Điểm:1

Tại sao chúng ta cần cả bitmasks và keyed hash trong SPHINCS+

lá cờ va

Tôi nghĩ rằng một trong số chúng có liên quan đến các cuộc tấn công đa mục tiêu và cái còn lại liên quan đến các cuộc tấn công va chạm. Nhưng tôi không thể tìm thấy tiền điện tử dựa trên hàm băm có liên quan như thế nào đến xung đột hàm băm.

1-) Xem xét lược đồ chữ ký một lần Lamport sau đây

  • Giả sử hàm băm 128 bit $H$ Được sử dụng
  • Chọn ngẫu nhiên $p_i$$r_i $$1\leq i \leq 128$
  • $SK=\{(p_i,r_i)\}_i$ là khóa bí mật và $PK=\{(H(p_i),H(r_i))\}_i$ là khóa công khai.
  • cho tin nhắn $M$, chúng tôi lấy hàm băm $h=H(M)$. Để cho $h=h_1h_2\cdots h_{128}$
  • Để ký $M$, chúng tôi xuất bản $p_i$ nếu $h_i=0$$r_i$ nếu $h_i=1$ cho mỗi $i$.

Làm thế nào đối thủ có thể áp dụng $2^{64}$-chi phí tấn công?

Bảo mật của chương trình này là gì? (Tôi nghĩ 120 bit vì áp dụng đa mục tiêu, tức là đủ để tìm ít nhất một trong số $p_i,r_i$'S. Một dự đoán ngẫu nhiên có xác suất $\frac{256}{2^{128}}$)

2-) Xem xét cây Merkle ban đầu với $2^{10}$ Lamport chữ ký một lần không có bitmask với hàm băm $H$ được sử dụng ở trên. Bảo mật của chương trình này là gì? (Tương tự như trên ta có bảo mật 120-t bit sau $2^t$ chữ ký vì $\frac{256\cdot 2^t}{2^{128}}$)

Tôi nghĩ rằng nếu chúng ta sử dụng hàm băm có khóa HOẶC mặt nạ bit ở đây, tính bảo mật của sơ đồ này sẽ là 128-bit. Vậy tại sao chúng ta cần cả hai?

HOẶC, tính bảo mật của SPHINCS+ không có hàm băm hoặc mặt nạ bit có khóa là gì?

Điểm:2
lá cờ my

Tôi nghĩ rằng nếu chúng ta sử dụng hàm băm có khóa HOẶC mặt nạ bit ở đây, tính bảo mật của sơ đồ này sẽ là 128-bit. Vậy tại sao chúng ta cần cả hai?

Trên thực tế, chúng tôi không. Sphincs+ (ít nhất là phiên bản vòng 3) có hai bộ tham số là "đơn giản" và "mạnh mẽ". Đơn giản chỉ có "hàm băm có khóa" (mà tôi sẽ giải thích ở cấu trúc địa chỉ được bao gồm trong mọi đánh giá PRF, F, H và T; không thực sự là một khóa, vì nó không bí mật), trong khi mạnh mẽ có cả hàm băm có khóa và mặt nạ bit.

Tại sao lại thế này? Nó đi xuống các thuộc tính có thể chứng minh được; đơn giản có bảo mật 128 bit (đối với bộ tham số Cấp 1) nếu chúng ta giả định rằng hàm băm hoạt động giống như một Oracle ngẫu nhiên; để mạnh mẽ, chúng tôi có được mức độ bảo mật đó dựa trên giả định yếu hơn rằng việc tính toán các tiền tố thứ hai của hàm băm cần $2^{128}$ thời gian.

user avatar
lá cờ va
Cảm ơn rất nhiều vì đã làm rõ.Tôi vẫn không thể tìm thấy bất kỳ cuộc tấn công va chạm nào trên các lược đồ dựa trên hàm băm. Bài báo "Chữ ký số ngoài tiền giả thứ hai Hàm băm kháng" nói rằng "Chúng tôi đề xuất một cấu trúc mới để xác thực Merkle cây không yêu cầu các hàm băm chống va chạm;". Có kế hoạch bảo mật nào dựa trên các hàm băm chống va chạm không. Trường hợp của tôi ở trên là gì?
user avatar
lá cờ va
Một câu thú vị khác từ ia.cr/2017/349: "XMSS sử dụng một biến thể của WOTS (WOTS+ [13]) để loại bỏ yêu cầu đối với hàm băm chống va chạm." Tại sao tính bảo mật của WOTS bị xung đột trong khi WOTS+ thì không.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.