Questions tagged «cr.crypto-security»

密码学和信息安全性的理论方面。

1
百隆-费尔德曼-米卡利方法中的缺陷在哪里
百隆(Blum),米卡利(Micali)和费尔德曼(Feldman)(BFM)提出了一种新的(密码学)模型,在这种模型中,所有各方(诚实的或对抗的)都可以使用某些字符串。假定该字符串是由受信任方根据某种分布(通常是均匀分布)选择的。它称为参考字符串,并且该模型恰当地命名为通用参考字符串(CSR)模型。 该模型使我们能够非交互地执行许多有趣的交互协议,从而用查询字符串中的位代替查询。特别是,任何NP语言的零知识证明都可以非交互式地进行,从而产生了非交互式零知识(NIZK)的概念。 NIZK有许多应用程序,例如提供一种方法来实现针对(自适应)选择密文攻击的安全的公钥密码系统。 ρρ\rho大号∈ Ñ P大号∈ñPL \in \bf{NP}X ∈ 大号X∈大号x \in L| ρ ||ρ||\rho|ρρ\rho ρρ\rho Feige,Lapidot和Shamir(在其论文第一页的第一个脚注中)说: 发现BFM中建议的克服此困难的方法是有缺陷的。 (困难是指获得多定理证明而不是单定理证明。) BFM缺陷在哪里?
1
生成具有平凡自同构的图
我正在修改一些密码模型。为了显示其不足之处,我设计了一种基于图同构的人工协议。 假定存在能够生成“图同构问题的硬实例”的BPP算法是“普遍的”(但有争议!)。(以及同构的见证人。) 在我设计的协议中,我将假设存在这样的BPP算法,该算法可以满足一个附加要求: 令生成的图为和G 2。只有一个见证人(排列)将G 1映射到G 2。G1个G1个G_1G2G2G_2G1个G1个G_1G2G2G_2 这意味着仅具有琐碎的自同构。换句话说,我假设存在某种BPP算法,其工作方式如下:G1个G1个G_1 在输入,生成一个n顶点图G 1,使其仅具有平凡的自同构。1个ñ1个ñ1^nññnG1个G1个G_1 选择一个随机排列以上[ Ñ ] = { 1 ,2 ,... ,Ñ },并将其应用在G ^ 1得到ģ 2。ππ\pi[ Ñ ] = { 1 ,2 ,... ,Ñ }[ñ]={1个,2,…,ñ}[n]=\{1,2,\ldots,n\}G1个G1个G_1G2G2G_2 输出。⟨ g ^1个,G2,π⟩⟨G1个,G2,π⟩\langle G_1,G_2,\pi \rangle G1个G1个G_1⟨ g ^1个,G2⟩⟨G1个,G2⟩\langle G_1,G_2 \rangle 我的假设合理吗?有人可以指点我一下吗?
3
关联哈希混合
考虑纯功能设置中的单链链接。它的赞美声从山顶传来,并将继续传给人们。在这里,我将讨论其众多优势之一,以及如何将其扩展到基于树的更广泛的纯功能序列类别的问题。 问题如下:您想通过强哈希在O(1)时间内测试几乎某些结构相等性。如果哈希函数在结构上是递归的,即哈希(x:xs)=混合x(哈希xs),则可以将哈希值透明地缓存在列表中,并在元素被限制在现有列表中的情况下,在O(1)时间更新它们。大多数哈希列表算法在结构上都是递归的,因此这种方法在实践中非常有用。 但是,假设您不是基于单链列表,而是具有基于树的序列,该序列支持在O(log n)时间内连接两个长度为O(n)的序列。为了使散列缓存在这里起作用,散列混合函数必须具有关联性,以便尊重树在表示相同线性序列时所具有的自由度。混合器应获取子树的哈希值,并计算整个树的哈希值。 这是六个月前的一天,当时我花了一天时间思考并研究这个问题。在有关数据结构的文献中似乎没有引起注意。我确实遇到了来自密码学的Tillich-Zemor哈希算法。它依赖于2x2矩阵乘法(关联),其中位0和1对应于在Galois字段中具有条目的子代数的两个生成器。 我的问题是,我错过了什么?我在搜索中找不到的关于密码学和数据结构的文献中必定有相关的论文。任何对此问题的评论以及可能探索的场所将不胜感激。 编辑:我对频谱的软性和加密性强端都对这个问题感兴趣。在较软的方面,它可以用于哈希表,在该表中应避免冲突,但不会造成灾难性的后果。从更有利的方面,它可以用于相等性测试。
3
AES的硬度保证
许多公共密钥密码系统具有某种可证明的安全性。例如,证明拉宾密码系统与分解一样困难。 我想知道对于诸如AES之类的秘密密钥密码系统是否存在这种可证明的安全性。如果不是,有什么证据证明很难破解这种密码系统?(除了抵抗试错攻击) 备注:我熟悉AES操作(AddRoundKey,SubBytes,ShiftRows和MixColumns)。AES的硬度似乎来自MixColumns操作,而后者又必须继承Galois场(以及代数)上的一些难题。实际上,我可以将问题重申为:“哪个硬代数问题可以保证AES的安全性?”
1
哪些语言已成功地被密码欺骗了?
与非对称密码学有关的一种观察结果是,某些功能(被认为是)易于在一个方向上执行,但难以反转。此外,如果存在一些“活板门”信息,可以快速计算逆运算,则问题将成为公用密钥密码方案的候选对象。 RSA闻名的经典活板门问题包括分解问题和离散对数问题。大约在RSA发布的同时,Rabin发明了一种基于发现离散平方根的公钥密码系统(后来证明这至少和分解一样困难)。 这些年来,其他候选人也出现了。KNAPSACK(紧随RSA之后),带有特定参数的椭圆曲线“对数”以及格子最短基础问题就是其陷门问题在其他已公开方案中使用的问题的示例。也很容易看到此类问题必须存在于NP中。 这耗尽了我对活板门功能的了解。似乎也耗尽了Wikipedia上的列表。 我希望我们能够获得允许使用活板门和相关文献的语言的社区维基列表。该列表将很有用。加密技术不断发展的需求也改变了哪些活板门功能可以成为加密系统的基础。计算机上存储的爆炸性增长使得使用大型密钥的方案成为可能。量子计算的迫在眉睫的幽灵使计划无效,这些计划可以用预言家打破,以寻找隐藏的阿贝尔子群。Gentry的完全同态密码系统仅能起作用,是因为我们发现了尊重同态性的陷门功能。 我对非NP完成的问题特别感兴趣。
2
随机Oracle模型中零知识协议的穷举模拟器
在一篇名为“关于公共参考字符串和随机Oracle模型中的可否认性”的论文中,Rafael Pass写道: 我们注意到,根据RO [Random Oracle]模型中的标准零知识定义证明安全性时,该模拟器比普通模型模拟器具有两个优势,即: 模拟器可以查看各方查询oracle的值。 只要答案“看起来”确定,模拟器就可以用它选择的任何方式回答这些查询。 第一种技术,即“监视” RO的查询的能力,在所有涉及RO模型中的零知识概念的论文中都非常普遍。 现在,考虑黑盒零知识的定义(PPT代表概率的多项式时间图灵机): 小号∀ V * ∀ X ∈ 大号∀ ř∃∃\exists一个PPT模拟器,使得(可能作弊)PPT验证程序,公用输入和随机性,以下内容是无法区分的:小号SS∀∀\forallV∗V∗V^*∀∀\forallX ∈ 大号x∈Lx\in L∀∀\forall[Rrr 在输入上与证明者交互并使用随机性的视图 P x rV∗V∗V^*PPPXxx[Rrr; 当给黑盒访问时,输入和上的输出。 x r S V *小号SSXxxrrrSSSV∗V∗V^* 在这里,我想展示一个作弊验证者,其工作是用尽所有试图监视RO查询的模拟器:V′V′V' 令为黑盒子零知识定义中由存在量词保证的模拟器,令为多项式,其使在输入上的运行时间上限为上限。假设尝试监视对RO 的查询。q (| x |)S x S V *SSSq(|x|)q(|x|)q(|x|)SSSxxxSSSV∗V∗V^* 现在,考虑作弊,它首先向RO查询V′V′V'q(|x|)+1q(|x|)+1q(|x|)+1次(在其选择的任意输入上),然后任意恶意地行动。 显然,排出模拟器。一种简单方法是拒绝这种恶意行为,但是通过这种方式,区分者可以轻松地将真实交互与模拟交互区分开。(由于在实际交互中,证明方无法监视的查询,因此不会基于查询过多的事实而拒绝。)小号小号P V ' V 'V′V′V'SSSSSSPPPV′V′V'V′V′V' 以上问题的解决方法是什么? 编辑: 在RO模型中研究ZK的一个很好的资料是: …
1
为什么没有符号位的Feige-Fiat-Shamir不会为零知识?
在HAC(10.4.2)的第10章中,我们看到了众所周知的Feige-Fiat-Shamir识别协议,该协议基于零知识证明,使用(假定的)提取模因难以分解的复合物的平方根的难度。我会用自己的话说这个方案(并希望能正确解决)。 让我们从一个更简单的方案开始:让是一个足够大的大小的Blum整数(所以,和均为3 mod 4),使得分解难以处理。由于是Blum整数,因此的元素的一半具有雅可比符号+1,而另一半则具有-1。对于+1元素,其中一半具有平方根,每个具有平方根的元素具有四个,正好一个本身就是一个平方。n = p q p q n Z ∗ nnnnn=pqn=pqn=pqpppqqqnnnZ∗nZn∗Z_n^* 现在,Peggy 从选择一个随机元素,并设置。然后,她将发送给Victor。接下来是协议:Victor希望验证Peggy知道平方根,Peggy希望向他证明而不对透露任何事实,而她并不知道。Z * n v = s 2 v v s ssssZ∗nZn∗Z_n^*v=s2v=s2v=s^2vvvvvvssssss 佩吉(Peggy)在选择一个随机,然后将发送给Victor。Z * n r 2rrrZ∗nZn∗Z_n^*r2r2r^2 维克托可能将或发送回Peggy。b = 1b=0b=0b=0b=1b=1b=1 佩吉将发送给维克多。rsbrsbrs^b Victor可以通过对收到的结果进行平方并与正确的结果进行比较来验证Peggy是否已发送正确的答案。当然,我们重复此交互操作以减少Peggy只是幸运的猜测者的机会。该协议被称为ZK;可以在各个地方找到证明(例如Boaz Barak的讲义)。 当我们扩展该协议以使其更有效时,它称为Feige-Fiat-Shamir;这与上面的非常相似。我们以随机值和随机符号开始Peggy,她将其正方形发布为。换句话说,我们随机否定一些。现在kkks1⋯sks1⋯sks_1\cdots s_kt1=±1,⋯tk=±1t1=±1,⋯tk=±1t_1 = \pm 1, \cdots t_k = \pm 1v1=t1s21,⋯,vk=tks2kv1=t1s12,⋯,vk=tksk2v_1=t_1s_1^2, \cdots, v_k = t_ks_k^2viviv_i …
2
是什么样的特殊的
在微小的加密算法中: 魔术常数的不同倍数用于防止基于回弹对称性的简单攻击。魔术常数2654435769或9E3779B9 16选择为232/ϕ232/ϕ2^{32}/ \phi,其中ϕ是黄金比例。 232/ϕ232/ϕ2^{32}/ \phi具有哪些属性使其在此上下文中有用?
3
实际应用中实际使用的秘密共享方案的一些示例是什么?
秘密共享方案的概念通常归因于Shamir(A. Shamir,How to share a secret,Comm。ACM,22(1979),pp.612-613。)和Blakey(GR Blakey,保护密码密钥,in NCC Proc。,第48卷,1979年,第313-317页。 总体思路是,对参与者隐藏一些秘密S,而参与者却各自获得份额s i。如果每个参与者决定联合起来,他们各自提出自己的份额给组合,从谁的股份小号重建小号我。 有关秘密共享方案的论文通常涉及实际应用(例如银行保险箱)。但是我怀疑,这些都是假想的“真实世界”应用程序(即象牙塔的下一层),并且非常怀疑它们是否可以命名实际使用秘密共享方案的银行(或任何其他公司)。问题:实际中有哪些实际示例? 理想情况下,我想包含一个答案:在X公司,他们使用秘密共享方案Y来保护Z(有关更多详细信息,请参阅ABC)。
1
比特币加密安全吗
我正在尝试在计算密码安全性的背景下理解比特币协议。 问题是对有关比特币密码学文章基础的参考要求。 我的第一个问题是什么抽象的加密协议比特币试图实现?我们在捕获比特币的密码学中是否有电子货币/数字货币的定义?安全电子货币有哪些安全要求? 如果答案是肯定的,那么像eBay这样的公司将提供一种集中化的电子汇款方式。考虑去中心化的电子货币是否会改变电子货币的抽象密码协议的定义?还是只是在没有可信任的第三方的模型中使用相同的概念? 如果对手的计算能力比其他(诚实)参与方的计算能力强,则对手可以破坏协议吗? 假设我们有各方为加上对手联网和对手都想打破Bitcoin的协议。为简单起见,我们假设网络图是而对手并不控制网络,而只是像其他方一样的一方。在这种简单情况下,关于协议安全性的确切数学主张是什么?ññnP一世P一世P_i1个≤ 我≤ Ñ1个≤一世≤ñ1 \leq i \leq n一种一种Aķn + 1ķñ+1个K_{n+1}
2
欺骗
我有一些关于欺骗恒定深度电路的问题。 众所周知,独立性对于愚弄深度为d的A C 0电路是必要的,其中n是输入的大小。如何证明这一点?日志Ø (d)(n )logO(d)⁡(n)\log^{O(d)}(n)一ç0AC0AC^0dddñnn 由于上述事实是正确的,因此任何欺骗深度为d的电路的伪随机发生器都必须具有种子长度l = Ω (log d(n )),这意味着不能期望证明R A C 0 = A通过PRG的C 0。我相信R A C 0 吗?= A C 0仍然是一个悬而未决的问题,因此这意味着人们必须使用PRG以外的技术来证明R A C一ç0AC0AC^0dddl=Ω(logd(n))l=Ω(logd⁡(n))l = \Omega(\log^d(n))RAC0=AC0RAC0=AC0RAC^0 = AC^0RAC0=?AC0RAC0=?AC0RAC^0 \stackrel{?}{=} AC^0。我觉得这很奇怪,因为至少在 P情况下?= B P P,我们认为PRG本质上是回答这个问题的唯一方法。RAC0=AC0RAC0=AC0RAC^0 = AC^0P=?BPPP=?BPPP \stackrel{?}{=} BPP 我想我在这里确实缺少一些基本知识。
1
噪声奇偶校验(LWE)下限/硬度结果
一些背景: 我有兴趣为错误学习(LWE)问题找到“鲜为人知”的下界(或硬度结果),以及诸如环上错误学习之类的概括。对于特定的定义等,这是Regev进行的一次不错的调查:http : //www.cims.nyu.edu/~regev/papers/lwesurvey.pdf (R)LWE型假设的标准类型是通过(可能是量子)归约到(可能是理想)晶格上的最短向量问题。已知SVP的通常公式是NP难的,并且相信很难近似到小的多项式因数。(相关:很难将CVP近似到/ most-polynomial /因数内:http : //dl.acm.org/citation.cfm?id=1005180.1005182)我也听说它提到了(关于量子算法)将某些晶格问题(如SVP)近似为较小的多项式近似因子与非阿贝尔隐藏子组问题(由于其自身的原因而被认为很难)有关,尽管我从未见过明确的正式来源。 但是,我对来自学习理论的“噪声奇偶性”问题导致的硬度结果(任何类型)更感兴趣。这些可能是复杂度级别的硬度结果,具体的算法下限,样本复杂度界限,甚至是证明尺寸下限(例如,分辨率)。众所周知(也许很明显),LWE可以看作是“噪声奇偶性/学习奇偶性与噪声”(LPN)问题的推广,(从谷歌搜索中发现)似乎已用于降低编码理论和PAC等领域的硬度学习。 通过环顾四周,我仅发现(轻微次指数)LPN问题的上界,例如http://www.di.ens.fr/~lyubash/papers/parityproblem.pdf 题: 我知道LPN在学习社区中是最受信赖的。我的问题是:为什么? 是因为每个人都非常努力,但是还没有人找到好的算法吗?上面的斜体字样(或我遗漏的其他字词)是否存在已知的下界? 如果答案很明确,那么对已知内容和/或对调查/讲义的引用进行简要总结将是很好的。 如果未知数太多,那么“最新技术”的论文越多越好。:)(提前感谢!)
1
整数分解中周期的下限?
1975年,米勒(Miller)展示了如何减少整数的因式分解,以找到函数的周期,使得f(x + r)= f(x)随机选择a &lt;N。众所周知,Shor算法可以在量子计算机上有效地找到r,而对于经典计算机来说,找到r是难以解决的。r f (x )= a xNNNrrrf(x)=axmodNf(x)=axmodNf(x)=a^x\;\bmod\;Na &lt; N rf(x+r)=f(x)f(x+r)=f(x)f(x+r)=f(x)a&lt;Na&lt;Na<Nrrrrrr 我现在的问题是:随机N的r是否有已知的下界?给定N = pq,就像在RSA中一样,r上是否有边界?显然,r必须为\ Omega(\ log(N)),否则可以只对O(\ log(N))的连续点求f(x)以经典地计算出r。如果有一个经典的分解因数算法仅在一定的假设下对r的分布起作用,那么打破RSA就足够了,例如r \ in \ Theta(N / \ log(N))或r \ in \ Theta(\ sqrt { N})?rrrNNNrrrN=pqN=pqN=pqrrrΩ(log(N))Ω(log⁡(N))\Omega(\log(N))F(x )f(x)f(x)O (对数(N))O(log⁡(N))O(\log(N))[Rrr[Rrr[R &Element; Θ (Ñ/日志(N))r∈Θ(N/log⁡(N))r \in \Theta(N/\log(N))[R &Element; Θ (Ñ--√)r∈Θ(N)r \in \Theta(\sqrt{N}) Carl Pomerance在“ 平均乘数阶数ñnn上的陈述引用了证据,证明在所有N上r 平均[Rrr为O(N / …
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.