タグ付けされた質問 「cr.crypto-security」

効果的な方法が知られている、実行されているセット内の指定された要素を持つ 既知のグループアクションのファミリがありますか？ \: グループから（本質的に均一に）サンプリングし、逆演算を計算し、 \: グループ操作を計算し、グループアクションを計算する そして、 無視できない確率で成功するための効率的な量子アルゴリズムは知られていない \: 入力として与えられたグループアクションのインデックスとの結果 \: 指定された要素に作用するサンプリングされたグループ要素、 \: 指定された要素に対するアクションが2番目の入力であるグループ要素を見つける ？ 私が知る限り、これらは非対話型の統計的に非表示のコミットメントの唯一の既知の構造を提供します。トラップドアの知識は、ゼロ知識プロトコルと適応型セキュリティに役立つプロパティである効率的で検出不可能な等価を可能にします。 最初の3つのプロパティ（この投稿の3行目と4行目から）を持つ一方向グループ準同型のファミリーは、ドメインを介してコドメインに作用させることにより、そのようなものに変換できます。 ⟨a,b⟩↦h(a)⋅b⟨a,b⟩↦h(a)⋅b\: \langle a,b\rangle \mapsto h(a)\cdot b \:、 \: 識別要素としてアイデンティティ要素を使用します。 Pedersenコミットメントスキームの制限付きバージョンは、上記の変換をグループ指数準同型に適用する特別なケースとして取得できます。その一方向性は、離散対数問題の硬度と同等ですが、量子アルゴリズムでは難しくありません。（Shorのアルゴリズムとそのページの離散対数に関するセクションを参照してください。）

9 cr.crypto-security  quantum-computing  gr.group-theory 

1979年のAdi Shamir [1]の論文では、因数分解は多項式の数の演算ステップで実行できることを示しています。この事実は、直線プログラム（SLP）のコンテキストでのBorwein and Hobart [2]の最近の論文で再説明されたため、私の注目になりました。 これを読んで驚いたので、次の質問があります。SLPで多項式の数のステップで解決でき、現在解決できないことがわかっている、他の暗号の問題または他の関連する問題はありますか？ 「通常の」古典的なコンピュータで効率的に？ [1] Adi Shamir、Oの因数分解（log n ）算術ステップO （ログn ）O（ログ⁡ん）O(\log n)。情報処理レター8（1979）S. 28–31 [2]ピーター・ボーウェイン、ジョー・ホバート、「直線プログラムにおける除算の並外れた力」、アメリカ数学月報Vol。1。119、No. 7（2012年8月〜9月）、584-592ページ

9 cc.complexity-theory  cr.crypto-security  algebraic-complexity 

Background––––––––––––––Background_\underline{\bf Background} 2005年に、Regev [1]はLearning with Errors（LWE）問題を導入しました。これは、Learning Parity with Error問題の一般化です。特定のパラメータ選択に対するこの問題の厳しさの仮定は、ラティスベースの暗号化の分野における多くのポスト量子暗号システムのセキュリティ証明の根底にあります。LWEの「正規」バージョンを以下に説明します。 予備： ましょう実数の加法群、すなわち内の値をとり、1を法とする[ 0 、1 ）。正の整数のN及び2 ≤ Q ≤ P O のL Y （N ）、 "秘密"ベクトルS ∈ Z N 、Q、確率分布φ上のR、聞かせてA Sは、φに分布することがZ N Q × TT=R/ZT=R/Z\mathbb{T} = \mathbb{R}/\mathbb{Z}[0,1)[0,1)[0, 1)nnn2≤q≤poly(n)2≤q≤poly(n)2 \le q \le poly(n)s∈Znqs∈Zqn{\bf s} \in \mathbb{Z}_q^nϕϕ\phiRR\mathbb{R}As,ϕAs,ϕA_{{\bf s}, \phi}Znq×TZqn×T\mathbb{Z}_q^n \times \mathbb{T}選択することによって得られた∈ Z N qは、一様にランダムに描画誤差項X …

9 cc.complexity-theory  ds.algorithms  cr.crypto-security  machine-learning  open-problem 

ウィキペディア-SHA-2によると SHA-224はSHA-256と同じですが、次の点が異なります。 初期変数値h0からh7は異なります。 出力はh7を省略して作成されます。 RFC3874-224ビットの一方向ハッシュ関数：SHA-224は言います 異なる初期値を使用すると、切り捨てられたSHA-256メッセージダイジェスト値が、同じデータで計算されたSHA-224メッセージダイジェスト値と間違われることがなくなります。 私の質問： 上記の理由は、SHA-224とSHA-256が異なる初期値を使用する唯一の理由ですか？ SHA-256メッセージダイジェスト値をSHA-224メッセージダイジェスト値と間違えないようにすることが重要なのはなぜですか？ 両方のハッシュ関数に同じ初期値を使用すると、どちらかのハッシュ関数のセキュリティが低下しますか？はいの場合、どのように？

9 cr.crypto-security  hash-function 

この質問は暗号化のコンテキストで発生しましたが、ここでは複雑さの理論の観点から説明します。この質問は、NPの問題に関連していますが、Oracle AccessによるAverage-P / polyおよびBeating Nonuniformityには関連していません。 非公式声明：非一様敵対者（つまり、回路のポリサイズファミリ）が暗号スキームを破るのに成功するのに、一様敵対者（つまり、確率的ポリタイムチューリングマシン）が成功しないのはいつですか？ 複雑さの理論的記述：これは上記の非公式の記述とまったく同じではありませんが、私は実際にこのバージョンに興味があります。 どのような天然の問題はにある？（N P ∩ P / P O LのY）- V G P（NP∩P/poly）−あvgP(\mathsf{NP} \cap \mathsf{P/poly}) - \mathsf{AvgP} 言い換えれば、ポリサイズの回路ファミリーによって、平均的なハード問題を解決できるのでしょうか。N PNP\mathsf{NP} 解決されたという単語は、最悪のケースまたは平均的なケースとして解釈できます（後者が推奨されます）。 自然な問題を簡単に見つけることができない場合は、人為的な問題も許容されます。

9 cc.complexity-theory  cr.crypto-security  np  advice-and-nonuniformity  average-case-complexity 

最近、Craig Gentryは完全に準同型である最初の公開鍵暗号化スキーム（平文空間{0,1}を介して）を公開しました。つまり、秘密の復号鍵を知らなくても、暗号化された平文のANDおよびXORを効率的かつコンパクトに評価できます。 この公開キー暗号システムをしきい値の公開キー暗号システムに変換して、誰でも暗号化、AND、XORできる明白な方法があるかどうか疑問に思っていますが、復号化は、キーを共有している一部（すべて）の人々が協力する場合にのみ可能です。 私はその主題についてのアイデアに興味があります。 前もって感謝します fw

9 cr.crypto-security  circuit-complexity  homomorphic-encryption 

要するに：と仮定すると、一方向の順列は、我々は何のトラップドアを持っていないものを構築することができ、存在しますか？ より詳しい情報： 一方向の順列は、計算が簡単であるが逆にするのが難しい順列ππ\piです（より正式な定義については、一方向関数タグwikiを参照してください）。我々が通常考える家族一方向性置換のπ={πn}n∈Nπ={πn}n∈N\pi = \{\pi_n\}_{n \in \mathbb{N}}それぞれ、πnπn\pi_n上に作用する、一方向性置換であるが有限のドメインDnDnD_n。トラップドアトラップドアのセットが存在することを除いて一方向性置換は、上記のように定義される{tn}n∈N{tn}n∈N\{t_n\}_{n \in \mathbb{N}}ポリ時間反転アルゴリズムIII、すべてのnnn、|tn|≤poly(n)|tn|≤poly(n)|t_n| \le {\rm poly}(n)、及びIII反転させることができるπnπn\pi_n、それが与えられたことを条件tntnt_n。 トラップドアを見つけることが不可能であるように生成された一方向の順列を知っています（まだトラップドアが存在します）。RSA仮定に基づく例をここに示します。質問は、 トラップドア（セット）がない一方向の順列（のファミリ）は存在しますか？ 編集：（より正式化） いくつかの一方向性置換が存在すると仮定ππ\pi（無限の）ドメインとD⊆{0,1}∗D⊆{0,1}∗D \subseteq \{0,1\}^*。つまり、確率的多項式時間アルゴリズムDD\mathcal{D}（入力1n1n1^n、Dn=0,1n∩DDn=0,1n∩DD_n=\\{0,1\\}^n \cap D）、その結果、任意の多項式時間の攻撃のためのAA\mathcal{A}、任意c&gt;0c&gt;0c>0、およびすべての十分に大きな整数nnn： Pr[x←D(1n):A(π(x))=x]&lt;n−cPr[x←D(1n):A(π(x))=x]&lt;n−c\Pr[x \leftarrow \mathcal{D}(1^n) \colon \quad \mathcal{A}(\pi(x))=x]0んnn Pr [ x ← D』（1ん）：あ』ん（π』（x ））= x ] &lt; n− cPr[x←D′(1n):An′(π′(x))=x]&lt;n−c\Pr[x \leftarrow \mathcal{D}'(1^n) \colon \quad \mathcal{A}'_n(\pi'(x))=x]<n^{-c} （確率の内部コイン投げ引き継がれるため、決定論的です。）A 'D』D′\mathcal{D}'あ』A′\mathcal{A}'

9 cr.crypto-security  one-way-function 

どのようにしてパーティを正直にさせることができますか（プロトコルルールに従います）？ コミットメント、証明などのメカニズムをいくつか見ましたが、それらは単に問題全体を解決するようには見えません。プロトコル設計の構造とそのようなメカニズムが仕事をしなければならないと私には思われます。誰もがそれをうまく分類していますか？ 編集し 安全なプロトコルを設計するとき、当事者に正直を強いる場合、この施行には独自の見返りがありますが、設計ははるかに簡単です。安全なプロトコルを設計するときに、設計者は私には現実的でないように思われます。たとえば、すべての関係者が最悪の場合は正直であると想定したり、ユーザーデータを維持するサーバーの正直さを想定したりします。しかし、より厳密なモデルでプロトコルの設計を見ると、そのような仮定はめったにありません（少なくとも、私はそれを見たことはありません。CanettiのUCフレームワークはまだ完全に正式化されていないと思います）。私は不思議に思っていましたが、パーティーを正直にさせることができる方法の良い分類はありますか、それとも入力プロトコルを正直なパーティーを持つものに変換できるコンパイラはありますか？ これは、無関係に見えるかもしれませんが、これが単に仕事をしないと思う理由を説明します。UCフレームワークでプロトコルを設計する場合、理想的/実際のパラダイムの恩恵を受けると、理想的なモデルのすべての通信リンクが認証されますが、これは実際のモデルでは当てはまりません。したがって、プロトコル設計者は、PKI仮定またはCRS（共通参照文字列）を使用してこのチャネルを実装する代替方法を模索しています。しかし、認証プロトコルを設計するとき、認証されたチャネルを想定することは間違っています。UCフレームワークで認証プロトコルを設計していると仮定すると、攻撃者がパーティのIDを偽造する攻撃がありますが、理想的なモデルでは認証済みリンクを想定しているため、この攻撃はこのフレームワークでは想定されていません。あなたは参照するかもしれませんグループキー交換プロトコルに対するインサイダー攻撃のモデリング。カネッティの独創的な作品の中で、鍵交換と安全なチャネルの普遍的に構成可能な概念は、認証プロトコルのセキュリティを保証するのに十分なだけの以前のセキュリティの概念であるSK-Securityに言及していることに気付くでしょう。彼はどういうわけか（これは技術的な問題であることを示すことによって）このコンテキストでのUC定義は制限が厳しすぎ、非情報オラクルと呼ばれる緩和されたバリアントを提供します（これは私を混乱させたので、どこにもこのセキュリティモデルを見たことがない、このセキュリティパターンを他のセキュリティパターンと一致させることはできません。おそらく私の知識不足です：D）。 [補足として、シミュレータの時間に関係なく、ほぼすべてのSk-secureプロトコルをUCセキュアプロトコルに変換できます。たとえば、メッセージの署名を削除して、シミュレーターに相互作用全体をダミーの方法でシミュレートさせることができます。証明については、Universally Composable Contributorry Group Key Exchangeを参照してください！これが多項式で多くのパーティとのグループキー交換プロトコルであるとすると、シミュレータの効率はどうなりますか？これが、このフォーラムでの他の質問の原点です。] とにかく、プレーンモデル（UC上）への取り組みが欠如しているため、その緩和の必要性をバイパスするだけでプロトコルを安全にする他の手段を探しました。この考えは私の心の中で非常に基本的であり、単純なモデルでカネッティの最新のコミットメント方式を研究しただけで頭に浮かびました：標準的な仮定からの単純なモデルでの適応可能な硬度と構成可能なセキュリティ。 ところで、私は知識がゼロであることの証明を求めていません。理由はわからないので、誰かが（UCフレームワークを介して）並行プロトコルでそれらの1つを使用したときはいつでも、他の人がプロトコルを非効率的であると述べているためです（シミュレータの巻き戻しによる）。

9 cr.crypto-security  gt.game-theory 

少なくとも理論的には（そして標準的な暗号の仮定の下で）人々が自宅から安全に投票できるようにする暗号プロトコルはありますか？私は様々な問題に対処するかもしれない方法を参照できます：1を除く（のような、二回投票の投票はのためだったかについて何の情報を明らかにしないながら投票が登録されたことを証明生産から人々を防止）防止強制ことを確認して行っています（有権者は賄賂を受け取っていないか、または別の方法で特定の方法で投票することを強制されていません）。投票者が投票センターに実際に立ち会い、監督者が監視していなければ、これは原則的には不可能のようですが、おそらく私は枠の外では十分に考えていません。

8 cr.crypto-security 

メッセージ認証コード（MAC）は、効率的なアルゴリズムの三重によって定義される（定義はセクション4.3から取得され、次を満たす、カッツ・リンデル帳） ：（G e n、M A C、V e r i f）(Gen,MAC,Verif)(\mathsf{Gen}, \mathsf{MAC}, \mathsf{Verif}) 入力上の、アルゴリズムGのE Nキー生成K ≥ Nを。1ん1n1^nGenGen\mathsf{Gen}k≥nk≥nk \ge n 入力にによって生成されたG 、E 、N、およびいくつかのメッセージM ∈ { 0 、1 } *、アルゴリズムM A Cは、タグ生成Tを。t ← M A C k（m ）と書く。kkkGenGen\mathsf{Gen}m∈{0,1}∗m∈{0,1}∗m \in \{0,1\}^*MACMAC\mathsf{MAC}tttt←MACk(m)t←MACk(m)t \gets \mathsf{MAC}_k(m) 入力トリプルで、アルゴリズムV e r i fは単一ビットbを生成します。b ← V e r i f …

8 cr.crypto-security 

対数丸め複雑さを伴う並行ゼロ知識証明 ページ番号は論文自体からのものであり、pdfからのものではありません。 3ページから 「対話型の証明システムは 、確率的多項式時間オラクルマシンが存在 する場合、確率的多項式時間検証器V ∗およびSSSV∗V∗V^*X ∈ Lx∈L\:x \in L\:、 入力xでS V ∗ によって生成された出力の分布 は、 相互作用の最後の検証者のビュー（P 、V ）（x ）から計算上区別できません 。SV∗SV∗S^{V^*}バツxx（P、V）（x ）(P,V)(x)(P,V)(x) 彼らが意味すると思います （P、V∗）（x ）(P,V∗)(x)\:\left(P,V^*\right)(x)\:最後に、そうでなければ、これ は正直な検証者計算ゼロ知識を定義するだけです。 7ページから 「すべてのセッションが 終了するまで（または検証ツールが終了するまで）シミュレーターが中断しない場合、 その時点で検証ツールのビューが出力されます。」 8ページの第3段落から 「深度カウンターが葉の1レベル上にあることを示している場合、 シミュレーターは次の2つのプリアンブルメッセージを待つ必要があります。つまり、 2つの葉を通過してから 戻る必要があります。このため、シミュレーターは変更を続けます。 2つのプリアンブルメッセージが到着するまで、（変更された）証明者と検証者を実行させることによる現在のビュー 。」 その段階で の証明者のメッセージは統計的に拘束力のある約束であるので、これはうまくいかないように私には思えます 。 しましょう p ：ω → ωp:ω→ω\: p: \omega \to \omega \:オラクルクエリの数を制限する多項式であるSSSV∗V∗V^*\:使用されている統計的に拘束力のあるコミットメント方式 …

8 cr.crypto-security  concurrency  zero-knowledge 

マルウェア研究におけるTCSの重要性を知りたいのですが。1日あたりの大量の新しいマルウェアバリアント（McAfeeによると最大50,000サンプル）が原因で、マルウェアの研究者は動的分析（つまり、サンドボックスでのサンプルの実行とその動作の監視）に大きく依存し、静的分析から離れていますこれらのアプローチは非常に時間がかかり、難読化/暗号化が原因で非常に困難になる場合があるため、リバースエンジニアリング。 Greg Hoglundによる非常に有益な講演（BlackHat 2010）が見つかりました。Malware attributionそこでは、マルウェアの作者とそのネットワークを、バイナリ自体を分析するだけでなく、貴重な情報を提供する画像に取り込むことの重要性について話します。 2つの質問があります。 マルウェアの研究者がマルウェアの作成者とそのネットワークの動作を分析する方向に進んだ場合、将来、TCSはマルウェアの研究において重要性を持ちます。 私はTCSが得意ではないので、TCSがマルウェアの研究のどこに当てはまるかを知りたいと思います。 ありがとうございました。

8 cr.crypto-security  security 

決定的ディフィーヘルマン仮定、つまりDDHは、暗号化における有名な問題です。DDHの仮定は、ジェネレータ、およびランダムに選択され \ mathbb {Z} _q $$の場合、（素数）次数循環グループに当てはまります。次のペアは区別できません（確率的ポリタイムアルゴリズムの場合）。(G,∗)(G,∗)(G,*)qqqg∈Gg∈Gg \in Ga,b,c∈a,b,c∈a,b,c \in タイプ1：(g,ga,gb,gab)(g,ga,gb,gab)(g,g^a,g^b,g^{ab}) タイプ2：(g,ga,gb,gc)(g,ga,gb,gc)(g,g^a,g^b,g^{c}) ここで、がDDHが難しいグループであると想定し、次の非公式の質問を検討します。GGG 我々はいくつかと一緒に、のDiffie-Hellmanペアを取得する確率的ポリ時間（PPT）アルゴリズム、を知っていますか部分についての情報（たとえば、奇数である）、および入力ペアがあるかどうかを正しく出力が「1を入力して」することができますまたは「タイプ2」（無視できない確率）？aaaaaa 部分的な情報によって、私は、文字列の意味所定のように、とのDiffie-Hellmanペア、何PPTアルゴリズムは計算することができない、無視できない確率で、。zzzzzzaaa 上記の質問を形式化することは可能です。ただし、必要な表記法は面倒なので、類推を使用しようとします。 有名な非標準の暗号の仮定は、知識指数（KEA）と呼ばれます。 いずれかの敵のためのA入力かかる、、戻る "抽出"が存在Bと同じ入力が与えられると、戻りように。qqqggggagag^a(C,Ca)(C,Ca)(C,C^a)AAAcccgc=Cgc=Cg^c = C 直観的には、攻撃者は離散ログを解決してを取得できないため、ペアを出力する唯一の方法は、指数を "知る"ことであり、ここでであると述べています。aaa(C,Ca)(C,Ca)(C,C^a)cccgc=Cgc=Cg^c = C 今、私はDDH（離散ログではなく）に基づいて同様の質問をしています。「タイプ1」と「タイプ2」のDiffie-Hellmanペアを区別するに、またはどちらかを「知っている」必要がありますか？aaabbb もう少し正式（まだ正式ではない）： ましょうプライム注文のグループであり、およびletその出力長その入力の長さの多項式である任意の関数であること。ピック、、及びからランダム、およびlet。コインを、結果が表の場合はとします。それ以外の場合はます。(G,∗)(G,∗)(G,*)qqqf(⋅)f(⋅)f(\cdot)aaabbbcccZqZq\mathbb{Z}_qz=f(a)z=f(a)z=f(a)X=abX=abX = abX=cX=cX=c 入力を取り無視できない確率でタイプ1とタイプ2を正しく決定するPPT攻撃者Aの場合、PPT「抽出器」が存在しますAと同じ入力をとるBは、または出力します（無視できない確率）。(q,g,ga,gb,gX,z)(q,g,ga,gb,gX,z)(q,g,g^a,g^b,g^X,z)aaabbb

8 cr.crypto-security  randomized-algorithms 

ある仮定当事者は、各々がビットと。1の数と0の数の積を計算したい、つまり。N&gt; 2N&gt;2N>2pjpjp_jbj∈ { 0、 1 }bj∈{0、1}b_j\in{\{0,1\}}R = （∑ bj）× （N− ∑ bj）R=（Σbj）×（N−Σbj）R=(\sum{b_j})\times(N-\sum{b_j}) 計算は、誰も最終結果超えて学習できないという意味で安全でなければなりません。たとえば、が既知になり、合計が私の問題の影響を受けやすいため、安全な合計を実行することは問題です。それで、需要に適合する既存の安全な計算プロトコルはありますか？RRRΣ bjΣbj\sum{b_j} 編集：数の問題では、少なくとも上で、大きく、。したがって、効率的な安全なマルチパーティ計算が必要です。安全な合計プロトコルは効率的かもしれませんが、ブール回路のような一般的なSMCはあまりにも多くの計算を必要とするかもしれません。だから私は効率的なプロトコルが必要です。NNN100010001000

8 cr.crypto-security  security 

暗号化の多くの結果は、複雑性理論の不可能性の結果/推測に依存しています。たとえば、RSAを使用した公開キー暗号化は、因数分解（およびモジュラールート検索の問題）の実行不可能性に関する推測のために可能であると考えられています。 私の質問は： 計算可能性理論でも同様の結果が得られますか？否定的な不可能性の結果を使用した興味深い肯定的な構造はありますか？ たとえば、停止問題の決定不能性により、停止問題が決定可能である場合には実行できないタスクを実行できるようになりますか？

8 cc.complexity-theory  cr.crypto-security  computability