คำถามติดแท็ก cr.crypto-security

มีตระกูลของการกระทำกลุ่มที่รู้จักพร้อมองค์ประกอบที่กำหนด ในชุดที่กำลังดำเนินการอยู่หรือไม่ \: ตัวอย่าง (อย่างสม่ำเสมอเหมือนกัน) จากกลุ่มคำนวณการผกผัน \: คำนวณการดำเนินงานของกลุ่มและคำนวณการกระทำของกลุ่ม และไม่มีอัลกอริทึมควอนตัมที่มีประสิทธิภาพที่รู้จักกัน สำหรับการประสบความสำเร็จกับความน่าจะเป็นที่ไม่สำคัญ \: ได้รับเป็นอินพุตดัชนีของการกระทำของกลุ่มและผลของ \: องค์ประกอบกลุ่มตัวอย่างที่ทำหน้าที่กับองค์ประกอบที่กำหนด \: ค้นหาองค์ประกอบกลุ่มที่มีการดำเนินการกับองค์ประกอบที่กำหนดเป็นอินพุตที่สอง ? เท่าที่ฉันทราบผู้ให้การสร้างที่รู้จักเท่านั้นของการไม่เชิงสถิติการซ่อนภาระผูกพันที่ความรู้ของกับดักประตูช่วยให้การแยกตัวออกจากกันอย่างมีประสิทธิภาพและไม่สามารถตรวจจับได้คุณสมบัติที่มีประโยชน์สำหรับศูนย์ความรู้ ตระกูลของกลุ่มโฮโมมอร์ฟิซึมแบบทางเดียวที่มีคุณสมบัติสามประการแรก (จากบรรทัดที่สามและสี่ของโพสต์นี้) สามารถแปลงเป็นสิ่งนั้นได้โดยให้โดเมนทำหน้าที่บนโคโดเมนผ่าน ⟨ , b ⟩ ↦ ชั่วโมง( ) ⋅ ข⟨a,b⟩↦h(a)⋅b\: \langle a,b\rangle \mapsto h(a)\cdot b \:, \: ด้วยองค์ประกอบตัวตนเป็นองค์ประกอบที่แตกต่าง เวอร์ชันที่ จำกัด ของโครงการความมุ่งมั่นของPedersenสามารถรับได้เป็นกรณีพิเศษของการใช้การแปลงข้างต้นกับกลุ่ม homomorphism แบบเอกซ์โพเนนเชียลซึ่งมีความเป็นทางเดียวเทียบเท่ากับความแข็งของปัญหาลอการิทึมแบบไม่ต่อเนื่องแม้ว่าจะไม่ยาก (ดูอัลกอริธึมของ Shorและส่วนของหน้าในลอการิทึมแบบแยก)

9 cr.crypto-security  quantum-computing  gr.group-theory 

ในกระดาษจาก Adi Shamir [1] จาก 1,979 เขาแสดงให้เห็นว่าการแฟสามารถทำได้ในจำนวนพหุนามขั้นตอนทางคณิตศาสตร์ . ความจริงเรื่องนี้ได้รับการปรับปรุงใหม่และทำให้ฉันได้รับความสนใจในบทความล่าสุดของ Borwein and Hobart [2] ในบริบทของโปรแกรมเส้นตรง (SLP) เนื่องจากฉันค่อนข้างประหลาดใจที่ได้อ่านสิ่งนี้ฉันมีคำถามต่อไปนี้: มีปัญหาการเข้ารหัสอื่น ๆ หรืออาจเป็นปัญหาที่เกี่ยวข้องอื่น ๆ ที่สามารถแก้ไขได้ด้วยจำนวนขั้นตอนพหุนามด้วย SLP และที่ปัจจุบันยังไม่ทราบว่าจะแก้ไขได้ อย่างมีประสิทธิภาพบนคอมพิวเตอร์คลาสสิค "ปกติ" หรือไม่? [1] Adi Shamir หมายเลขแฟคตอริ่งในO ( บันทึกn )O(log⁡n)O(\log n)ขั้นตอนการทางคณิตศาสตร์ ตัวประมวลผลข้อมูล 8 (1979) S. 28–31 [2] Peter Borwein, Joe Hobart, พลังพิเศษของแผนกในโปรแกรมแบบตรง , The American Mathematical Vol. …

9 cc.complexity-theory  cr.crypto-security  algebraic-complexity 

Background––––––––––––––Background_\underline{\bf Background} ในปี 2005 Regev [1] ได้แนะนำปัญหาการเรียนรู้ด้วยข้อผิดพลาด (LWE) ซึ่งเป็นลักษณะทั่วไปของปัญหาการเรียนรู้ที่มีข้อผิดพลาด ข้อสันนิษฐานของความแข็งของปัญหานี้สำหรับตัวเลือกพารามิเตอร์บางตัวในตอนนี้เป็นหลักฐานยืนยันความปลอดภัยสำหรับโฮสต์ของ cryptosystems หลังควอนตัมในด้านการเข้ารหัสลับที่ใช้โครงตาข่าย LWE เวอร์ชัน "canonical" มีการอธิบายด้านล่าง รอบคัดเลือกโซน: ปล่อย T=R/ZT=R/Z\mathbb{T} = \mathbb{R}/\mathbb{Z} เป็นกลุ่มเพิ่มเติมของ reals modulo 1 คือการรับค่า [0,1)[0,1)[0, 1). สำหรับจำนวนเต็มบวกnnn และ 2≤q≤poly(n)2≤q≤poly(n)2 \le q \le poly(n)เวกเตอร์ "ลับ" s∈Znqs∈Zqn{\bf s} \in \mathbb{Z}_q^nการกระจายความน่าจะเป็น ϕϕ\phi บน RR\mathbb{R}, ปล่อย As,ϕAs,ϕA_{{\bf s}, \phi} เป็นการกระจายบน Znq×TZqn×T\mathbb{Z}_q^n \times …

9 cc.complexity-theory  ds.algorithms  cr.crypto-security  machine-learning  open-problem 

Wikipedia - SHA-2กล่าว SHA-224 นั้นเหมือนกับ SHA-256 ยกเว้นว่า: ค่าตัวแปรเริ่มต้น h0 ถึง h7 นั้นแตกต่างกันและ เอาต์พุตถูกสร้างโดยการละเว้น h7 RFC3874 - ฟังก์ชันแฮชทางเดียว 224 บิต: SHA-224กล่าว การใช้ค่าเริ่มต้นที่แตกต่างกันทำให้มั่นใจได้ว่าค่าการแยกย่อยข้อความ SHA-256 ที่ถูกตัดทอนไม่สามารถถูกเข้าใจผิดว่าเป็นค่าการแยกย่อยข้อความ SHA-224 ที่คำนวณจากข้อมูลเดียวกัน คำถามของฉัน: เหตุผลที่ยกมาข้างต้นเป็นเหตุผลเดียวว่าทำไม SHA-224 และ SHA-256 ใช้ค่าเริ่มต้นที่แตกต่างกันหรือไม่ เหตุใดจึงสำคัญที่ต้องตรวจสอบให้แน่ใจว่าค่าการแยกย่อยข้อความ SHA-256 ไม่สามารถเข้าใจผิดว่าเป็นค่าสรุปข้อความ SHA-224 หรือไม่ หากเราใช้ค่าเริ่มต้นเดียวกันสำหรับฟังก์ชันแฮชทั้งสองความปลอดภัยของฟังก์ชันแฮชจะแย่ลงหรือไม่ ถ้าใช่เป็นอย่างไร

9 cr.crypto-security  hash-function 

คำถามนี้เกิดขึ้นในบริบทของการเข้ารหัส แต่ด้านล่างฉันจะนำเสนอในแง่ของทฤษฎีความซับซ้อนเนื่องจากผู้คนที่นี่จะคุ้นเคยกับหลังมากกว่า คำถามนี้เป็นคำถามที่เกี่ยวข้องกับปัญหาในการ NP แต่ไม่ได้อยู่ในค่าเฉลี่ย P / โพลีและตี Nonuniformity ออราเคิลการเข้าถึง คำสั่งไม่เป็นทางการ:เมื่อฝ่ายตรงข้ามที่ไม่ใช่เครื่องแบบ (เช่นตระกูลโพลีขนาดของวงจร) ประสบความสำเร็จในการทำลายรูปแบบการเข้ารหัสลับ แต่ฝ่ายตรงข้ามที่เหมือนกัน ข้อความเชิงซ้อนเชิงทฤษฎี:นี่ไม่เหมือนกับคำแถลงอย่างไม่เป็นทางการข้างต้น แต่ฉันสนใจรุ่นนี้จริงๆ: มีปัญหาตามธรรมชาติอะไรบ้าง (NP∩P/poly)−AvgP(NP∩P/poly)−AvgP(\mathsf{NP} \cap \mathsf{P/poly}) - \mathsf{AvgP} ? ในคำอื่น ๆ สิ่งที่ยาก-on-เฉลี่ยธรรมชาติNPNP\mathsf{NP}ปัญหาสามารถแก้ไขได้โดยตระกูลวงจรขนาดเท่ากันหรือไม่ คำที่แก้ไขแล้วสามารถตีความได้ว่าเป็นตัวพิมพ์เล็กหรือตัวพิมพ์ใหญ่ที่สุด หากปัญหาทางธรรมชาติไม่สามารถค้นพบได้ง่ายปัญหาเทียมก็เป็นที่ยอมรับเช่นกัน

9 cc.complexity-theory  cr.crypto-security  np  advice-and-nonuniformity  average-case-complexity 

เมื่อเร็ว ๆ นี้ Craig Gentry เผยแพร่รูปแบบการเข้ารหัสกุญแจสาธารณะครั้งแรก (บนพื้นที่ธรรมดา {0,1}) ซึ่งเต็มไปด้วยโฮโมมอร์ฟิคซึ่งหมายความว่าเราสามารถประเมิน AND และ XOR ได้อย่างมีประสิทธิภาพและกะทัดรัดโดยไม่ต้องใช้คีย์ถอดรหัสลับ ฉันสงสัยว่ามีวิธีใดที่ชัดเจนในการเปลี่ยน cryptosystem คีย์สาธารณะให้เป็น cryptosystem ของคีย์สาธารณะที่ทุกคนสามารถเข้ารหัสและและ XOR ได้ แต่การถอดรหัสนั้นเป็นไปได้เฉพาะในกรณีที่บางคน (ทั้งหมด) แบ่งปันทีมคีย์ขึ้น ฉันจะสนใจในความคิดใด ๆ เกี่ยวกับเรื่องนั้น ขอบคุณล่วงหน้า FW

9 cr.crypto-security  circuit-complexity  homomorphic-encryption 

ในระยะสั้น:สมมติว่ามีการเปลี่ยนสับเปลี่ยนทางเดียวเราสามารถสร้างสิ่งที่ไม่มีกับดักได้หรือไม่? ข้อมูลเพิ่มเติม: การเปลี่ยนแปลงทางเดียวคือการเปลี่ยนแปลงซึ่งง่ายต่อการคำนวณ แต่ยากที่จะกลับ (ให้ดูที่วิกิพีเดียแท็กทางเดียวฟังก์ชั่นสำหรับคำนิยามที่เป็นทางการมากขึ้น) เรามักจะพิจารณาครอบครัวของทางเดียวการเปลี่ยนแปลง,ซึ่งแต่ละคือการเปลี่ยนแปลงทางเดียวที่ทำหน้าที่ในขอบเขตโดเมนD_nการเปลี่ยนแปลงทางกลทางเดียวกับดักประตูถูกกำหนดไว้ด้านบนยกเว้นว่ามีชุดดักจับและอัลกอริธึมกลับโพลี - เวลาเช่นนั้นสำหรับ ,และππ\piπ={πn}n∈Nπ={πn}n∈N\pi = \{\pi_n\}_{n \in \mathbb{N}}πnπn\pi_nDnDnD_n{tn}n∈N{tn}n∈N\{t_n\}_{n \in \mathbb{N}}IIInnn|tn|≤poly(n)|tn|≤poly(n)|t_n| \le {\rm poly}(n)IIIสามารถกลับให้ว่ามันจะได้รับt_nπnπn\pi_ntntnt_n ฉันรู้วิธีเรียงสับเปลี่ยนแบบทางเดียวซึ่งสร้างขึ้นเพื่อที่จะไม่สามารถหาประตูกล (ยังมีประตูกล) ตัวอย่างขึ้นอยู่กับอาร์เอส-สมมติฐานจะได้รับที่นี่ คำถามคือ, มีการเปลี่ยนแปลงทางเดียวแบบทางเดียวซึ่งไม่มีกับดัก (ชุด) หรือไม่? แก้ไข: (การทำให้เป็นระเบียบมากขึ้น) สมมติมีอยู่บางส่วนทางเดียวการเปลี่ยนแปลงกับ (อนันต์) โดเมน * นั่นคือมีความน่าจะเป็นพหุนามอัลกอริธึม - เวลา (ซึ่งอยู่ที่อินพุตทำให้เกิดการกระจายไปทั่ว ) เช่นนั้น พหุนาม - เวลาใด ๆ ,ใด ๆและมีจำนวนเต็ม :ππ\piD ⊆ { 0 , 1}* * …

9 cr.crypto-security  one-way-function 

คุณจะบังคับพรรคให้ซื่อสัตย์ได้อย่างไร (เชื่อฟังกฎระเบียบโปรโตคอล) ฉันได้เห็นกลไกบางอย่างเช่นภาระผูกพันการพิสูจน์และอื่น ๆ แต่พวกเขาดูเหมือนจะไม่สามารถแก้ปัญหาทั้งหมดได้ สำหรับฉันดูเหมือนว่าโครงสร้างของการออกแบบโปรโตคอลและกลไกดังกล่าวจะต้องทำงาน ไม่มีใครมีการจำแนกที่ดี แก้ไข เมื่อออกแบบโปรโตคอลที่ปลอดภัยหากคุณบังคับให้พรรคซื่อสัตย์การออกแบบจะง่ายกว่ามากแม้ว่าการบังคับใช้กฎหมายนี้จะมีผลตอบแทนเป็นของตัวเอง ฉันได้เห็นเมื่อออกแบบโปรโตคอลที่ปลอดภัยผู้ออกแบบถือว่าบางสิ่งบางอย่างที่ดูไม่เหมือนจริงสำหรับฉันตัวอย่างเช่นสมมติว่าทุกฝ่ายมีความซื่อสัตย์ในกรณีที่เลวร้ายที่สุดหรือสมมติว่าความซื่อสัตย์ของเซิร์ฟเวอร์ที่เก็บรักษาข้อมูลผู้ใช้ แต่เมื่อดูที่การออกแบบโปรโตคอลในแบบจำลองที่เข้มงวดคุณไม่ค่อยเห็นสมมติฐานเช่นนี้ (อย่างน้อยฉันก็ไม่เห็นมัน - ฉันมักศึกษาโปรโตคอลมากกว่ากรอบการทำงานของ Canetti UCซึ่งฉันคิดว่ายังไม่เป็นทางการเลย) ฉันสงสัยว่ามีการจำแนกประเภทที่ดีของวิธีที่คุณสามารถบังคับให้ปาร์ตี้ซื่อสัตย์หรือมีคอมไพเลอร์ใด ๆ ที่สามารถแปลงโปรโตคอลการป้อนข้อมูลให้เป็นหนึ่งเดียวกับฝ่ายที่ซื่อสัตย์ได้หรือไม่? ตอนนี้ฉันจะอธิบายว่าทำไมฉันจึงคิดว่าสิ่งนี้ไม่ได้ทำงาน แต่มันอาจดูไม่เกี่ยวข้อง เมื่อออกแบบโปรโตคอลในกรอบงาน UC ซึ่งได้รับประโยชน์จากกระบวนทัศน์อุดมคติ / จริงการเชื่อมโยงการสื่อสารทุกรูปแบบในอุดมคตินั้นได้รับการรับรองความถูกต้องซึ่งไม่เป็นความจริงในแบบจำลองจริง ดังนั้นผู้ออกแบบโพรโทคอลจึงหาวิธีทางเลือกในการนำช่องสัญญาณนี้ไปใช้ผ่านการสันนิษฐานของ PKI หรือ CRS (สตริงอ้างอิงทั่วไป) แต่เมื่อออกแบบโปรโตคอลการพิสูจน์ตัวตนสมมติว่าแชนเนลที่ผ่านการตรวจสอบแล้วนั้นผิด สมมติว่าเรากำลังออกแบบโพรโทคอลการรับรองความถูกต้องในเฟรมเวิร์ก UC มีการโจมตีที่ปลอมแปลงตัวตนของบุคคล แต่เนื่องจากข้อสันนิษฐานของการเชื่อมโยงการรับรองความถูกต้องในรูปแบบในอุดมคติการโจมตีครั้งนี้ไม่ได้สันนิษฐาน คุณอาจอ้างถึงการสร้างแบบจำลองการโจมตีภายในบนโปรโตคอลแลกเปลี่ยนคีย์กลุ่ม คุณอาจสังเกตเห็นว่า Canetti ในงานน้ำเชื้อของเขาการแลกเปลี่ยนที่สำคัญในระดับสากลของการแลกเปลี่ยนที่สำคัญและช่องทางที่ปลอดภัยกล่าวถึงแนวคิดเรื่องความปลอดภัยก่อนหน้านี้ที่เรียกว่า SK-Security ซึ่งเพียงพอที่จะรับรองความปลอดภัยของโปรโตคอลการรับรองความถูกต้อง เขาก็สารภาพ (โดยระบุว่านี่เป็นเรื่องของด้านเทคนิค) ว่าคำจำกัดความของ UC ในบริบทนี้นั้นเข้มงวดเกินไปและให้ตัวแปรที่ผ่อนคลายที่เรียกว่า oracle ที่ไม่ใช่ข้อมูล (ซึ่งทำให้ฉันสับสน …

9 cr.crypto-security  gt.game-theory