タグ付けされた質問 「cr.crypto-security」

MD5アルゴリズムを使用して任意の情報に署名する場合、共有秘密は最後にある必要があるとよく言われます。どうして？

16 hash-function  cr.crypto-security 

私の知る限り、QKDのほとんどすべての実装では、エラー修正にBrassardとSalvailのCASCADEアルゴリズムを使用しています。これは本当に、ランダムなキュービットの共有シーケンスのエラーを修正する最もよく知られた方法ですか、それともQKDの実装が代わりに使用すべきであるというより良い提案がありますか？

14 cr.crypto-security  quantum-computing  quantum-information 

暗号化モデルを修正しています。その不適切さを示すために、グラフ同型に基づいて考案されたプロトコルを考案しました。 「グラフ同型問題のハードインスタンス」を生成できるBPPアルゴリズムの存在を想定することは、「当たり前」です（まだ議論の余地があります！）。（同型の証人と一緒に。） 私の考案したプロトコルでは、1つの追加要件を満たすこのようなBPPアルゴリズムの存在を想定します。 生成されたグラフをおよびG 2とします。G 1をG 2にマップする目撃者（順列）は1つだけです。G1G1G_1G2G2G_2G1G1G_1G2G2G_2 これは、に自明な自己同型のみがあることを意味します。つまり、次のように機能するBPPアルゴリズムの存在を想定しています。G1G1G_1 入力、自明な自形のみを持つように、n頂点グラフG 1を生成します。1n1n1^nnnnG1G1G_1 ランダム順列選択かけて[ N ] = { 1 、2 、... 、N }、および上に適用G 1取得するG 2。ππ\pi[n]={1,2,…,n}[n]={1,2,…,n}[n]=\{1,2,\ldots,n\}G1G1G_1G2G2G_2 出力。⟨G1,G2,π⟩⟨G1,G2,π⟩\langle G_1,G_2,\pi \rangle 私はステップ1で、それを想定つもりだ、、必要に応じて発生させることができ、 ⟨ G 1、G 2は ⟩あるハードグラフ同型問題のインスタンス。（「ハード」という言葉を自然に解釈してください。正式な定義はAbadi et alによって与えられます。Impaliazzo＆Levinの論文も参照してください。）G1G1G_1⟨ G1、G2⟩⟨G1、G2⟩\langle G_1,G_2 \rangle 私の仮定は合理的ですか？誰かが私にいくつかの参考文献を教えてもらえますか？

14 graph-theory  cr.crypto-security  automorphism  graph-isomorphism  randomized-algorithms 

純粋に機能的な設定で、一重にリンクされたリストを検討してください。その賞賛は山頂から歌われており、今後も歌われ続けます。ここでは、その多くの長所のうちの1つと、それをツリーに基づく純粋に機能的なシーケンスのより広いクラスに拡張する方法の問題に取り組みます。 問題は次のとおりです。強力なハッシュを使用して、O（1）時間のほぼ一定の構造的同等性をテストする必要があります。ハッシュ関数が構造的に再帰的である場合、つまり、hash（x：xs）= mix x（hash xs）の場合、リストのハッシュ値を透過的にキャッシュし、要素が既存のリストに結合されたときにO（1）でそれらを更新できます。リストをハッシュするためのほとんどのアルゴリズムは構造的に再帰的であるため、このアプローチは実際に非常に有用です。 しかし、一重リンクリストの代わりに、O（log n）時間で長さO（n）の2つのシーケンスの連結をサポートするツリーベースのシーケンスがあるとします。ここでハッシュキャッシングを機能させるには、ツリーが同じ線形シーケンスを表す際に持つ自由度を尊重するために、ハッシュミキシング関数を連想的にする必要があります。ミキサーは、サブツリーのハッシュ値を取得し、ツリー全体のハッシュ値を計算する必要があります。 これは、6か月前、この問題を熟考して調査するのに1日費やした場所です。データ構造に関する文献では注目されていないようです。暗号化からTillich-Zemorハッシュアルゴリズムに出くわしました。これは、ビット0と1がガロア体のエントリを持つ部分代数の2つの生成器に対応する2x2行列乗算（連想）です。 私の質問は、私が逃したものは何ですか？私の検索で見つけられなかった暗号とデータ構造に関する文献の両方に関連性のある論文がなければなりません。この問題についてのコメントと探求する可能性のある場所は大歓迎です。 編集：スペクトルのソフトと暗号の両方の強みに関するこの質問に興味があります。よりソフトな側面では、衝突を回避する必要があるが壊滅的ではないハッシュテーブルに使用できます。強い面では、同等性テストに使用できます。

14 ds.data-structures  cr.crypto-security  functional-programming  hash-function 

多くの公開鍵暗号システムには、何らかの証明可能なセキュリティがあります。たとえば、Rabin暗号システムは、ファクタリングと同じくらい難しいと証明されています。 AESなどの秘密鍵暗号システムには、このような種類の証明可能なセキュリティが存在するのだろうか。そうでない場合、そのような暗号システムを破ることは難しいという証拠は何ですか？（試行錯誤攻撃への抵抗以外） 注： AES操作（AddRoundKey、SubBytes、ShiftRows、MixColumns）に精通しています。AESの難しさは、MixColumns操作に起因するようです。MixColumns操作は、ガロア体（および、代数）の難しい問題から難易度を継承する必要があります。実際、質問は次のように言い換えることができます。「どの難しい代数的問題がAESのセキュリティを保証するのか？」

14 cr.crypto-security  algebra  algebraic-complexity 

非対称暗号に関連する所見は、一部の機能は一方向では簡単に実行できますが、逆にするのは難しいということです。さらに、逆演算を迅速に計算できる「トラップドア」情報が存在する場合、問題は公開鍵暗号方式の候補になります。 RSAで有名になった古典的なトラップドアの問題には、ファクタリングの問題と離散ログの問題があります。RSAが発行されたのとほぼ同時期に、Rabinは離散平方根の検出に基づいた公開キー暗号システムを発明しました（これは後にファクタリングと少なくとも同じくらい難しいことが判明しました）。 他の候補者は長年にわたって収穫しています。KNAPSACK（RSAのすぐ後）、特定のパラメーターを使用した楕円曲線「対数」、および格子最短基底問題は、他の公開されたスキームでトラップドア問題が使用される問題の例です。また、このような問題はNPのどこかに存在する必要があることも簡単にわかります。 これは、トラップドア機能に関する私の知識を使い果たします。ウィキペディアのリストも使い果たしているようです。 トラップドアや関連文献を認める言語のコミュニティWikiリストを入手できることを望んでいます。リストは役に立ちます。進化する暗号化の要求により、どのトラップドア機能が暗号化システムの基礎になるかが変わります。コンピューター上のストレージの爆発的な増加により、大きなキーサイズのスキームが可能になります。量子コンピューティングの永久に迫る幽霊は、隠されたアーベルのサブグループを見つけるためにオラクルで破ることができるスキームを無効にします。Gentryの完全準同型暗号システムは、準同型を尊重するトラップドア関数を発見したためにのみ機能します。 NP完全ではない問題に特に興味があります。

13 cc.complexity-theory  cr.crypto-security  homomorphic-encryption 

「共通参照文字列とランダムOracleモデルにおける否認可能性」というタイトルの論文で、Rafael Passは次のように書いています。 RO [Random Oracle]モデルの標準ゼロ知識定義に従ってセキュリティを証明する場合、シミュレーターにはプレーンモデルシミュレーターに比べて2つの利点があります。 シミュレーターは、パーティがオラクルを照会する値を確認できます。 シミュレーターは、答えが「見える」限り、どのような方法でもこれらのクエリに答えることができます。 最初の手法、つまりROへのクエリを「監視」する機能は、ROモデルのゼロ知識の概念に言及するすべての論文で非常に一般的です。 ここで、ブラックボックスゼロ知識の定義を検討します（PPTは、確率的、多項式時間チューリングマシンを表します）。 ∃∃\exists（おそらく不正行為）PPT verifier、共通入力、およびランダム性ように、PPTシミュレーターし、以下は区別できません。∀ V * ∀ X ∈ L ∀ RSSS∀∀\forallV∗V∗V^*∀∀\forallx∈Lx∈Lx\in L∀∀\forallrrr 入力証明者と対話し、ランダム性を使用しているののビュー。 P x rV∗V∗V^*PPPxxxrrr出力入力上及び、ブラックボックスへのアクセス与えられる。 x r S V ∗SSSxxxrrrSSSV∗V∗V^* ここでは、ROクエリを監視しようとするシミュレーターを使い果たすことを目的とした不正検証ツール紹介します。V′V′V' LETブラックボックス零知識の定義において存在記号によって保証シミュレータであり、およびletの実行時間上部境界多項式である入力に。がROへのクエリを監視しようとすると仮定します。q （| x |）S x S V ∗SSSq(|x|)q(|x|)q(|x|)SSSxxxSSSV∗V∗V^* ここで、最初に（選択した任意の入力に対して回ROを照会し、次に悪意を持って任意に動作する不正について考えます。 q （| x |）+ 1V′V′V'q(|x|)+1q(|x|)+1q(|x|)+1 明らかに、はシミュレータ使い果たします。の簡単な方法は、このような悪意のある動作を拒否することですが、その方法では、区別者は実際の対話をシミュレートされた対話と簡単に区別できます。（実際のインタラクションでは、証明者は 'のクエリを監視できないため、がクエリしすぎているという単なる事実に基づいて拒否しません。） S S P V …

13 cc.complexity-theory  cr.crypto-security  oracles  black-box 

HAC（10.4.2）の第10章、我々は平方根因子に難しい複合モジュロ抽出（推定）困難を使用してゼロ知識証明に基づく周知Feige -フィアット-シャミール識別プロトコルを参照します。スキームを自分の言葉で説明します（そしてうまくいけばそれを正しくします）。 単純なスキームから始めましょうを、因数分解が困難な十分に大きいサイズのBlum整数（で、とそれぞれが3 mod 4）とします。以来ブラム数である、の要素の半分ヤコビシンボル+1及び他の半分を持っている持っている-1。+1要素の場合、それらの半分には平方根があり、平方根を持つ各要素には4つの要素があり、1つはそれ自体が正方形です。n = p q p q n Z ∗ nnnnn=pqn=pqn=pqpppqqqnnnZ∗nZn∗Z_n^* 今ペギーはランダムな要素を選択からし、セットが。次に、をVictorに送信します。次は、プロトコルです：ビクターは、ペギーはの平方根を知っていることを確認したいとペギーはについては何も漏らすことなく、彼にそれを証明したい彼女は、このような知っている事実を超えた。Z ∗ n v = s 2 v v s ssssZ∗nZn∗Z_n^*v=s2v=s2v=s^2vvvvvvssssss ペギーはでランダムを選択し、をビクターに送信します。Z ∗ n r 2rrrZ∗nZn∗Z_n^*r2r2r^2 ビクターはおそらくまたはをペギーに送り返します。b = 1b=0b=0b=0b=1b=1b=1 ペギーはビクターにを送ります。rsbrsbrs^b ビクターは、受け取ったものを二乗し、正しい結果と比較することにより、ペギーが正しい答えを送信したことを確認できます。もちろん、この相互作用を繰り返して、ペギーが単なる幸運な推測者である可能性を減らします。このプロトコルはZKであると主張されています。証拠はさまざまな場所で見つけることができます（たとえば、Boaz Barakの講義ノート）。 このプロトコルを拡張してより効率的にする場合、Feige-Fiat-Shamirと呼ばれます。上記と非常によく似ています。私たちは、とペギーを開始ランダムな値とランダム兆候彼女のように自分の正方形を公開し。つまり、一部をランダムに無効にします。今s 1 ⋯ s k t 1 = ± 1 、⋯ t k = …

12 cr.crypto-security  proofs  zero-knowledge 

では小型暗号化アルゴリズム： ラウンドの対称性に基づく単純な攻撃を防ぐために、異なる定数のマジック定数が使用されます。マジック定数2654435769または9E3779B9 16は、に選択されます。ここで、ϕは黄金比です。232/ϕ232/ϕ2^{32}/ \phi どのプロパティがないそれはこの文脈では、それは有用なものにする必要がありますか？232/ϕ232/ϕ2^{32}/ \phi

12 cr.crypto-security 

DESのS-Boxで6ビット値を4ビット値にマッピングするときにデータは失われませんか？もしそうなら、正しい出力が表示されるようにどのように逆にすることができますか？

12 cr.crypto-security 

概念秘密分散方式では、多くの場合、シャミルに起因している（A.シャミール、秘密を共有する方法、Commの。ACM、22（1979）、頁612-613。）及びブレイキー（GRブレイキー、暗号鍵の保護、中Proc。NCC、vol。48、1979、pp。313-317。）。 全体的な考え方は、一部の秘密Sが参加者から隠されているということです。参加者は代わりにそれぞれ共有s iを受け取ります。すべての参加者が協力することを決定した場合、各参加者はそれぞれの共有をコンバイナに送信し、コンバイナは共有s iからSを再構築します。 秘密共有スキームに関する論文では、実際のアプリケーション（銀行の金庫など）に言及していることがよくあります。しかし、これらは仮想の「現実世界」のアプリケーション（つまり、象牙の塔の次の階）であり、実際に秘密の共有スキームを使用する銀行（または他の会社）に名前を付けることができるとは疑っています。質問：実際の実際の例は何ですか？ 理想的には、私は答えを含むようにしたいと思います：会社Xで彼らはZを保護するために秘密共有方式Yを使用します（詳細についてはABCを参照）。

12 cr.crypto-security  application-of-theory 

私は、計算暗号化セキュリティのコンテキストでビットコインプロトコルを理解しようとしています。 質問は、ビットコインに関する暗号化記事の基礎への参照リクエストです。 私の最初の質問は、ビットコインが実装しようとしている抽象暗号プロトコルは何ですか？ビットコインをキャプチャする暗号化の電子マネー/デジタル通貨の定義はありますか？安全な電子マネーのセキュリティ要件は何ですか？ 答えが「はい」の場合、eBayのような企業は、電子マネー転送の中央平均を提供します。分散型電子マネーを検討すると、電子マネーの抽象的な暗号化プロトコルの定義が変わりますか？それとも、まったく同じ概念ですが、信頼できる第三者がいないモデルではど​​うでしょうか？ 他の（正直な）パーティの計算能力よりも高い計算能力を持っている場合、攻撃者はプロトコルを破ることができますか 我々が持っていることを前提と、当事者P Iのための1 ≤ iが≤ Nプラス敵Aは、ネットワーク接続と敵がビットコインプロトコルを破ることを望んでいます。簡単にするために、ネットワークグラフはK n + 1であり、敵はネットワークを制御せず、単に他者のようなパーティであると仮定しましょう。この単純な場合のプロトコルのセキュリティに関する正確な数学的主張は何でしょうか？nnnPiPiP_i1≤i≤n1≤i≤n1 \leq i \leq nAAAKn+1Kn+1K_{n+1}

11 reference-request  cr.crypto-security 

一定の深さの回路をだますことに関していくつか質問があります。 深さdのA C 0回路をだますには、ごとの独立性が必要であることが知られています。ここでnは入力のサイズです。どうすればこれを証明できますか？ログO （d）（n ）logO(d)⁡(n)\log^{O(d)}(n)A C0AC0AC^0dddnnn 上記が真であるため、深さdの回路をだます疑似乱数ジェネレーターは必ずシード長l = Ω （log d（n ））を持たなければならないため、R A C 0 = Aを証明できないPRGを介したC 0。私は信じR A C 0を？= A C 0は未解決の問題であるため、これはR A Cを証明するためにPRG以外の手法を使用する必要があることを意味しますA C0AC0AC^0dddl = Ω （logd（n ））l=Ω(logd⁡(n))l = \Omega(\log^d(n))R A C0= A C0RAC0=AC0RAC^0 = AC^0R A C0=？A C0RAC0=?AC0RAC^0 \stackrel{?}{=} AC^0。少なくとも Pの場合、これは奇妙だと思いますか？= B P P、この質問に答えるには、PRGが本質的に唯一の方法であると考えています。R A …

11 cc.complexity-theory  cr.crypto-security  circuit-complexity  derandomization  pseudorandom-generators 

背景： 私は、エラーを伴う学習（LWE）問題の「あまり知られていない」下限（または硬さの結果）を見つけることに興味があります。特定の定義などについては、Regevによる素晴らしい調査をご覧ください。http：//www.cims.nyu.edu/~regev/papers/lwesurvey.pdf （R）LWEスタイルの仮定の標準タイプは、（おそらく、量子）格子上の（おそらく、理想的な）Shortest Vector Problemへの還元によるものです。SVPの通常の定式化はNP困難であることが知られており、小さな多項式因子に近似するのは困難であると信じられています。（関連：/ almost-polynomial /要因内でCVPを概算することは困難です：http : //dl.acm.org/citation.cfm?id = 1005180.1005182）（量子アルゴリズムの観点から）特定の格子問題（SVPなど）を小さな多項式近似係数に近似することは、非アーベル隠しサブグループ問題（独自の理由で困難であると考えられています）に関連していますが、このための明示的で正式なソースを見たことはありません。 ただし、学習理論のノイジーパリティ問題の結果として生じる硬度結果（任意のタイプ）に興味があります。これらは、複雑度クラスの硬さの結果、具体的なアルゴリズムの下限、サンプルの複雑度の下限、またはプルーフサイズの下限（解像度など）である可能性があります。LWEは、ノイズのあるパリティ/ノイズ付き学習パリティ（LPN）問題の一般化として見ることができる（おそらく明らか）ことが知られています。学習。 自分の周りを見てみると、LPN問題の（わずかに指数関数的でない）上位境界のみが見つかりました。たとえば、http： //www.di.ens.fr/~lyubash/papers/parityproblem.pdf 質問： 学習コミュニティではLPNが難しいと信じられています。私の質問は：なぜですか？ 誰もが一生懸命努力したが、まだ誰も優れたアルゴリズムを見つけていないからでしょうか？上記のイタリック体の下限（または私が除外した他の下限）は知られていますか？ 答えが非常に明確である場合、既知の内容の簡潔な要約、および/または調査/講義ノートへの参照が素晴らしいでしょう。 多くが不明な場合は、「最先端の」論文が多いほど良いでしょう。:)（事前に感謝します！）

11 cc.complexity-theory  reference-request  cr.crypto-security  machine-learning  lg.learning 

1975年に、ミラーが示されている整数の因数分解低減する方法期間見つけることに関数のようにランダムに選択されます。Shorのアルゴリズムが量子コンピューターで効率的に見つけることができるのはよく知られていますが、古典的なコンピューターではを見つけるのは難しいと考えられています。NNNrrrf(x)=axmodNf(x)=axmodNf(x)=a^x\;\bmod\;Nf(x+r)=f(x)f(x+r)=f(x)f(x+r)=f(x)a&lt;Na&lt;Na<Nrrrrrr 私の質問は次のとおりです：ランダム既知の下限はありますか？上の任意の限界がある与えられた RSAのように選択されていますか？明らかに、でなければならないひとつ評価することができ、さもなければとして上のを把握する連続する点を古典。古典ファクタリングのみの配布にいくつかの仮定の下で動作するアルゴリズムがあった場合には、RSAを破るために十分である例えば、または？rrrNNNrrrN=pqN=pqN=pqrrrΩ(log(N))Ω(log⁡(N))\Omega(\log(N))f(x)f(x)f(x)O(log(N))O(log⁡(N))O(\log(N))rrrrrrr∈Θ(N/log(N))r∈Θ(N/log⁡(N))r \in \Theta(N/\log(N))r∈Θ(N−−√)r∈Θ(N)r \in \Theta(\sqrt{N}) 「平均で乗数mod nnn平均」に関するCarl Pomeranceのプレゼンテーションでは、rrrがすべてのNにわたって平均でO(N/log(N))O(N/log⁡(N))O(N/\log(N))であるという証拠を引用していますが、Nを因数分解できる古典的なアルゴリズムがr \ in O（N / \ log（N））の仮説では、RSAは最終的に破られます。Nは逆にr \ in O（N））またはr \ in O（\ sqrt {N}）を持つように選択できますか？NNNNNNr∈O(N/log(N))r∈O(N/log⁡(N))r \in O(N/\log(N))NNNr∈O(N))r∈O(N))r \in O(N))r∈O(N−−√)r∈O(N)r \in O(\sqrt{N}) （注：一般的なファクタリングとRSAファクタリングには関連する質問があります）

11 cc.complexity-theory  cr.crypto-security  factoring