17:17 Хеш-криптография | |
| Криптография на основе хеша - это общий термин для обозначения конструкций криптографических примитивов, основанных на безопасности хеш-функций . Это представляет интерес как тип постквантовой криптографии . Схемы подписи на основе хеша используют схемы разовой подписи в качестве своего строительного блока. Данный одноразовый ключ подписи может использоваться только для безопасной подписи одного сообщения. Действительно, подписи раскрывают часть подписывающего ключа. Безопасность (основанных на хэшах) схем одноразовой подписи зависит исключительно от безопасности базовой хэш-функции. Обычно используемые схемы одноразовой подписи включают в себя схему Лампорта-Диффи, схему Винтерница и ее усовершенствования, такие как схема W-OTS + . В отличие от оригинальной схемы Лампорта-Диффи, схема и варианты Винтерница могут подписывать много битов одновременно. Количество битов, которые должны быть подписаны одновременно, определяется значением: параметром Winternitz. Наличие этого параметра обеспечивает компромисс между размером и скоростью. Большие значения параметра Winternitz дают короткие подписи и ключи за счет более медленной подписи и проверки. На практике типичным значением этого параметра является 16. В случае подписей на основе хэширования без сохранения состояния используются схемы с кратковременной подписью. Такие схемы позволяют постепенно снижать уровень безопасности в случае использования многократного ключа более одного раза. HORST является примером схемы подписи на несколько раз. Схемы подписи на основе хэш-функции основаны на предположениях безопасности относительно базовой хеш-функции, но может использоваться любая хеш-функция, выполняющая эти предположения. Как следствие, каждая адекватная хеш-функция дает различную соответствующую схему подписи на основе хеш-функции. Даже если данная хеш-функция становится небезопасной, достаточно заменить ее другой, защищенной, чтобы получить безопасную реализацию рассматриваемой схемы подписи на основе хеш-функции. Некоторые схемы подписи на основе хеша (такие как XMSS с генерацией псевдослучайного ключа) защищены от пересылки, что означает, что предыдущие подписи остаются действительными, если секретный ключ скомпрометирован. Минимальность допущений в отношении безопасности является еще одной характеристикой схем подписи на основе хеша. Как правило, эти схемы требуют только защищенной (например, в смысле устойчивости ко второму прообразу ) криптографической хеш-функции, чтобы гарантировать общую безопасность схемы. Такое предположение необходимо для любой схемы цифровой подписи; однако другие схемы подписи требуют дополнительных предположений безопасности , что здесь не так. Из-за своей зависимости от базовой схемы одноразовой подписи схемы подписи на основе хеш-кода могут надежно подписывать только фиксированное количество сообщений. В случае схем Меркле и XMSS максимум{\ displaystyle 2 ^ {h}} сообщения могут быть подписаны надежно, с {\ displaystyle h} общая высота дерева Меркле. Начиная с первоначальной схемы Merkle, были введены многочисленные схемы подписи на основе хеша с улучшениями производительности. Последние включают в себя XMSS, схемы Лейтон-Микали (LMS), SPHINCS и BPQS. Большинство основанных на хэше схем подписи являются состоящими из состояния , что означает, что подпись требует обновления секретного ключа, в отличие от обычных схем цифровой подписи. Для схем подписи на основе хэширования с сохранением состояния подпись требует сохранения состояния использованных одноразовых ключей и обеспечения их повторного использования. Схемы XMSS, LMS и BPQS находятся в состоянии, а схема SPHINCS не имеет состояния. Подписи SPHINCS больше, чем подписи XMSS, LMS, тогда как BPQS был разработан специально для систем с блокчейном. Дополнительно к схеме одноразовой подписи WOTS +, SPHINCS также использует схему подписи на несколько раз (основанную на хэше), называемую HORST. HORST - это усовершенствование старой схемы с несколькими временными сигнатурами, HORS (хэш для получения случайного подмножества). Схемы на основе хэширования с сохранением состояния XMSS и XMSS MT определены в RFC 8391 (XMSS: расширенная схема подписи Меркле) . IRTF Internet Draft на LMS в настоящее время активен. В литературе были предложены практические улучшения, которые снимают проблемы, возникающие при использовании схем с отслеживанием состояния. Хеш-функции, подходящие для этих схем, включают SHA-2 , SHA-3 и BLAKE . | |
|
| |
| Всього коментарів: 0 | |