Điểm:0

Sơ đồ mã hóa an toàn, hiện đại, đồng hình một phần là gì?

lá cờ co

lúc đó tôi đang đọc sách tờ giấy này của Philippe Golle về việc sử dụng các thuộc tính đồng hình của mã hóa ElGamal để chơi một trò chơi bài xì phé tinh thần (tức là bài xì phé bảo mật bằng mật mã mà không cần người chia bài bên thứ ba đáng tin cậy). Tôi đã quyết định rằng sẽ là một dự án tốt nếu thử triển khai một số phiên bản cơ bản của nó nhưng tôi nhanh chóng gặp phải một số vấn đề.

Có vẻ như ElGamal (và RSA, đối với vấn đề đó) thường được coi là không an toàn và lời khuyên phổ biến dường như là tránh chúng. Do đó, hai lựa chọn lớn cho sự sụp đổ của thuyết đồng hình một phần là điều không thể bàn cãi đối với các trò chơi có tiền cược đủ cao. Hơn nữa, tôi thực sự không thể tìm thấy bất kỳ hệ thống mật mã được tiêu chuẩn hóa nào khác có thuộc tính này và hoạt động trên các giá trị rời rạc chứ không phải xấp xỉ (cần thiết để triển khai thuật toán được nêu trong bài báo). Tôi có thiếu một cái gì đó rõ ràng?

Tôi đoán câu hỏi của tôi là: nếu Golle viết bài báo này vào năm 2022, thì anh ấy sẽ đề xuất gì thay vì ElGamal cho các trò chơi poker có tiền cược đủ cao?

Điểm:3
lá cờ ng

ElGamal và RSA «được coi là không an toàn» NẾU một giả định Máy tính lượng tử liên quan đến mật mã. Nhưng những điều này vẫn còn mang tính giả thuyết cao. Thế giới (internet, ngân hàng, di động..) hiện đang chạy trên các hệ thống mật mã, khi không đối xứng, về mặt lý thuyết dễ bị tổn thương trước các CRQC giả định sau: RSA, ECDSA, EdDSA, ECIESâ¦

Hệ thống mật mã Paillier đáng được xem xét khi người ta bỏ qua giả thuyết CRQC. Nó đơn giản¹, cung cấp mã hóa đồng hình bổ sung cho các số nguyên (có thể được ký) với một hạn chế nhỏ và rõ ràng², có hiệu quả trong một yếu tố không đổi nhỏ của giải mã RSA (do đó có thể chịu được trong nhiều ứng dụng), không có bằng sáng chế, có thể chứng minh là có thể rút gọn thành một bài toán được cho là siêu đa thức cho các máy tính cổ điển và được coi là an toàn như RSA với cùng kích thước nguyên tố.

Tôi tin rằng lý do chính mà hệ thống mật mã của Paillier không được sử dụng nhiều trong thực tế là do mã hóa đồng hình nói chung không có nhu cầu cao.

Ngoài ra: Mã hóa Paillier không dễ bị tấn công bởi lời tiên tri đệm hoặc lựa chọn đệm kém, vì (trái ngược với RSA) nó không cần đệm. Nó dễ bị tấn công khi triển khai giống như RSA, bao gồm khai thác các trình tạo số ngẫu nhiên kém khi tạo hoặc sử dụng khóa, các kênh bên và các cuộc tấn công lỗi. Sự tương đồng với RSA là một tin tốt, vì các biện pháp đối phó hiệu quả chống lại các cuộc tấn công đã được biết đến với RSA và phần lớn có thể được điều chỉnh cho phù hợp với Paillier.


¹ Đặc biệt với hạn chế chung của $n$ tích của hai số nguyên tố có kích thước bằng nhau, và $g=n+1$.

² Bản rõ vượt quá $n$ được giảm modulo $n$, với $n$ một tham số công khai đủ lớn không phải là vấn đề đối với bất kỳ thứ gì có thể đếm được, bao gồm bất kỳ phần tiền tệ có ý nghĩa nào, thậm chí cả nguyên tử. Tương phản với biến thể đồng cấu bổ sung của ElGamal, biến thể này có những hạn chế nghiêm trọng về các số nguyên mà nó có thể thêm vào.

user3450456 avatar
lá cờ co
Cảm ơn, tôi sẽ xem xét Paillier vì tôi không đặc biệt lo lắng về bảo mật lượng tử. Tôi nói rằng ElGamal và RSA có thể được coi là không an toàn không phải xuất phát từ lo lắng về bảo mật lượng tử mà vì lo lắng về thế hệ chính, tấn công kênh bên và cụ thể nhất là tấn công thông qua các tiên tri đệm để thuật toán trong bài báo hoạt động, tôi có thể' t đệm bản rõ trước khi mã hóa.
Mark avatar
lá cờ ng
@ user3450456 nếu bạn lo lắng về các kênh phụ khác nhau, thì đây là lợi ích (tương đối) của các sơ đồ dựa trên mạng tinh thể. Có những kết quả về khả năng phục hồi rò rỉ tương đối mạnh được biết về rò rỉ bit khóa bí mật (so với những thứ thuộc loại RSA, trong đó phương pháp của Coppersmith khá mạnh). Hơn nữa, hầu hết việc tạo ngẫu nhiên (bí mật) được thực hiện khá đơn giản. ngoại lệ duy nhất là "lỗi LWE $e$", mặc dù để mã hóa, thậm chí điều này có thể được thực hiện một cách đơn giản bằng cách chọn nó từ một "phân phối nhị thức trung tâm".
Mark avatar
lá cờ ng
có các cuộc tấn công kiểu tiên tri đệm * không * (ít nhất là tôi biết) chống lại các sơ đồ dựa trên mạng, mặc dù có các cuộc tấn công kiểu IND-CCA khác, vì vậy có lẽ đây là một sự rửa sạch ở đây.
Điểm:3
lá cờ ng

Có hai điều rõ ràng cần đề cập. Đầu tiên, với lời cảnh báo rằng tôi chỉ đọc lướt qua bài báo mà bạn đã liên kết, tôi thấy phần 3 nói rằng sơ đồ mã hóa được sử dụng cần 3 thuộc tính, cụ thể là

  1. đồng hình phụ gia,

  2. "so sánh bản rõ mô-đun", ví dụ: kiểm tra nếu $Enc(c)$ là một mã hóa của 0,

  3. một giao thức tạo khóa phân tán.

sẽ dễ dàng hơn để trả lời câu hỏi này nếu bạn có thể chính thức hóa chính xác những hoạt động/thuộc tính nào bạn cần.

lưới dựa trên

Như đã nói, cho đến nay, loại sơ đồ mã hóa đồng hình một phần phổ biến nhất hiện nay là các biến thể mã hóa R(LWE). Tuy nhiên, điều này thỏa mãn một biến thể "ồn ào" của đồng cấu phụ gia, nghĩa là người ta chỉ có thể đánh giá một số giới hạn tiên nghiệm số đồng cấu cộng. Nếu bạn cần bổ sung tùy ý, điều này cũng có thể được thực hiện, ví dụ như lược đồ FHEW/TFHE có lẽ rất phù hợp cho việc này (lưu ý rằng đây là hoàn toàn đồng hình lược đồ mã hóa, mặc dù chúng là những lược đồ đặc biệt hiệu quả). Điều này hợp lý/có khả năng điều này là tốt trong trường hợp của bạn.

Đối với hai điểm còn lại, tôi cần đọc/biết rõ hơn các yêu cầu chính xác của chương trình. Mặc dù vậy, có vẻ hợp lý với tôi rằng các lược đồ mã hóa dựa trên RLWE có thể phù hợp với tình huống của bạn, nhưng tôi không bận tâm đến việc điền chi tiết vì...

El-Gamal dựa trên:

Trong khi bạn nói đúng rằng El-Gamal "cổ điển" (giả sử dựa trên trường hữu hạn Diffie Hellman) hơi lỗi thời, thì bạn có thể sử dụng El-Gamal dựa trên các nhóm đường cong elliptic. Điều này là "hiện đại" (mặc dù vẫn còn yếu so với máy tính lượng tử, nếu đây là mối quan tâm của bạn) và có thể dễ dàng hơn cho mục đích của bạn hơn là tìm ra chi tiết về cách sử dụng sơ đồ dựa trên mạng tinh thể. Lưu ý rằng đối với mã hóa chung có rất ít lý do để sử dụng các biến thể đường cong elip của El Gamal (xem ở đây để biết chi tiết), nhưng vì bạn đặc biệt muốn sử dụng đồng cấu phụ gia, nên sử dụng El Gamal sẽ hợp lý.

Nếu bạn phản đối việc sử dụng Đường cong Elliptic El Gamal vì một số lý do, thì các tùy chọn chính còn lại của bạn là các lược đồ dựa trên mạng tinh thể. Điều này sẽ đòi hỏi nhiều công việc hơn để tìm hiểu chi tiết, điều này sẽ dễ dàng hơn cho những người trên trang web này giúp bạn nếu bạn có thể nói chính xác những yêu cầu của bạn đối với sơ đồ mã hóa cơ bản.

fgrieu avatar
lá cờ ng
Không phải tất cả các ứng dụng của đẳng cấu phụ gia đều khả thi với ElGamal. Nếu chúng ta muốn xử lý các số nguyên lên tới $m$, chi phí giải mã sẽ tăng lên như $\sqrt m$ và đó thường là một hạn chế. Tôi nghĩ RLWE cũng có một số hạn chế, nhưng tôi không biết chính xác chúng là gì.
user3450456 avatar
lá cờ co
Cảm ơn bạn vì câu trả lời. Tôi nghĩ rằng các sơ đồ dựa trên mạng có thể hơi phức tạp đối với những gì tôi đang cố gắng đạt được nhưng tôi cũng sẽ xem xét chúng. Bạn có thể cung cấp một chút bối cảnh về lý do tại sao thực hiện ElGamal trên các nhóm hình elip lại tốt hơn thực hiện trên Diffie Hellman trường hữu hạn không? Tôi hiểu rằng tôi chưa đặc biệt chính xác trong câu hỏi của mình nhưng đó là vì tôi còn rất mới đối với mật mã.
Mark avatar
lá cờ ng
@fgrieu đối với RLWE, người ta phải chọn các tham số lớn hơn để cho phép bổ sung nhiều hơn, do đó, chi phí giải mã (loại) tăng hoàn toàn thông qua các tham số lớn hơn, nhưng mức tăng phải là logarit. Người ta có thể bỏ qua tất cả những điều này bằng cách sử dụng TFHE/FHEW, đó là FHE "bootstraps sau mỗi thao tác". Mặc dù là FHE, nhưng nó tương đối hiệu quả, chẳng hạn như ~.1 s/op vài năm trước (và có lẽ bây giờ tốt hơn). Điều này đều tệ so với bộ xử lý ~ 3GHz và tôi có ấn tượng rằng OP cần ~ 60 op, vì vậy có lẽ có thể hợp lý.
Mark avatar
lá cờ ng
@ user3450456 Các cuộc tấn công chống lại Diffie-Hellman trường hữu hạn mạnh hơn, vì vậy người ta phải chọn các tham số lớn hơn để có mức độ bảo mật tương tự. Tùy thuộc vào mối quan hệ cụ thể giữa các tham số, chúng có thể rất lớn (đặc điểm 2 diffie hellman hoàn toàn bị phá vỡ --- các học giả đã giải quyết ~30k bit DLOG), đơn giản là lớn hơn nhiều (~850-bit DLOG nằm trong tầm với của các học giả). Vì lý do này, việc triển khai địa ngục Diffie trường hữu hạn "hiện đại" có thể nên sử dụng trong khoảng từ 2k-4k kích thước bit cho các tham số. Điều này được so sánh với các giao thức nhóm Elliptic-Curve, nằm trong ...
Mark avatar
lá cờ ng
phạm vi vài trăm bit.Tất nhiên, kích thước bit không hoàn toàn kiểm soát độ phức tạp, nhưng nó vẫn là một tham số khá phù hợp và mọi thứ phải lớn hơn một bậc khi làm việc với các trường hữu hạn. Điều này cũng bỏ qua suy nghĩ hiện tại là của cả hai, các cuộc tấn công vào các trường hữu hạn có nhiều khả năng được cải thiện hơn --- việc cải thiện các cuộc tấn công nhóm đường cong elip sẽ yêu cầu cho thấy chúng là "không chung chung" --- trong khi các logarit rời rạc của trường hữu hạn có thể hợp lý * cải thiện đáng kể * bằng cách điều chỉnh ~2012 công việc trên sàng trường chức năng thành trường hữu hạn (tôi nghĩ, nhưng không biết chi tiết)

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.