Questions tagged «cr.crypto-security»

矩阵维数为n × n （n − 1 ）。我们要使用介于1和n之间（包括1和n）的整数来填充A。一种AAn × n （n − 1 ）n×n(n−1)n \times n(n-1)一种AA1个11ñnn 要求： 每一列都是1 ，… ，n的排列。一种AA1 ，… ，n1,…,n1, \dots, n 由两行组成的任何子矩阵不能具有相同的列。一种AA 题： 是否可以填充满足要求的矩阵？ 与密码学的关系： 每个行号对应一个纯文本。每列对应一个键。由于键定义了注入，因此每一列都必须是一个排列。第二个要求是对两个消息完全保密。

11 co.combinatorics  cr.crypto-security  coding-theory 

自从CRYPTO 2004首次发布用于发现冲突的算法以来，就一直讨论SHA-1的安全性，并随后对其进行了改进。 Wikipedia列出了一些参考文献，但是，有关该主题的最新研究似乎是在2009年发表的（后来被撤回了）（Cameron McDonald，Philip Hawkes和Josef Pieprzyk“具有复杂度O（2 ^ 52）的SHA-1的差分路径”）。 ）。 从那时起，在减少SHA-1上的哈希冲突攻击方面是否取得了重大进展？ 与特定研究的链接以及简短摘要将不胜感激。

11 cr.crypto-security  hash-function  cryptographic-attack 

有谁知道直线模拟的意义？我目前对Canetti的通用可组合性（UC）框架很深入，但是对于直线可仿真性的含义我找不到很好的参考。任何帮助表示赞赏。

11 cr.crypto-security 

当我想到不安全的软件时，我认为它“太有用了”并且可以被攻击者滥用。因此，从某种意义上说，保护软件安全是使软件使用率降低的过程。在理论计算机科学中，您无法与现实世界合作。那么，使用纯理论进行工作时是否存在安全方面的顾虑？还是硬币的另一面，理论计算机科学会影响被黑客入侵的现实世界吗？如果是这样，哪些安全主题被认为是理论上的？

11 cr.crypto-security  big-picture 

令为固定常数。给定一个整数，我们想要构造一个置换使得：Ñ σ ＆Element; 小号Ñk > 0k>0k>0ñnnσ∈ 小号ñσ∈Sn\sigma \in S_n 该构造使用恒定的时间和空间（即预处理占用恒定的时间和空间）。我们可以使用随机化。 给定，可以在恒定的时间和空间中计算。σ （我）我∈ [ Ñ ]i∈[n]i\in[n]σ（我）σ(i)\sigma(i) 排列是方向独立的，即，对于所有，随机变量是独立的并且均匀地分布在。ķ 我1，... ，我ķ σσσ\sigmaķkk一世1个，…… ，我ķi1,…,iki_1, \ldots, i_k[ Ñ ]σ（我1个），… ，σ（我ķ）σ(i1),…,σ(ik)\sigma(i_1), \ldots, \sigma(i_k)[ n ][n][n] 我目前所知道的唯一一件事是使用伪随机数生成器使用每个值使用对数空间和多项式计算时间。σ（我）σ(i)\sigma(i) 背景 在最近的一些工作中，我需要上述类似的东西，最后我使用了一些较弱的东西：我允许重复输入并验证是否覆盖了我需要的所有数字（即一团糟）。具体来说，我得到了一个向独立序列，该序列可以在时间中使用恒定空间进行计算。拥有一些简单的东西，或者只知道已知的东西，那将是很好的。Ô （1 ）ķkkO （1 ）O(1)O(1) 假设条件 我假设单位成本的RAM模型。存储器/寄存器中的每个字的大小均为，每个基本算术运算都需要时间。我愿意假设任何合理的密码学假设（单向函数，离散对数等）。O （1 ）O （对数n ）O(log⁡n)O(\log n)O （1 ）O(1)O(1) 当前的事 正如Kaveh所建议的那样，这是我目前拥有的“简单”技巧（这很标准）：让是素数的多项式（认为为）。在这里，每个是从均匀且随机地采样的。很容易看到是具有重复的序列，但它是方向独立的，大约为的数字按此顺序出现。但是请注意，由于数字按此顺序重复，因此不是排列。p p n a …

10 cc.complexity-theory  ds.algorithms  cr.crypto-security  derandomization  k-wise-independence 

如果存在OWF，则可能具有统计绑定位承诺。[1] 是否知道如果存在OWF，那么可能完全绑定位承诺？ 如果不是，则它们之间是否存在已知的黑匣子分离？ [1] http://en.wikipedia.org/wiki/Pseudorandom_generator_theorem和 http://en.wikipedia.org/wiki/Commitment_scheme#Bit-commitment_from_a_pseudo-random_generator

10 cr.crypto-security  one-way-function 

卡兹（Katz）和林德尔（Lindell）在他们的书中提到，LFSR作为伪随机生成器的基础是可怕的，并主张不再使用它们（嗯，他们还建议人们使用分组密码而不是流密码）。但是，例如，我看到estream产品组合中的一种密码（针对硬件的Grain）使用LFSR，因此关于LFSR不好的观点并没有达成共识。 我想知道是否有很多密码学家分享Katz和Lindell对LFSR（以及流密码）的看法？

10 soft-question  cr.crypto-security  pseudorandom-generators 

我的问题是可以基于分解的难度构造的各种候选单向函数的安全性是否相等。 假设问题 分解：[给定随机素数P ，Q &lt; 2 n的，找到P，Q。]ñ= P问N=PQN = PQP，Q &lt; 2ñP,Q&lt;2nP, Q < 2^nPPP问QQ 不能在多项式时间内以不可忽略的概率求解，函数 优先：[给出位串作为输入，使用x作为种子来生成两个随机质数P和Q（其中P，Q的长度仅比x的长度小）。然后输出P Q。 ]XxxXxxPPPQQQPPPQQQxxxPQPQPQ 可以证明是单向的。 另一个候选单向函数是 整数-整数：[给出随机整数作为输入，输出A B。 ]A,B&lt;2nA,B&lt;2nA, B < 2^nABABA B 与PRIME-MULT相比，INTEGER-MULT具有更易于定义的优点。（尤其要注意，在PRIME-MULT中，种子无法生成素数的P ，Q（尽管可以忽略不计）。）xxxP,QP,QP, Q 至少在两个不同的地方（Arora-Barak，计算复杂性，第177页，脚注2）和（Vadhan的《密码学概论》讲义）中，提到INTEGER-MULT是假设平均分解系数的单向方法。但是，这两个都没有给出这个事实的原因或参考。 所以问题是： 我们如何才能将多项式时间因式分解成不可忽略的概率，而将INTEGER-MULT转化成不可忽略的概率呢？N=PQN=PQN = PQ 这是一种可能的方法（我们将看到它不起作用！）：给定，将N乘以（尽管是多项式地）更长的随机整数A '来获得A = N A '。这个想法是，A '太大，以至于它有许多大小近似等于P ，Q的素数，因此P ，Q不会在A的素数中“脱颖而出” 。则A在给定范围内近似具有均匀随机整数的分布（例如[ 0N=PQN=PQN = PQNNNA′A′A'A=NA′A=NA′A = …

10 reference-request  cr.crypto-security  nt.number-theory  average-case-complexity  one-way-function 

这个问题与四年级高中生的励志演讲相同。我的博士学位 顾问让我为新硕士做鼓舞人心的演讲。学生们。该主题是密码学的基础，这在Goldreich的书中得到了最好的说明。讲座大约需要一个小时，我想让学生熟悉主要的结构（如单向函数/排列，伪随机生成器，零知识证明，加密/签名方案等），并解决和该领域中尚未解决的问题。 我想使谈话保持积极性。主要问题有两个： 密码学的基础需要对计算复杂性理论有很好的理解。las，硕士 学生们没有通过任何与此理论相关的课程。 我需要提出一些问题，作为理学硕士的可能话题。论文。尽管该领域存在许多未解决的问题，但对于M.Sc而言，大多数问题都太难了。学生。 欢迎提出建议。此外，我对类似演讲的指针很感兴趣。 编辑：我发现Goldreich的学生名单非常鼓舞人心。我将搜索其他此类列表，但是如果您知道任何类似的列表，也可以为您提供帮助。另请参阅：使硕士论文和研究失去神秘感：一些硕士论文的故事。

10 reference-request  soft-question  cr.crypto-security  teaching 

让是一个排列。注意，尽管π作用于无限域，但其描述可能是有限的。通过描述，我的意思是描述π功能的程序。（与Kolmogorov的复杂度相同。）请参见以下说明。π:{0,1}∗→{0,1}∗π:{0,1}∗→{0,1}∗\pi \colon \{0,1\}^* \to \{0,1\}^*ππ\piππ\pi 例如，NOT函数就是这样的排列之一： 函数NOT（x） 令y = x 对于i = 1到| x | 翻转y的第i位 返回y ，如下文所定义，是另一种情况下：πk(⋅)πk(⋅)\pi_k(\cdot) 函数pi_k（x） 返回x + k（mod 2 ^ | x |） 我的问题是关于一类特殊的排列，称为单向排列。非正式地讲，这些排列很容易计算，但是难以求逆（对于机器）。单向排列的单纯存在是密码学和复杂性理论中一个长期存在的开放性问题，但在其余部分中，我们将假定它们的存在。BPPBPP\rm{BPP} n=pqn=pqn = pqe=65537e=65537e = 65537πn(x)=xemodnπn(x)=xemodn\pi_n(x) = x^e \bmod n ZnZn\mathbb{Z}_n{πn}n∈D{πn}n∈D\{\pi_n\}_{n\in D}DDDDDD 我的问题是（假设存在单向排列）： 在无限域上是否存在有限描述单向排列？ 答案可能有所不同：可以是肯定的，否定的或开放的（可能为肯定，也可能为否定）。 背景 当我阅读ASIACRYPT 2009论文时出现了问题。在那里，作者隐含地（并在某种证明的背景下）假设存在这种单向排列。 尽管确实找不到证据，但我确实会很高兴。

10 cc.complexity-theory  co.combinatorics  cr.crypto-security  descriptive-complexity  one-way-function 

在通用盲量子计算中，自动器描述了一种基于测量的协议，该协议允许几乎经典的用户在量子服务器上执行任意计算，而几乎不透露有关计算内容的任何内容。 在协议描述中，作者提到了与每个量子位相关联的“依赖集”，这些依赖集应该通过确定性在单向模型中描述的某些方法来计算 但是，从阅读本文的过程中我还不清楚。 有人可以帮助澄清这个问题吗？

10 quantum-computing  cr.crypto-security 

无敌的生成器定义如下： 令为NP关系，M为接受L （R ）的机器。非正式地，程序是一个无懈可击发生器如果，在输入1 Ñ，它产生实例证人对（X ，瓦特）∈ [R ，具有| x | = Ñ，根据分布在其下谁给出任何多项式时间对手X未能找到见证X ∈ 小号，具有显着的概率，为无穷多个长度Ñ。RRRMMML(R)L(R)L(R)1n1n1^n(x,w)∈R(x,w)∈R(x, w) \in R|x|=n|x|=n|x| = nxxxx∈Sx∈Sx \in Snnn 首先由Abadi 等人定义的无害发电机。在密码学中发现了许多应用。 无害生成器的存在基于的假设，但这可能是不够的（另请参阅相关主题）。P≠NPP≠NP\mathbf{P} \neq \mathbf{NP} Abadi 等人的定理3 。上文引用的论文显示，无害生成器存在的任何证据都不能相对化： 定理3.存在一个预言，使得P B ≠ N P B，并且相对于B不存在无害生成器。BBBPB≠NPBPB≠NPB\mathbf{P}^B \neq \mathbf{NP}^B 我不理解该定理的一部分证明。令表示不相交的联合运算。令Q B F为可满足的量化布尔公式的PSPACE完全语言，令K为最大Kolmogorov复杂度的极为稀疏的字符串集。具体来说，K包含一个每个长度为n i的字符串，其中序列n 1，n 2，…定义为：n 1 = 2，n i在n中为三重指数⊔⊔\sqcupQBFQBFQBFKKKKKKninin_in1,n2,…n1,n2,…n_1, n_2, \ldotsn1=2n1=2n_1 = …

10 cc.complexity-theory  cr.crypto-security  oracles  relativization  kolmogorov-complexity 

自从我在密码学上看到这个问题以来，我一直在思考以下问题 。 题 让 RRR是TFNP关系。随机预言可以帮助P / poly 打破RRR具有不可忽略的概率？更加正式地说， \newcommand{\Pr}{\operatorname{Pr}} \newcommand{\E}{\operatorname{\mathbb{E}}} \newcommand{\O}{\mathcal{O}} \newcommand{\Good}{\mathsf{Good}} 是否 适用于所有P / poly算法AAA， Prx[R(x,A(x))]Prx⁡[R(x,A(x))]\Pr_x [R(x, A(x))]可以忽略不计 必然暗示 对于几乎所有 Ø racles OO\O，适用于所有P / poly oracle算法 AAA，Prx[R(x,AO(x))]Prx⁡[R(x,AO(x))]\Pr_x [R(x, A^\O(x))]可以忽略不计 ？ 替代配方 相关的预言集是 GδσGδσG_{\delta\sigma}（因此是可衡量的），因此通过采取对立并应用Kolmogorov的零一定律，以下公式等同于原始公式。 是否 对于几乎所有 Ø racles OO\O， 存在一个P / poly oracle算法AAA 这样 Prx[R(x,AO(x))]Prx⁡[R(x,AO(x))]\Pr_x [R(x,A^\O(x))]不可忽略 必然暗示 存在一个P / poly算法 …

9 cr.crypto-security  relativization  advice-and-nonuniformity  search-problem  random-oracles 

当前大多数加密方法都取决于分解因数的难度，后者是两个大质数的乘积。据我了解，仅当用于生成大素数的方法不能用作分解所得合成数的捷径（并且分解大数本身很困难）时，这才很困难。 看来数学家会不时找到更好的捷径，因此必须定期升级加密系统。（也有可能量子计算最终使因式分解成为更容易的问题，但是如果技术跟上理论的步伐，那也不会让任何人惊讶。） 其他一些问题被证明是困难的。我想到的两个例子是背包问题和旅行商问题的变化。 我知道默克尔-赫尔曼（Merkle-Hellman）被打破了，那萨科-村上（Nasako-Murakami）仍然安全，背包问题可能抵制量子计算。（谢谢，维基百科。）我没有发现将旅行商问题用于密码学。 那么，为什么对大素数似乎统治着密码学呢？ 难道仅仅是因为它当前很容易生成容易相乘却难以分解的大素数对吗？ 是因为事实证明很难将对大素数的保理分解到足够好的可预测程度吗？ 成对的大素数是否以除难度之外的其他方式有用，例如同时进行加密和加密签名的属性？ 为密码问题本身很难解决的其他每个问题类型生成问题集的问题是否太难于实践呢？ 是否对其他问题类型的属性进行了充分的研究以至于无法信任？ 其他。

9 cr.crypto-security  primes 

众所周知，单向功能的存在对于许多密码学（数字签名，伪随机数生成器，私钥加密等）都是必要和充分的。我的问题是：单向函数存在的复杂性理论后果是什么？例如，OWF暗示N P ≠ PñP≠P\mathsf{NP}\ne\mathsf{P}， B P P = P乙PP=P\mathsf{BPP}=\mathsf{P}和 C Z K = I PCžķ=一世P\mathsf{CZK}=\mathsf{IP}。还有其他已知的后果吗？特别是，OWF是否暗示多项式层次结构是无限的？ 我希望更好地了解最坏情况和平均情况下的硬度之间的关系。我也对结果的另一方向感兴趣（例如，复杂性理论结果暗示了OWF）。

9 cc.complexity-theory  reference-request  complexity-classes  cr.crypto-security  one-way-function