Điểm:1

Cắt đầu vào ngẫu nhiên thống nhất cho các khóa riêng đường cong elip

lá cờ ru

Hãy tưởng tượng có đồng phục 256-bit đầu vào từ CSPRNG. Giả sử có một đường cong như secp256r1 có thứ tự đường cong nhỏ hơn 256 bit một chút.

chúng ta không thể chỉ mod(đầu vào, thứ tự đường cong) bởi vì nó sẽ giới thiệu sai lệch modulo. Điều gì sẽ xảy ra nếu chúng ta cắt 256 bit thành 255 bit nhỏ hơn thứ tự đường cong? Sau đó, tất cả các giá trị trong vòng 255 bit sẽ có cơ hội xuất hiện như nhau.

ed25519 dường như thực hiện chính xác điều đó, với thứ tự đường cong ~ 252 bit - chúng điều chỉnh 3 bit.

Lấy mẫu từ chối từ NIST SP 800-56A rev 3, phần 5.6.1.2.2 không phải là thời gian cố định, vì vậy hãy tìm kiếm thứ gì đó đơn giản hơn.

Câu hỏi bổ sung: Điều gì sẽ xảy ra nếu chúng ta cũng điều chỉnh 1 bit cuối cùng để các phím 01 sẽ không bao giờ xuất hiện bằng cách sử dụng |= 2 điều đó sẽ buộc chúng luôn là 1 (giống như cách chúng ta luôn buộc bắt đầu bằng 0?

knaccc avatar
lá cờ es
Tại sao điều quan trọng đối với toàn bộ quá trình là thời gian không đổi? Điều quan trọng là phải kiểm tra từng số ngẫu nhiên có nằm trong phạm vi trong thời gian không đổi hay không, nhưng tôi không thể thấy lý do rằng việc phải lặp lại một số lần không xác định sẽ là một vấn đề.
lá cờ ru
Điều này chỉ để đơn giản - không phải vì "tính kịp thời liên tục" theo nghĩa bảo mật/truyền thống của nó.
knaccc avatar
lá cờ es
Lưu ý rằng đối với kỹ thuật mà tôi đã mô tả trong câu trả lời của mình, nếu bạn luôn lặp lại 29 lần, thì điều đó sẽ chỉ không đủ số lần lặp lại $1$ trong mỗi lần thử $2^{128}$. Điều đó sẽ đủ điều kiện là thời gian không đổi nhưng tôi cho rằng sẽ không đủ điều kiện là "đơn giản" theo yêu cầu của bạn. Tôi không thể thấy bất kỳ cách nào khác để có một vô hướng thực sự không thiên vị.
Điểm:1
lá cờ es

Đây là cách cơ sở mã Monero tạo ra các đại lượng vô hướng ngẫu nhiên để sử dụng với ed25519:

Đối với đường cong ed25519, thứ tự $\ell$ của nhóm điểm gốc là $2^{252}+27742317777372353535851937790883648493$.

Để tạo ra một số ngẫu nhiên không thiên vị nhỏ hơn $\ell$, trước tiên chúng tôi xác định rằng bội số tối đa của $\ell$ có thể vừa với 32 byte là $15$.

Để tạo số ngẫu nhiên không thiên vị, chúng tôi liên tục tạo chuỗi 32 byte ngẫu nhiên và kiểm tra xem nó có nhỏ hơn $15\ell$. Khi chúng tôi tìm thấy một số như vậy, chúng tôi có thể giảm số này $mod\ \ell$ mà không giới thiệu sai lệch modulo. Xác suất tìm thấy một số ngẫu nhiên phù hợp trong lần lặp đầu tiên là khoảng. 94%.

Kỹ thuật tương tự áp dụng cho secp256r1, nơi bạn sẽ sử dụng $3 \ell$ thay vì $15\ell$ do thứ tự của nhóm điểm cơ sở cho secp256r1 lớn hơn (xem 2.4.2 Tham số đề xuất secp256r1).Xác suất tìm thấy một số ngẫu nhiên phù hợp trong lần lặp đầu tiên là khoảng. 95%.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.