa công khai RSA mà bạn sử dụng để xác minh bằng

Dữ liệu entropy thấp có gây ra sự cố không?

Không, dữ liệu entropy thấp không gây ra vấn đề gì.

  1. Ai đó sẽ phải lấy bao nhiêu nhãn sản phẩm này để lấy được khóa bí mật?

Không có cách nào để khôi phục khóa riêng RSA, ngay cả khi bạn đưa cho kẻ tấn công một Oracle để ký một số lượng tùy ý các thông báo tùy ý (đây là một kịch bản tấn công mạnh hơn nhiều so với những gì bạn có).

fgrieu avatar
lá cờ ng
Ngoài ra: "phương pháp đệm chữ ký RSA tốt" có thể là [RSASSA-PSS của PKCS#1](https://pkcs1.grieu.fr/#page=27) hoặc lược đồ 2 hoặc 3 của ISO/IEC 9796-2 ( có lợi thế là khóa công khai có thể trích xuất dữ liệu entropy thấp từ chính chữ ký), cả với SHA-256 và MGF1+SHA-256. Bạn có thể sử dụng [RSASSA-PKCS1-v1_5 của PKCS#1](https://pkcs1.grieu.fr/#page=31) thiếu tính năng giảm thiểu bảo mật nhưng không bị gián đoạn hoặc sơ đồ ISO/IEC 9796-2 1 (đã bị hỏng, nhưng không thực tế trong tình hình hiện tại), cả với SHA-256.
Điểm:0
lá cờ ng

Như đã nói trong câu trả lời khác: vâng, đây là một ý tưởng hợp lý, RSA cho phép chữ ký an toàn của dữ liệu công khai có entropy thấp, dữ liệu này có thể được xác minh một cách công khai khi khớp với dữ liệu đã nói, nhưng không thể tạo được nếu không có khóa riêng.Các ví dụ về chữ ký hợp lệ và khóa chung sẽ không tiết lộ khóa riêng hoặc các cách tạo chữ ký khác. Một số lược đồ chữ ký tiêu chuẩn thực hiện việc này thường xuyên (nhưng tất nhiên không có gì ngăn cản việc sao chép dữ liệu công cộng và chữ ký của nó).

Bây giờ câu hỏi thêm:

Có cách nào để thực hiện việc này một cách an toàn chỉ với 256 bit dữ liệu đầu ra không?

Không phải với RSA. Chữ ký RSA 256 bit sẽ không an toàn, bởi vì chúng (trong phạm vi vài bit) rộng bằng mô đun công khai và 256 bit quá nhỏ (384 bit đã quá nhỏ vào những năm 1990 và đã có tiến bộ đáng kể kể từ đó, xem cái này).

256-bit đang ở gần bờ vực, và đúng hơn là ở phía sai, của những sơ đồ chữ ký được kiểm tra kỹ lưỡng có thể mang lại tính bảo mật cao. tôi gần đây hỏi về điều này, kiểm kê những gì tôi biết trong số tiêu chuẩn hóa kế hoạch, không có gì dưới 384-bit ở mức bảo mật 128-bit thường được khuyến nghị để bảo mật cao trong những thập kỷ tới.

Mặt khác, nếu một người hài lòng với bảo mật 90 bit như vậy (điều này vẫn sẽ khiến chi phí tấn công dự kiến ​​sử dụng các phương tiện ngày nay lên tới hàng tỷ euro) và không cần thứ gì đó được tiêu chuẩn hóa, thì có thể sử dụng chữ ký Schnorr ngắn (trên danh nghĩa sẽ là 270-bit) và một vài thủ thuật để đánh đổi thời gian tạo và/hoặc xác minh chữ ký dài hơn với một vài bit chữ ký ít hơn. Tôi có thể chi tiết rằng nếu cần thiết.

Một lựa chọn khác sẽ là chữ ký BLS ví dụ. trên đường cong BN254 hoặc BN256, phù hợp với mục tiêu về kích thước và ít nhất sẽ tương đối an toàn theo này bình luận, nhưng điều đó nằm ngoài vùng an toàn của tôi.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.