×
马特维·科托夫;安东·门肖夫;亚历山大·乌沙科夫

对Walnut数字签名算法的攻击。 (英语) Zbl 1419.94040号

设计。代码加密 87,第10号,2231-2250(2019).
摘要:在本文中,我们分析了WalnutDSA的安全特性。WalnutDSA是一种由I.Anshel、D.Atkins、D.Goldfeld和P.Gunnels最近提出的数字签名算法,已被美国国家标准与技术研究所接受,作为抗量子公钥密码的标准进行评估。算法的核心是一个名为E-乘法在有限集上的辫子群。该协议将一对辫子作为私钥分配给签名者。消息(m)的签名是一个特殊构造的辫子,它是由私钥、编码为辫子的散列值(m)和三个特殊设计的伪装元素生成的。我们提出了一种启发式算法,该算法允许被动窃听者通过删除伪装元素,然后求解辫子中的共轭方程组来恢复签名者私钥的替代品。我们的攻击在随机生成的协议实例上成功率为100%。它只适用于编织物,其成功率不受基础有限域选择的影响。特别是,它对更新的参数值具有相同的成功率(100%)(包括生成隐形元素的新方法,请参阅NIST后量子密码论坛)。GitHub上提供了用C++实现攻击以及WalnutDSA协议的实现。

引用于1文件

MSC公司:

94A60 密码学
68瓦30 符号计算和代数计算

关键词:

核桃DSA;基于组的加密;数字签名;代数橡皮擦;编织物组;彩色布劳展示;共轭问题

软件:

CRAG公司;github;核桃DSA
PDF格式BibTeX公司 XML格式引用
\textit{M.Kotov}等人,Des。密码术87,No.10,2231--2250(2019;Zbl 1419.94040)
全文: 内政部

参考文献:

[1] Anshel I.、Atkins D.、Goldfeld P.、Gunnels D.:核桃数字签名算法(TM)规范。提交给NIST PQC项目(2017年)。可在https://csrc.nist.gov/projects/post-quantum-cryptography/round-1-提交,2018年4月4日查阅。
[2] Anshel I.、Atkins D.、Goldfeld P.、Gunnels D.:Kayawood,关键协议协议。预打印。可在https://eprint.iacr.org/2017/1162(版本:2017年11月30日)(2017)。
[3] Anshel I.,Atkins D.,Goldfeld P.,Gunnels D.:核桃DSA(TM):一种抗量子数字签名算法。预打印。可在https://eprint.iacr.org/2017/058(版本:2017年11月30日)(2017)。
[4] Beullens W.,Blackburn S.R.:针对Walnut数字签名方案的实际攻击。预打印。可在https://eprint.iacr.org/2018/318/20180404:153741(2018)·Zbl 1446.94101号
[5] Birman J.S.、Ko K.H.、Lee S.J.:编织群中单词和共轭问题的新方法。高级数学。139, 322-353 (1998). ·Zbl 0937.20016 ·doi:10.1006/aima.1998.1761
[6] 加密与组(CRAG)C++库。可在https://github.com/stevens-crag/crag。
[7] Dehornoy P.:一种比较编织物的快速方法。高级数学。125, 200-235 (1997). ·Zbl 0882.20021号 ·doi:10.1006/aima.1997.1605
[8] Epstein D.B.A.、Cannon J.W.、Holt D.F.、Levy S.V.F.、Paterson M.S.、Thurston W.P.:小组中的文字处理。琼斯和巴特利特出版社,伯灵顿(1992)·2017年7月64日 ·doi:10.1201/9781439865699
[9] Gebhardt V.:研究garside群中共轭问题的新方法。《代数杂志》292,282-302(2005)·Zbl 1105.20032号 ·doi:10.1016/j.jalgebra.2005.02.002
[10] Hart D.、Kim D.、Micheli G.、Perez G.P.、Petit C.、Quek Y.:核桃DSA的实用密码分析。收录于:公钥密码术-PKC 2018,第381-406页。纽约施普林格出版社(2018年)·Zbl 1385.94043号
[11] Kapovich I.E.、Miasnikov A.G.、Schupp P.E.、Shpilrain V.E.:广义复杂性、群论中的决策问题和随机漫步。《代数杂志》264665-694(2003)·Zbl 1041.20021号 ·doi:10.1016/S0021-8693(03)00167-4
[12] Kotov M.V.、Menshov A.V.、Ushakov A.V.:攻击Kayawood协议:解密私钥。预打印。可在https://eprint.iacr.org/2018/604(版本:2018年6月18日)(2018年)·Zbl 1466.94032号
[13] NIST PQC论坛。可在https://groups.google.com/a/list.nist.gov/forum网站/#!论坛/pqc论坛,2018年4月4日访问。
[14] Miasnikov A.G.、Shpilrain V.E.、Ushakov A.V.:对一些基于编织群的密码协议的实际攻击。收录于:《密码学进展-密码2005》,计算机科学讲义第3621卷,第86-96页。施普林格,柏林(2005)·Zbl 1145.94448号
[15] Miasnikov A.G.、Shpillain V.E.、Ushakov A.V.:辫子群的随机子群:基于辫子群密码协议的密码分析方法。收录于:《密码学进展-PKC 2006》,计算机科学讲义第3958卷,第302-314页。施普林格,柏林(2006)·Zbl 1151.94554号
[16] Miasnikov A.G.、Shpilrain V.E.、Ushakov A.V.:非交换密码术和群理论问题的复杂性。数学调查和专著。AMS,普罗维登斯(2011)·Zbl 1248.94006号
[17] Paterson M.S.,Razborov A.A.:最小辫子集是co-NP-complete。《算法杂志》12,393-408(1991)·Zbl 0726.68047号 ·doi:10.1016/0196-6774(91)90011-M
[18] Wang,J.:群体单词问题的平均事例完备性。摘自:《第二十七届ACM计算机理论研讨会论文集》,STOC’95,第325-334页。ACM(1995)·Zbl 0968.68535号
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。