Questions tagged «cr.crypto-security»

是否有一个已知的集体动作家族， 在该集合中正在执行的动作中具有指定的元素 ，并且知道如何有效地进行 \: 从组中采样（基本上统一），计算逆运算， \: 计算小组行动，并计算小组行动 而且还没有已知的有效量子算法 能够以不可忽略的概率成功 \: 作为输入给出集体行动的指数和结果 \: 作用于指定元素的采样组元素， \: 查找一个组元素，其对指定元素的作用是第二个输入 ？ 据我所知，它们提供了唯一的非交互式统计隐藏承诺的已知结构，其中有关活板门的知识可以实现有效且不可检测的模棱两可，这对于零知识协议和自适应安全性很有用。 通过使域通过以下方式作用于共域，可以将具有前三个属性的任何单向组同态族（从本文的第三行和第四行）转换为此类事物： ⟨ 一个，b ⟩ ↦ ħ （一）⋅ b⟨一个，b⟩↦H（一个）⋅b\: \langle a,b\rangle \mapsto h(a)\cdot b \:， \: 以身份元素作为杰出元素。 作为将上述转换应用于组指数同态的特例，可以获取Pedersen承诺方案的受限版本，尽管对量子算法而言，其单向性等效于离散对数问题的难度。（请参阅Shor算法和该页面上有关离散对数的部分。）

9 cr.crypto-security  quantum-computing  gr.group-theory 

在1979年Adi Shamir [1]的论文中，他证明了分解可以通过多项式的算术步骤完成。在直线程序（SLP）的背景下，Borwein和Hobart最近的论文[2]中重申了这一事实，并引起了我的注意。 由于我很惊讶地阅读了这篇文章，所以我有以下问题：是否还有其他密码问题或其他相关问题，这些问题可以通过SLP的多项式步数来解决，并且目前尚不知道可以解决。在“常规”经典计算机上有效地运行？ [1] Adi Shamir，因式分解O （对数n ）Ø（日志⁡ñ）O(\log n)算术步骤。信息处理快报8（1979）S. 28–31 [2]彼得· 鲍尔文（ Peter Borwein），乔·霍巴特（Joe Hobart），直线计划中的除法超常能力，《美国数学月刊》，第1期。119，No.7（2012年8月9日），第584-592页

9 cc.complexity-theory  cr.crypto-security  algebraic-complexity 

Background––––––––––––––Background_\underline{\bf Background} 在2005年，Regev [1]引入了带错误学习（LWE）问题，这是带错误学习奇偶性问题的概括。对于某些参数选择，此问题的难度假设现在为基于晶格密码学领域中许多后量子密码系统的安全证明奠定了基础。LWE的“规范”版本如下所述。 预备赛： 令为实数模1的加法组，即取。为正整数和，一个“秘密”矢量，概率分布上，让是对分布通过选择获得的均匀地在随机，画一个误差项，然后输出T=R/ZT=R/Z\mathbb{T} = \mathbb{R}/\mathbb{Z}[0,1)[0,1)[0, 1)nnn2≤q≤poly(n)2≤q≤poly(n)2 \le q \le poly(n)s∈Znqs∈Zqn{\bf s} \in \mathbb{Z}_q^nϕϕ\phiRR\mathbb{R}As,ϕAs,ϕA_{{\bf s}, \phi}Znq×TZqn×T\mathbb{Z}_q^n \times \mathbb{T}a∈Znqa∈Zqn{\bf a} \in \mathbb{Z}_q^nx←ϕx←ϕx \leftarrow \phi(a,b′=⟨a,s⟩/q+x)∈Znq×T(a,b′=⟨a,s⟩/q+x)∈Zqn×T({\bf a}, b' = \langle{\bf a}, s\rangle/q + x) \in \mathbb{Z}_q^n \times \mathbb{T}。 令为的“离散化” 。也就是说，我们首先从绘制一个样本，然后输出。这里表示将舍入到最接近的整数值，因此我们可以将视作。As,ϕ¯¯¯As,ϕ¯A_{{\bf s}, \overline{\phi}}As,ϕAs,ϕA_{{\bf s}, \phi}(a,b′)(a,b′)({\bf a}, b')As,ϕAs,ϕA_{{\bf s}, \phi}(a,b)=(a,⌊b′⋅q⌉)∈Znq×Zq(a,b)=(a,⌊b′⋅q⌉)∈Zqn×Zq({\bf a}, b) = …

9 cc.complexity-theory  ds.algorithms  cr.crypto-security  machine-learning  open-problem 

维基百科-SHA-2说 SHA-224与SHA-256相同，除了： 初始变量值h0到h7不同，并且 通过省略h7来构建输出。 RFC3874-224位单向哈希函数：SHA-224说 使用不同的初始值可确保将截断的SHA-256消息摘要值误认为是对相同数据计算的SHA-224消息摘要值。 我的问题： 以上引用的原因是SHA​​-224和SHA-256使用不同初始值的唯一原因吗？ 为什么确保SHA-256消息摘要值不能被误认为SHA-224消息摘要值很重要？ 如果我们对两个哈希函数使用相同的初始值，那么两个哈希函数的安全性是否会恶化？如果是，怎么办？

9 cr.crypto-security  hash-function 

这个问题出现在密码学的背景下，但是下面我将以复杂性理论来介绍它，因为这里的人们更加熟悉后者。该问题与NP中的问题有关，但与“平均P / poly和Oracle Access克服不均匀性”无关。 非正式声明：非统一对手（即多尺寸电路系列）何时能成功突破密码方案，而统一对手（即概率多时图灵机）却无法成功？ 复杂度理论声明：这与上面的非正式声明并不完全相同，但是我实际上对此版本感兴趣： 存在哪些自然问题 (NP∩P/poly)−AvgP(NP∩P/poly)−AvgP(\mathsf{NP} \cap \mathsf{P/poly}) - \mathsf{AvgP} ？ 换句话说，有什么难的平均自然NPNP\mathsf{NP}多尺寸电路系列可以解决问题吗？ 可以将“已解决 ”一词解释为最坏情况或平均情况（最好使用后者）。 如果不容易发现自然问题，那么人为问题也是可以接受的。

9 cc.complexity-theory  cr.crypto-security  np  advice-and-nonuniformity  average-case-complexity 

最近，克雷格（Craig Gentry）发布了第一个完全同态的公钥加密方案（在纯文本空间{0,1}上），这意味着人们可以在不了解秘密解密密钥的情况下高效，紧凑地评估加密后的明文的AND和XOR。 我想知道是否有任何明显的方法可以将此公钥密码系统转变为阈值公钥密码系统，从而每个人都可以进行加密，AND和XOR，但是只有在某些（所有人）共享密钥团队的情况下才可以解密。 我会对有关该主题的任何想法感兴趣。 提前致谢 w

9 cr.crypto-security  circuit-complexity  homomorphic-encryption 

简而言之：假设存在单向排列，我们可以构造一个没有活板门的排列吗？ 更多信息： 单向排列是排列 ππ\pi它易于计算，但难于反转（有关更正式的定义，请参见单向功能标签Wiki）。我们通常考虑单向排列的家庭，π={πn}n∈Nπ={πn}n∈N\pi = \{\pi_n\}_{n \in \mathbb{N}}，每个 πnπn\pi_n是单向排列，作用于有限域DnDnD_n。甲陷门单向置换如上定义，不同之处在于存在一个活板门组{tn}n∈N{tn}n∈N\{t_n\}_{n \in \mathbb{N}} 和多重时间反转算法 III，这样对所有人 nnn， |tn|≤poly(n)|tn|≤poly(n)|t_n| \le {\rm poly}(n)和 III 可以反转 πnπn\pi_n 只要给出 tntnt_n。 我知道这会产生这样它是单向排列不可行找到暗门（但暗门存在）。此处提供了一个基于RSA假设的示例。问题是， 是否存在不带活板门（集合）的单向排列（系列）？ 编辑：（更多形式化） 假设存在一些单向排列 ππ\pi 具有（无限）域 D⊆{0,1}∗D⊆{0,1}∗D \subseteq \{0,1\}^*。也就是说，存在一个概率多项式时间算法DD\mathcal{D} （根据输入 1n1n1^n，在 Dn=0,1n∩DDn=0,1n∩DD_n=\\{0,1\\}^n \cap D），这样对于任何多项式时间的对手 AA\mathcal{A}， 任何 c>0c>0c>0，以及所有足够大的整数 nnn： Pr [ x ← D（1个ñ）：一个（π（（x ））= x ] <ñ− …

9 cr.crypto-security  one-way-function 

您如何强迫一方诚实（服从协议规则）？ 我已经看到了一些机制，例如承诺，证明等，但是它们似乎并不能解决整个问题。在我看来，协议设计的结构和这种机制必须能够胜任。有没有人对此有很好的分类。 编辑 在设计安全协议时，如果您强迫一方诚实，尽管这种实施有其自己的收益，但设计会容易得多。我已经看到在设计安全协议时，设计人员会假设某些东西对我来说似乎并不现实，例如，假设所有各方在最坏的情况下都是诚实的，或者是假设维护用户数据的服务器是诚实的。但是，在更严格的模型中查看协议的设计时，您很少会看到这样的假设（至少我还没有看到它-我主要研究协议我认为Canetti的UC框架尚未完全形式化）。我想知道，您是否可以对强迫一方诚实的方式进行很好的分类，或者是否有任何编译器可以将输入协议转换为诚实方？ 现在，我将解释为什么我认为这虽然看起来无关紧要，但仍无法完成任务。在受益于理想/实际范例的UC框架中设计协议时，理想模型中的每个通信链接都经过身份验证，在真实模型中并非如此。因此，协议设计者寻求通过PKI假设或CRS（通用参考字符串）来实现此通道的替代方法。但是，在设计身份验证协议时，假设经过身份验证的通道是错误的。假设我们正在UC框架中设计一个身份验证协议，则存在一种攻击，攻击者伪造了一方的身份，但由于在理想模型中假设使用了经过身份验证的链接，因此在此框架中未假定该攻击！您可以参考对组密钥交换协议的内部攻击建模。您可能会注意到，Canetti在他的开创性著作《密钥交换和安全通道的通用组合概念》中提到了以前的安全概念SK-Security，它足以确保身份验证协议的安全。他以某种方式承认（通过陈述，这是技术性问题），在这种情况下，UC定义过于严格，并提供了一个轻松的变体，称为非信息预言（这使我感到困惑，因为我在任何地方都没有看到这种安全模型） ，我无法将此安全模式与任何其他安全模式匹配，可能是我缺乏知识：D）。 [作为旁注，几乎可以将任何Sk-secure协议转换为UC安全协议，而与模拟器时间无关。例如，您可以删除消息的签名，然后让模拟器以虚拟方式模拟整个交互。有关证明，请参见通用组合贡献组密钥交换！现在假设这是一个多方参与的组密钥交换协议，模拟器的效率是多少？这是我在此论坛中提出的其他问题的起源。] 无论如何，由于在普通模型（基于UC）中缺乏承诺，我寻求其他方法通过绕过这种放松的需求来使协议安全。这个想法在我脑海中非常基础，通过研究普通模型中canetti的最新承诺方案而浮现在脑海：从标准假设中研究普通模型中的自适应硬度和可组合安全性。 顺便说一句，我不寻求零知识证明，因为由于我不知道的原因，每当有人在并发协议（通过UC框架）中使用其中一个时，其他人就提到该协议效率低下（可能是由于模拟器倒带）。

9 cr.crypto-security  gt.game-theory