Você pode explicar a intuição? Nunca vi ninguém sugerindo que precisamos nos preocupar com fatores de p-1 por questões de segurança, seja em curvas emparelhadas ou não emparelhadas.
(Um caso extremo, por exemplo, é o NIST P224:
sábio: fator ((2 ^ 224 – 2 ^ 96 + 1) -1)
2 ^ 96 * 3 * 5 * 17 * 257 * 641 * 65537 * 274177 * 6700417 * 67280421310721
)
Bem, o ataque básico do Cheon requer um pequeno fator de p-1. Além disso, o Corolário 1 no artigo de Cheon oferece um tempo de execução melhorado em comparação com o ataque principal, quando o atacante possui g^{a^{(p-1)/d}} para cada fator d, e o tempo de execução é dominado por sqrt(d) para o maior fator primo d. O ataque específico na cor 1 não é preocupante porque requer poderes tão elevados de tau, mas geralmente há mais subgrupos para brincar quando você tem muitos pequenos fatores (crédito: parte dessa intuição está relacionada a pensamentos compartilhados comigo por outros enquanto tentava melhorar o Cheon)
3 curtidas
Este novo artigo (Guillevic19) revisa todas as estimativas de segurança recentes com relação ao Especial Ataque TNFS em curvas elípticas amigáveis ao emparelhamento devido a Barbulescu, El Mrabet et Ghammam (DEG19), Fotiadis e Konstantinou (FK18) e Fotiadis e Martindale (FM19). Conclui que para segurança de 128 bits com o emparelhamento mais rápido deve-se considerar o BLS12 acima de 440 a 448 bits ou uma curva de grau de incorporação de Fotiadis-Martindale k = 12discriminante D=3 e torção de grau 6 sobre um primo de 446 bits. Eu implementei essa curva como BW12-446 aqui e tem um subgrupo de ordem de 296 bits e uma adicidade de 2 s=37. Então, com relação ao ataque de Cheon, para a configuração maior (Poderes Perpétuos de Tau), isso se traduz em 1,25(\sqrt{\frac{2^{296}}{2^{28}}}+\sqrt{2^{28}}) \aproximadamente 2^{134} exponenciações em \mathbb{G}_1.
5 curtidas
Referências (como novo usuário, estou restrito a 2 links por comentário):
1 Curtir
Referências (como novo usuário, estou restrito a 2 links por comentário):
1 Curtir
Coda agora está usando um ciclo de meio emparelhamento com um híbrido Marlin/Halo, que possui uma configuração no estilo poderes de tau. No entanto, isso ainda resiste a ataques Cheon porque a curva favorável ao emparelhamento do ciclo é BN de 382 bits, portanto, sua segurança contra ataques Cheon para potências de tau até \tau^{2^k} seria 1,25 \esquerda(\sqrt{2^{382 – k}} + \sqrt{2^k}\direita) exponenciações. Não sei a que potência de tau chega a nova configuração do Coda, mas teria que ser inviavelmente grande (mais de 2^{126}) para que os ataques Cheon sejam significativos.
(Editar: isso estava correto em março de 2020, mas Mina (como Coda agora é chamada) atualmente usa o ciclo de curva Pasta e não usa uma configuração confiável, então os ataques Cheon não são aplicáveis.)
1 Curtir
Sobre isso. O subgrupo me parece mais interessante. Este artigo sobre essa variante do ataque é útil? Uma ação de grupo em $${\mathbb Z}_p^{\times }$$ e o DLP generalizado com entradas auxiliares | Artigos selecionados revisados sobre áreas selecionadas em criptografia – SAC 2013 – Volume 8282 ou não pode ser aplicado?
Considerando as discussões que você teve com Ariel e Zac sobre como encontrar uma curva com uma ordem de grupo maior, quão prático você acha que é para projetos com altas demandas de segurança, mas com recursos limitados, fazer a transição para tal curva? Também estou curioso para saber se um aumento de 40 bits na ordem, como mencionado, realmente compensa os efeitos do ataque de Cheon sem perda significativa de desempenho, especialmente considerando que outras abordagens, como a mudança para esquemas SNARK atualizáveis, também podem oferecer uma solução.
Embora por favor observe em G_2 que o que importa é pedido-1 em vez do grupo principal.
Nesse caso as coisas são muito mais suaves.
1 Curtir
Quais são as implicações potenciais do ataque de Cheon à segurança de protocolos criptográficos que dependem de grandes configurações confiáveis, como aquelas em aplicativos zk-SNARK, e como os projetos poderiam mitigar esses riscos em futuras implementações de configurações confiáveis?
Suponhamos que tal logaritmo discreto seja encontrado, como um invasor seria capaz de usá-lo? Se os poderes da fase 1 do tau forem destruídos, é possível recuperar os dados da chave de prova?
Fontesethresear
