×
亚什凡特·康迪;克劳迪奥·奥兰迪;劳伦斯·罗伊

伪随机相关函数的两轮无状态确定性两方Schnorr签名。 (英语) Zbl 1531.94106号

Handschuh,Helena(编辑)等人,《密码学进展——密码2023》。第43届年度国际密码学会议,2023年8月20日至24日,美国加利福尼亚州圣巴巴拉市,CRYPTO 2023。诉讼程序。第一部分查姆:施普林格。莱克特。注释计算。科学。14081, 646-677 (2023).
概述:Schnorr签名由于其简单性、可证明的安全性和线性结构,使得门限签名协议相对容易,因此是一种流行的选择。的确定性变体C.P.Schnorr公司[J.Cryptology 4,No.3,161–174(1991;Zbl 0743.68058号)](nonce是使用来自消息的PRF和长期机密以无状态方式派生的)在实践中得到了广泛应用,因为它减轻了有缺陷或较差随机性生成器的威胁(在Schnorr中,这会导致灾难性的安全漏洞)。不幸的是,到目前为止,Schnorr确定性变体的阈值协议效率很低,因为它们在非黑盒中使用了nonce生成中涉及的PRF。
在本文中,我们提出了第一个用于Schnorr签名的两方门限协议,其中签名是无状态的和确定性的,并且只使用底层密码算法的黑盒。
我们提出了一个基于一般假设的协议,该协议实现了隐蔽安全性,并在标准的类因子假设下实现了完全主动安全性。我们的协议主要利用了伪随机相关函数(PCF)领域的最新进展。
另一个好处是,在我们的协议中只需要两轮就可以执行分布式签名,这将我们的工作与最近关于阈值Schnorr签名的轮复杂度和加密假设之间权衡的研究联系起来。
关于整个系列,请参见[Zbl 1529.94004号].

MSC公司:

94A62型 身份验证、数字签名和秘密共享
94A60型 密码学
11T71型 代数编码理论;密码学(数论方面)
68第25页 数据加密(计算机科学方面)

关键词:

两部分门限协议;伪随机相关函数

引文:

Zbl 0743.68058号

软件:

github
PDF格式BibTeX公司 XML格式引用
\textit{Y.Kondi}等人,Lect。注释计算。科学。14081646--677(2023年;Zbl 1531.94106)
全文: 内政部

参考文献:

[1] KólánçAlper,H。;Burdges,J。;马尔金,T。;Peikert,C.,通过脱线性证人的两次往返schnorr多重签名,密码学进展-密码学2021,157-188(2021),查姆:斯普林格,查姆·Zbl 1485.94142号 ·数字对象标识代码:10.1007/978-3-030-84242-07
[2] 奥曼,Y。;Lindell,Y。;Vadhan,SP,《针对隐蔽对手的安全:针对现实对手的有效协议》,《密码学理论》,137-156(2007),海德堡:斯普林格·兹比尔1129.94010 ·doi:10.1007/978-3-540-70936-78
[3] Abram,D.,Nof,A.,Orlandi,C.,Scholl,P.,Shlomovits,O.:通过伪随机相关发生器的低带宽阈值ECDSA。摘自:第43届IEEE安全与隐私研讨会,SP 2022,美国加利福尼亚州旧金山,2022年5月22日至26日,第2554-2572页。IEEE(2022)
[4] Aranha,D.F.,Novaes,F.R.,Takahashi,A.,Tibouchi,M.,Yarom,Y.:梯子泄漏:以不到一位的暂时泄漏破坏ECDSA。In:ACM CCS 2020,2020年11月
[5] Barwood,G.:使用椭圆曲线的数字签名,消息32f519ad。19609226@news.dial.pipex.com发布到sci.crypt。,(1997)
[6] Barker,E.:密钥管理建议:第1部分-概述。技术报告NIST特别出版物(SP)800-57,第1部分,第5版,马里兰州盖瑟斯堡国家标准与技术研究所(2020)
[7] Bünz,B.,Bootle,J.,Boneh,D.,Poelstra,A.,Wuille,P.,Maxwell,G.:防弹:机密交易的简短证明等等。参加:2018年IEEE安全与隐私研讨会,2018年5月
[8] Boyle,E.,Couteau,G.,Gilboa,N.,Ishai,Y.,Kohl,L.,Scholl,P.:可变密度LPN的相关伪随机函数。In:第61届FOCS,2020年11月·Zbl 1501.94033号
[9] Brandenburger,M.、Cachin,C.、Lorenz,M.和Kapitza,R.:使用轻量级集体内存的可信执行环境的回滚和分叉检测。收件人:DSN 2017(2017)
[10] Brandáo,L.T.A.N.,Davidson,M.:NISTIR 8214B,关于EdDSA/Schnorr签名阈值的注释(2022年)。https://csrc.nist.gov/publications/detail/nistir/8214b/draft
[11] Bernstein,D.J.、Duif,N.、Lange,T.、Schwabe,P.、Yang,B-Y:。高速高安全签名。2011年9月/10月(2011年)CHES·Zbl 1321.94039号
[12] Bonte,C。;智能,NP;Tanguy,T.,Thresholdizing hashedsa:MPC to the rescue,Int.J.Inf.Sec.,20,6,879-894(2021)·doi:10.1007/s10207-021-00539-6
[13] Canetti,R.、Gennaro,R.,Goldfeder,S.、Makriyannis,N.、Peled,U.:UC非交互、主动、阈值ECDSA,可识别中止。In:ACM CCS 2020,2020年11月
[14] 库托,G。;克鲁,M。;Lin,H。;Reichle,M。;Canteaut,A。;Standaert,F-X,从有界整数承诺透明设置的有效范围证明,密码学进展-EUROCRYPT 2021,247-277(2021),Cham:Springer,Cham·Zbl 1479.94149号 ·doi:10.1007/978-3-030-77883-59
[15] Drijvers,M.等人:关于两轮多重签名的安全性。In:2019 IEEE安全与隐私研讨会,2019年5月
[16] Desmedt,Y。;Pomerance,C.,《面向社会和群体的密码学:一个新概念》,《密码学进展-密码》87,120-127(1988),海德堡:斯普林格·doi:10.1007/3-540-48184-28
[17] 达姆加德,I。;藤崎,E。;Zheng,Y.,一种基于隐序群的统计延迟整数承诺方案,密码学进展-ASIACRYPT 2002,125-142(2002),海德堡:Springer,Heidelberg·Zbl 1065.94545号 ·doi:10.1007/3-540-36178-28
[18] 多迪斯,Y。;Halevi,S。;Rothblum,RD;Wichs,D。;Robshaw,M。;Katz,J.,《幽灵加密及其应用》,《密码学进展-密码2016》,93-122(2016),海德堡:斯普林格·Zbl 1406.94045号 ·doi:10.1007/978-3-662-53015-34
[19] Dalskov,A。;奥兰迪,C。;凯勒,M。;Shrishak,K。;舒尔曼,H。;Chen,L。;李,N。;梁,K。;Schneider,S.,通过通用MPC的阈值ECDSA保护DNSSEC密钥,计算机安全-ESORICS 2020,654-673(2020),Cham:Springer,Cham·数字对象标识代码:10.1007/978-3-030-59013-0_32
[20] Everspaugh,A.,Zhai,Y.,Jellinek,R.,Ristenpart,T.,Swift,M.:虚拟化Linux和旋风RNG中的非随机数。摘自:2014年IEEE安全与隐私研讨会,2014年5月
[21] Gennaro,R.,Goldfeder,S.:具有快速无信任设置的快速多方阈值ECDSA。收件人:ACM CCS 2018,2018年10月
[22] Gilboa,N。;Wiener,M.,两党RSA密钥生成,密码学进展-CRYPTO'99116-129(1999),海德堡:施普林格,海德堡·Zbl 0940.94011号 ·doi:10.1007/3-540-48405-18
[23] Gennaro,R。;Jarecki,S。;Krawczyk,H。;Rabin,T.,基于离散长度密码系统的安全分布式密钥生成,J.Cryptology,20,1,51-83(2006)·Zbl 1115.68075号 ·doi:10.1007/s00145-006-0347-3
[24] Garillot,F。;康迪,Y。;莫哈塞尔,P。;尼古兰科,V。;马尔金,T。;Peikert,C.,根据标准假设进行无状态确定性签名的Threshold Schnorr,密码学进展-CRYPTO 2021,127-156(2021),Cham:Spriger,Cham·Zbl 1485.94138号 ·doi:10.1007/978-3-030-84242-06
[25] Goldreich,O。;米卡利,S。;Wigderson,A。;Odlyzko,AM,《如何在零知识和密码协议设计方法中证明所有NP语句》(扩展摘要),《密码学进展-密码》86,171-185(1987),海德堡:斯普林格,海德伯格·Zbl 0636.94010号 ·doi:10.1007/3-540-47721-7_11
[26] Heninger,N.:野生RSA、DH和DSA。收录于:Bos,J.、Stam,M.(编辑),《计算密码学》,第6章,第140-181页。剑桥大学出版社(2022)·Zbl 1483.94043号
[27] Howgrave-Graham,N。;数字签名方案的智能、NP、格攻击。密码。,23, 3, 283-290 (2001) ·Zbl 1006.94022号 ·doi:10.1023/A:1011214926272
[28] 伊沙伊,Y。;Kilian,J。;尼西姆,K。;Petrank,E。;Boneh,D.,《有效扩展不经意传输》,《密码学进展-密码体制2003》,145-161(2003),海德堡:斯普林格出版社·Zbl 1122.94422号 ·doi:10.1007/978-3-540-45146-49
[29] Jawurek,M.,Kerschbaum,F.,Orlandi,C.:使用乱码电路的零知识:如何有效地证明非代数语句。In:ACM CCS 2013,2013年11月
[30] Kumari,R.、Alimomeni,M.、Safav-Naini,R.:虚拟化环境中Linux RNG的性能分析。In:ACM云计算安全研讨会-CCSW 2015,美国纽约(2015)
[31] 科姆洛,C。;Goldberg,I.,《FROST:灵活的圆优化Schnorr阈值签名》,SAC,2020年10月21日至23日(2020年)·Zbl 1485.94143号
[32] Lindell,Y.:简单的三轮多党施诺尔签字,具有完全可模拟性。《加密电子打印档案》,报告2022/374(2022)。http://eprint.iacr.org/2022/374
[33] Lindell,Y.,Nof,A.:快速安全的多方ECDSA,具有实用的分布式密钥生成和加密货币托管应用。收件人:ACM CCS 2018,2018年10月
[34] Matetic,S.等人:ROTE:可信执行的回滚保护。收件人:USENIX Security 2017,2017年8月
[35] De Micheli,G.,Heninger,N.:通过示例从部分信息中恢复密码密钥。《加密电子打印档案》,《2020年/1506年报告》(2020年)。https://eprint.iacr.org/2020/1506
[36] 麦克斯韦,G。;Poelstra,A。;Seurin,Y。;Wuille,P.,《简单施诺尔多重签名与比特币应用》,德国。密码学,87,9,2139-2164(2019)·Zbl 1419.94043号 ·doi:10.1007/s10623-019-00608-x
[37] Nicolosi,A.,Krohn,M.N.,Dodis,Y.,Mazieres,D.:用于用户身份验证的主动两方签名。In:NDSS 2003,2003年2月
[38] Nick,J。;Ruffing,T。;Seurin,Y。;马尔金,T。;Peikert,C.,MuSig2:简单两轮Schnorr多特征,密码学进展-密码学2021,189-221(2021),查姆:斯普林格,查姆·兹比尔1489.94125 ·数字对象标识代码:10.1007/978-3-030-84242-08
[39] Nick,J.,Ruffing,T.,Seurin,Y.,Wuille,P.:MuSig-DN:具有可验证确定性的schnorr多特征。In:ACM CCS 2020,2020年11月
[40] 奥兰迪,C。;斯科尔,P。;Yakoubov,S。;Canteaut,A。;Standaert,F-X,《佩利尔的崛起:同态秘密共享和公钥沉默OT》,《密码学进展-EUROCRYPT 2021,678-708(2021)》,查姆:施普林格,查姆·Zbl 1479.94339号 ·doi:10.1007/978-3-030-77870-5_24
[41] 佩德森,TP;Davies,DW,《没有可信方的阈值密码系统》,《密码学进展——91年欧洲密码》,522-526(1991),海德堡:斯普林格·Zbl 0766.94014号 ·doi:10.1007/3-540-46416-647
[42] Parno,B.,Lorch,J.R.,Douceur,J.R..,Mickens,J.W.,McCune,J.M.:回忆录:受保护模块的实际状态连续性。2011年IEEE安全与隐私研讨会,2011年5月
[43] Pointcheval,D。;斯特恩,J。;Maurer,U.,《签名方案的安全证明》,《密码学进展-EUROCRYPT’96,387-398》(1996),海德堡:斯普林格·Zbl 1304.94106号 ·doi:10.1007/3-540-68339-9_33
[44] Roy,L.:SoftSpokenOT:OT扩展中的通信计算权衡。包含:密码2022(2022)
[45] 罗伊·L。;辛格,J。;马尔金,T。;Peikert,C.,来自DCR的大消息同态秘密共享及其应用,密码学进展-密码2021,687-717(2021),查姆:斯普林格,查姆·Zbl 1487.94158号 ·文件编号:10.1007/978-3-030-84252-923
[46] Schnorr,CP,《智能卡高效签名生成》,J.Cryptology,4,3,161-174(1991)·Zbl 0743.68058号 ·doi:10.1007/BF00196725
[47] Strackx,R.,Piessens,F.:阿里阿德涅:状态连续性的最小方法。收件人:USENIX Security 2016,2016年8月
[48] Stinson,D.R.,Strobl,R.:可证明安全的分布式Schnorr签名和隐式证书的\((t,n)\)阈值方案。In:ACISP 012001年7月·Zbl 1005.94538号
[49] Smart,N.P.,Alaoui,Y.T.:分发任何基于椭圆曲线的协议。参加:2019年12月举行的第17届IMA国际密码与编码会议·Zbl 1454.94099号
[50] Wigley,J.:消除签名中RNG的需要,消息5gov5d$pad@wapping.ecs.soton.ac.uk发布到sci.crypt(1997)。https://groups.google.com/group/sci.crypt/msg/a6da45bcc8939a89网址
[51] Wuille,P.,Nick,J.,Ruffing,T.:BIP 340:第256k1秒的Schnorr签名。https://github.com/bitcoin/bips/blob/master/bip-0340.mediawiki网站
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。