Де помилка в методі Блюма-Фельдмана-Мікалі


16

Blum, Micali та Feldman (BFM) висунули нову (криптографічну) модель, в якій всі сторони (чесні чи змагальні) мають доступ до якоїсь строки. Припускається, що рядок вибирається відповідно до деякого розподілу (як правило, рівномірного розподілу) довіреною стороною. Він називається опорним рядком , а модель влучно називається моделлю загальної опорної рядки (CSR).

Модель дозволяє виконувати безліч цікавих інтерактивних протоколів неінтерактивно , замінюючи запити бітами з опорного рядка. Зокрема, докази нульових знань для будь-якої мови НП можуть вестися неінтерактивно, що породить поняття неінтерактивного нульового знання (NIZK).

NIZK має безліч застосувань, таких як надання методу реалізації криптосистем з відкритим ключем, захищених від (адаптивних) атак з обраним шифротекстом .

BFM вперше довів існування одномоментної версії NIZK для кожної мови NP ; що, з огляду на посилання рядок і мову , можна довести лише одну теорему виду . Крім того, довжина теореми обмежена у. Якщо дослідник спробує повторно використати деякі шматочки у наступних доказів, існує небезпека витоку знань (і доказ більше не буде NIZK).ρLNПхL|ρ|ρ

Щоб виправити це, BFM використовувала мультитеоремну версію, засновану на одно теоремі NIZK. З цією метою вони використовували псевдовипадковий генератор для розширення , а потім використовували розширені біти. Є ще деякі деталі, але я не збираюсь копати.ρ

Фейге, Лапідот і Шамір (у першій виносці на першій сторінці своєї статті) заявили:

Метод, запропонований в BFM для подолання цієї складності, виявився недоліком.

( Складність стосується отримання доказів багато теорем, а не одно теоремних.)

Де криється недолік BFM?


2
Нам справді потрібні ще кілька криптовалют ...
Райан Вільямс

Відповіді:


11

Я не читав подробиці їх помилкового протоколу, але чув про це кілька разів. Моє враження було, що їх помилка полягала в тому, як вони використовували насіння PRG. Їх протокол ставить насіння генератора псевдовипадкових (PRG) у загальну загальну довідкову рядок, і вони намагаються стверджувати, що безпека PRG змушує деяку статистичну властивість виходу PRG зберігати навіть із відомим початком. Хоча це можливо зробити обгрунтовано (схеми підписів Гогенбергера та Уотерс тут і тут спадають на думку), в їх аргументі щось пішло не так.


Дякую, Девід. Я також підозріло ставився до дивного використання PRG. PS: Обидва надані вами посилання вказують на одну і ту ж сторінку.
МС Дусті

На жаль! Редагування, щоб виправити друге посилання.
Девід Кеш
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.