네트워크 코딩을 위한 동형체 서명

네트워크 코딩은 정보 흐름을 극대화하는 네트워크 대역폭을 최적으로 사용하는 것으로 나타났지만, 그 계획은 네트워크 내 악의적인 노드에 의한 오염 공격에 본질적으로 매우 취약하다.쓰레기를 주입하는 노드는 많은 수신기에 빠르게 영향을 줄 수 있다.네트워크 패킷의 오염은 (한 개라도) 정직한 노드의 출력이 적어도 하나의 수신 패킷이 손상되면 손상되기 때문에 빠르게 확산된다.

공격자는 서명을 위조하거나 해시함수에 따라 충돌을 발생시켜 암호화해도 패킷을 쉽게 손상시킬 수 있다.이렇게 하면 공격자가 패킷에 액세스할 수 있고 패킷을 손상시킬 수 있는 능력을 갖게 된다.Denis Charles, Kamal Jain, Kristin Lauter는 오염 공격을 방지하기 위해 네트워크 코딩과 함께 사용할 새로운 동형 암호화 서명 체계를 설계했다.^[1]

서명의 동형성 속성은 노드가 서명 당국에 연락하지 않고 들어오는 패킷의 어떤 선형 조합에도 서명할 수 있게 한다.이 체계에서 노드가 패킷 생성에 어떤 선형 결합이 사용되었는지를 밝히지 않고 패킷의 선형 결합에 서명하는 것은 계산상 불가능하다.더욱이, 우리는 서명 체계가 이산 로그 문제와 계산된 타원곡선 Diffie–의 경도에 대한 잘 알려진 암호 가정 하에서 안전하다는 것을 증명할 수 있다.헬맨.

네트워크 코딩

Let $G=(V,E)$ = $G=(V,E)$ ( V $G=(V,E)$ , $G=(V,E)$ ) ${\displaystyle$ G $=(V,E)}$ 은 $V$ $V$ 이 $V$ (가) 세트인 방향 그래프로서 $G=(V,E)$ , 이 요소를 정점 또는 노드라고 하며, $E$ $E$ 은 $E$ 순서가 지정된 정점 쌍의 집합으로, 호, 방향 에지 또는 화살표라고 한다.소스 $s\in V$ $s\in V$ $s\in V$ $s\in V$ 이(가) 파일 $D$ ${\displaystyle$ $D$ $}$ 을(를) 정점의 세트 $T\subseteq V$ $T\subseteq V$ $T\subseteq V$ {\ $displaystyle$ T\ $subseteq V}$ 에 $D$ 전송하려고 $s\in V$ 한다.One chooses a vector space $W/\mathbb {F} _{p}$ (say of dimension $d$ ), where $p$ is a prime, and views the data to be transmitted as a bunch of vectors $w_{1},\ldots ,w_{k}\in W$ . The source then creates the augmented vectors $v_{1},\ldots ,v_{k}$ by setting $v_{i}=(0,\ldots ,0,1,\ldots ,0,w_{i_{1}},\ldots ,w{i_{d}})$ where $w_{i_{j}}$ is the $j$ -th coordinate of the벡터 $w_{i}$ $w_{i}$ ${\$ 첫 $v_{i}$ '1 $'$ 이 v i {\ $displaystyle$ v_{ $i}$ 에 나타나기 전에 $(i-1)$ ( $(i-1)$ - 1 $(i-1)$ ) ${\displaystyle (i-1)$ 0이 $(i-1)$ 존재하며 $v_{i}$ 벡터 $v_{i}$ $v_{i}$ ${\$ 이(가) 선형적으로 독립되어 있다고 $v_{i}$ 가정할 수 있다.We denote the linear subspace (of $\mathbb {F} _{p}^{k+d}$ ) spanned by these vectors by $V$ . Each outgoing edge $e\in E$ computes a linear combination, $y(e)$ , of the vectors entering the vertex ${\displays$ 즉, 가장자리가 발원하는 곳에 $v=in(e)$ $v=in(e)}$ 을(를) $붙인다$ .

y(e)=\sum _{f:\mathrm {out}(f)=v}(m_{e}(f)y(f)}

where $m_{e}(f)\in \mathbb {F} _{p}$ . We consider the source as having $k$ input edges carrying the $k$ vectors $w_{i}$ . By induction, one has that the vector $y(e)$ on any edge is a linear combination $y(e)=\sum _{1\leq i\leq k}(g_{i}(e)v_{i})$ ( $y(e)=\sum _{1\leq i\leq k}(g_{i}(e)v_{i})$ ) $y(e)=\sum _{1\leq i\leq k}(g_{i}(e)v_{i})$ = $y(e)=\sum _{1\leq i\leq k}(g_{i}(e)v_{i})$ $y(e)=\sum _{1\leq i\leq k}(g_{i}(e)v_{i})$ $y(e)=\sum _{1\leq i\leq k}(g_{i}(e)v_{i})$ $y(e)=\sum _{1\leq i\leq k}(g_{i}(e)v_{i})$ $y(e)=\sum _{1\leq i\leq k}(g_{i}(e)v_{i})$ k $y(e)=\sum _{1\leq i\leq k}(g_{i}(e)v_{i})$ ( $y(e)=\sum _{1\leq i\leq k}(g_{i}(e)v_{i})$ $y(e)=\sum _{1\leq i\leq k}(g_{i}(e)v_{i})$ ( $y(e)=\sum _{1\leq i\leq k}(g_{i}(e)v_{i})$ ) $y(e)=\sum _{1\leq i\leq k}(g_{i}(e)v_{i})$ $y(e)=\sum _{1\leq i\leq k}(g_{i}(e)v_{i})$ ) ${\displaystyle$ y $(e)=\sum _{1\leq$ i $\leq k}(g_{i}(e)v_{i}}}}}}}}$ 의 $y(e)=\sum _{{1\leq i\leq k}}(g_{i}(e)v_{i})$ 벡터로서 $V$ ${\displaystystylek$ V $}$ 에 있다. $V$ The k-dimensional vector $g(e)=(g_{1}(e),\ldots ,g_{k}(e))$ is simply the first k coordinates of the vector $y(e)$ . We call the matrix whose rows are the vectors $g(e_{1}),\ldots ,g(e_{k})$ , where $e_{i}$ ${\$ 은(는 $)$ $t\in T$ $t\in T$ $t\in T$ T {\ $displaystyle t}$ 에 대한 수신 $t\in T$ $G_{t}$ 로서 $e_{i}$ $t$ $,$ $G_{t}$ t {\ $displaystyle G_{$ t $G_{t}$ 에 대한 전역 인코딩 매트릭스 벡터는 $G_{t}$ 로 선택되므로 실제로 매트릭스 $G_{t}$ $G_{t}$ ${\$ 는 반전된다 $G_{t}$ .개연성이 높은따라서, $y_{1},\ldots ,y_{k}$ $y_{1},\ldots ,y_{k}$ , $y_{1},\ldots ,y_{k}$ … , $y_{1},\ldots ,y_{k}$ k ${\$ 를 수신할 때, 어떤 수신기라도 $w_{1},\ldots ,w_{k}$ w 1, $w_{1},\ldots ,w_{k}$ … , $w_{1},\ldots ,w_{k}$ w $w_{1},\ldots ,w_{k}$ ${\$ 를 찾을 $y_{1},\ldots ,y_{k}$ 수 있다.

{\begin{bmatrix}y'\\y_{2}'\\\vdots \\\\nd{bmatrix}}=G_{t}{\gin{bmatrix}w_\{1}\2}\vdots \\\w_{bmats}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}}ndataxt}}}}}}}}}}}}}}}

$y_{i}'$ 서 $y_{i}'$ $′{\$ 는 벡터 $y_{i}$ i ${\$ $y_$ { $i}$ 의 $y_{i}$ 첫 번째 $k$ ${\displaystyle$ k} 좌표를 $k$ 제거하여 형성된 벡터다 $y_{i}'$ .

수신기에서 디코딩

$v_{i}$ 수신기, $t\in T$ $t\in T$ $t\in T$ $t\in T$ 에는 $t\in T$ $v_{i}$ i ${\$ $y_{1},\ldots,y_{k}}$ 의 $y_{1},\ldots ,y_{k}$ 임의 선형 조합인 $k$ $k$ 벡터 $k$ $y_{1},\ldots ,y_{k}$ $y_{1},\ldots ,y_{k}$ , $y_{1},\ldots ,y_{k}$ … $y_{1},\ldots ,y_{k}$ , $y_{1},\ldots ,y_{k}$ ${\$ displaystystyle $v_{i$ s를 얻는다.사실, 만약

y_{i}=(\displaystyle _{i_{1}=(\readots _{1},\ldots, {i_{d})}

그때

y_{i}=\sum _{1\leq j\leq k}(\properties _{ij}v_{j}).

따라서 선형 변환을 반전시켜 높은 확률로 $v_{i}$ $v_{i}$ ${\$ s를 찾을 수 있다.

역사

Krohn, Freedman, Mazieres는 2004년에 우리가 해시함수 $H:V\longrightarrow G$ H : $H:V\longrightarrow G$ G $H:V\longrightarrow G$ {\ $displaystyle H:V\longrightarrow G}$ 를 가지고 있다면 다음과 같은 $H:V\longrightarrow G$ 이론을^[2] 제안했다.

$H$ $H$ 은 $H$ (는) 충돌에 내성이 있음 – $H(x)=H(y)$ ) = $H(x)=H(y)$ $H(x)=H(y)$ {\ $displaystyle$ H $(x)=$ 와 $y$ 같은 $x$ {\ $displaystyle$ $y$ $}$ 및 $x$ $y$ ${\displaystystyle$ y $}$ 을(를) 찾기가 어려움 $H(y)}$ ;
$H$ $H$ 은 $H$ $H(x+y)=H(x)+H(y)$ – H( $H(x+y)=H(x)+H(y)$ + y $H(x+y)=H(x)+H(y)$ ) $H(x+y)=H(x)+H(y)$ = $H(x+y)=H(x)+H(y)$ $H(x+y)=H(x)+H(y)$ ) $H(x+y)=H(x)+H(y)$ + $H(x+y)=H(x)+H(y)$ $H(x+y)=H(x)+H(y)$ ) ${\displaystyle H(x+y)=H(x)++++$ 이다. $H(y)}$ .

그러면 서버는 각 수신기에 $H(v_{i})$ $H(v_{i})$ ( $H(v_{i})$ i $H(v_{i})$ ) {\ $displaystyle H$ (v_ ${i}})$ 를 안전하게 배포하고, 이를 확인할 수 있다.

{\displaystyle y=\sum _{1\leq i\leq k}(\reason _{i}v_{i}}})

우리는 확인할 수 있다

H(y)=\sum _{1\leq i\leq k}(\alpha _{i_{i})

이 방법의 문제는 서버가 각각의 수신자에게 보안 정보를 전송해야 한다는 것이다.해시함수 $H$ $H$ 는 별도의 보안 채널을 통해 네트워크의 모든 노드로 전송될 필요가 $H$ 있다. $H$ $H$ 은 $H$ (는) 계산 비용이 많이 들고 H ${\displaystyle$ H $}$ 의 안전한 전송도 경제적이지 않다 $H$ .

동형 서명의 장점

오염 검출 외에 인증확인을 확립한다.
보안 해시 다이제스트를 배포할 필요 없음.
일반적으로 비트 길이가 작으면 충분하다.길이 180비트의 서명은 1024비트 RSA 서명에 버금가는 보안성을 가진다.
이후 파일 전송 시 공용 정보는 변경되지 않는다.

서명 방식

서명의 동형성 속성은 노드가 서명 당국에 연락하지 않고 들어오는 패킷의 어떤 선형 조합에도 서명할 수 있게 한다.

한정된 영역에 걸친 타원 곡선 암호화

유한분야에 걸친 타원곡선 암호화는 유한분야에 걸친 타원곡선의 대수적 구조에 기초한 공개키 암호화에 대한 접근법이다.

$\mathbb {F} _{q}$ $\mathbb {F} _{q}$ ${\$ 는 q $q$ 이(가) 2 또는 3의 검정력이 아닐 $q$ 정도로 유한한 필드가 되도록 $\mathbb {F} _{q}$ 한다.그러면 $\mathbb {F} _{q}$ $\mathbb {F} _{q}$ ${\$ 위에 $E$ 있는 타원 곡선 $E$ $E$ 은 $\mathbb {F} _{q}$ 형태의 방정식에 의해 주어진 곡선이다.

y^{2}=x^{3}+ax+b,\,

$a,b\in \mathbb {F} _{q}$ 서 $a,b\in {\mathbb {F}}_{q}$ $a,b\in \mathbb {F} _{q}$ a , $a,b\in \mathbb {F} _{q}$ $a,b\in \mathbb {F} _{q}$ $a,b\in \mathbb {F} _{q}$ $a,b\in \mathbb {F} _{q}$ ${\$ $4a^{3}+27b^{2}\not =0$ a $4a^{3}+27b^{2}\not =0$ + $4a^{3}+27b^{2}\not =0$ $4a^{3}+27b^{2}\not =0$ $4a^{3}+27b^{2}\not =0$ $4a^{3}+27b^{2}\not =0$ $4a^{3}+27b^{2}\not =0$ $4a^{3}+27b^{2}\not =0$

$K\supseteq \mathbb {F} _{q}$ $K\supseteq \mathbb {F} _{q}$ $K\supseteq \mathbb {F} _{q}$ $K\supseteq \mathbb {F} _{q}$ ${\$ 을(를) 다음으로 한다.

E(K)=\{(x,y) y^{2}=x^{3}+ax+b\}\빅컵 \{O\}}

정체성을 O로 하여 아벨 그룹을 형성하다.그룹 작업은 효율적으로 수행될 수 있다.

웨일 페어링

Weil pairing은 $E$ $E$ 의 비틀림 부분군에서 쌍(승수 표기법 포함)을 구성하는 방법으로 $E$ 타원 $곡선$ E ${\displaystyle$ E $}$ 에 대한 함수에 의한 통일의 뿌리의 구성이다 $E$ $E/\mathbb {F} _{q}$ E $E/\mathbb {F} _{q}$ / $E/\mathbb {F} _{q}$ $E/\mathbb {F} _{q}$ ${\$ 는 c 타원형이어야 $E/\mathbb {F} _{q}$ 한다.urve and let $\mathbb {\bar {F}} _{q}$ be an algebraic closure of $\mathbb {F} _{q}$ . If $m$ is an integer, relatively prime to the characteristic of the field $\mathbb {F} _{q}$ , then the group of $m$ $m$ -torsion points, $E[m]={P\in E(\mathbb {\bar {F}} _{q}):mP=O}$ [ m $E[m]={P\in E(\mathbb {\bar {F}} _{q}):mP=O}$ = $E[m]={P\in E(\mathbb {\bar {F}} _{q}):mP=O}$ $E[m]={P\in E(\mathbb {\bar {F}} _{q}):mP=O}$ E $E[m]={P\in E(\mathbb {\bar {F}} _{q}):mP=O}$ ( $E[m]={P\in E(\mathbb {\bar {F}} _{q}):mP=O}$ ) $E[m]={P\in E(\mathbb {\bar {F}} _{q}):mP=O}$ : $E[m]={P\in E(\mathbb {\bar {F}} _{q}):mP=O}$ $E[m]={P\in E(\mathbb {\bar {F}} _{q}):mP=O}$ = O ${\$ {F $} _{q}):mP=O$

$E/\mathbb {F} _{q}$ / $E/\mathbb {F} _{q}$ $E/\mathbb {F} _{q}$ ${\$ E $/\mathb {F} _{q}}$ 이( $\gcd(m,q)=1$ ) 타원 곡선 및 $\gcd(m,q)=1$ (m $\gcd(m,q)=1$ , $\gcd(m,q)=1$ ) $\gcd(m,q)=1$ = $\gcd(m,q)=1$ $\gcd(m,q)=1$ 인 $E/{\mathbb {F}}_{q}$ 경우 $\gcd(m,q)=1$

E[m]\cong(\mathb {Z} /m\mathb {Z} )*(\mathb {Z} /m\mathb {Z} )

지도 $e_{m}:E[m]*E[m]\rightarrow \mu _{m}(\mathbb {F} _{q})$ : $e_{m}:E[m]*E[m]\rightarrow \mu _{m}(\mathbb {F} _{q})$ [ $e_{m}:E[m]*E[m]\rightarrow \mu _{m}(\mathbb {F} _{q})$ $e_{m}:E[m]*E[m]\rightarrow \mu _{m}(\mathbb {F} _{q})$ $e_{m}:E[m]*E[m]\rightarrow \mu _{m}(\mathbb {F} _{q})$ $e_{m}:E[m]*E[m]\rightarrow \mu _{m}(\mathbb {F} _{q})$ [ $e_{m}:E[m]*E[m]\rightarrow \mu _{m}(\mathbb {F} _{q})$ $e_{m}:E[m]*E[m]\rightarrow \mu _{m}(\mathbb {F} _{q})$ → $e_{m}:E[m]*E[m]\rightarrow \mu _{m}(\mathbb {F} _{q})$ $e_{m}:E[m]*E[m]\rightarrow \mu _{m}(\mathbb {F} _{q})$ ( $e_{m}:E[m]*E[m]\rightarrow \mu _{m}(\mathbb {F} _{q})$ $e_{m}:E[m]*E[m]\rightarrow \mu _{m}(\mathbb {F} _{q})$ $e_{m}:E[m]*E[m]\rightarrow \mu _{m}(\mathbb {F} _{q})$ ${\displaystyle e_{m:$ $E$ 화살표 $\mu _{m}(\mathb {F} _{q$ })를 참조하십시오 $.$

(Bilinear) $e_{m}(P+R,Q)=e_{m}(P,Q)e_{m}(R,Q){\text{ and }}e_{m}(P,Q+R)=e_{m}(P,Q)e_{m}(P,R)$ .
(비감속) $e_{m}(P,Q)=1$ m ( $e_{m}(P,Q)=1$ , $e_{m}(P,Q)=1$ ) = 1 모든 P에 대한 $e_{m}(P,Q)=1$ $e_{m}(P,Q)=1$ $e_{m}(P,Q)=1$ 은 $Q=O$ = O $Q=O$ 을 의미한다 $Q=O$
(대체) $e_{m}(P,P)=1$ $e_{m}(P,P)=1$ ( $e_{m}(P,P)=1$ , P $e_{m}(P,P)=1$ ) $e_{m}(P,P)=1$ = $e_{m}(P,P)=1$ ${\displaystyle e_{m}(P,P)=1$

또한 ${\$ 을(를) 효율적으로 계산할 수 있다 $e_{m}$ .^[3]

동형체 서명

$p$ $p$ 을(를) 프라임으로 하고 $p$ $q$ $q$ 을 $q$ 프라임으로 한다.Let $V/\mathbb {F} _{p}$ be a vector space of dimension $D$ and $E/\mathbb {F} _{q}$ be an elliptic curve such that $P_{1},\ldots ,P_{D}\in E[p]$ . Define ${\displaystyle h:V\$ $h(u_{1},\ldots ,u_{D})=\sum _{1\leq i\leq D}(u_{i}P_{i})$ 과 같은 $h:V\longrightarrow E[p]$ $Longrightarrow E[p]}:$ h ( $h(u_{1},\ldots ,u_{D})=\sum _{1\leq i\leq D}(u_{i}P_{i})$ $h(u_{1},\ldots ,u_{D})=\sum _{1\leq i\leq D}(u_{i}P_{i})$ , $h(u_{1},\ldots ,u_{D})=\sum _{1\leq i\leq D}(u_{i}P_{i})$ … , $h(u_{1},\ldots ,u_{D})=\sum _{1\leq i\leq D}(u_{i}P_{i})$ D $h(u_{1},\ldots ,u_{D})=\sum _{1\leq i\leq D}(u_{i}P_{i})$ ) $h(u_{1},\ldots ,u_{D})=\sum _{1\leq i\leq D}(u_{i}P_{i})$ = $h(u_{1},\ldots ,u_{D})=\sum _{1\leq i\leq D}(u_{i}P_{i})$ $h(u_{1},\ldots ,u_{D})=\sum _{1\leq i\leq D}(u_{i}P_{i})$ $h(u_{1},\ldots ,u_{D})=\sum _{1\leq i\leq D}(u_{i}P_{i})$ $h(u_{1},\ldots ,u_{D})=\sum _{1\leq i\leq D}(u_{i}P_{i})$ $h(u_{1},\ldots ,u_{D})=\sum _{1\leq i\leq D}(u_{i}P_{i})$ D $h(u_{1},\ldots ,u_{D})=\sum _{1\leq i\leq D}(u_{i}P_{i})$ ( $h(u_{1},\ldots ,u_{D})=\sum _{1\leq i\leq D}(u_{i}P_{i})$ $h(u_{1},\ldots ,u_{D})=\sum _{1\leq i\leq D}(u_{i}P_{i})$ $h(u_{1},\ldots ,u_{D})=\sum _{1\leq i\leq D}(u_{i}P_{i})$ ${\displaystyle h(u_{1},\ldots,u_{D}}}=\sum$ _{ $1\leq$ i $\leq$ d $}(u_{i}P_{i$ }}}}}}}}}}}}}}{i $h(u_{1},\ldots ,u_{D})=\sum _{1\leq i\leq D}(u_{i}P_{i})$ $h$ ${\displaystyle$ h} $함수$ 는 $V$ $V$ 에서 $E[p]$ [ p $E[p]$ 까지 임의의 $E[p]$ 동형상이다.

The server chooses $s_{1},\ldots ,s_{D}$ secretly in $\mathbb {F} _{p}$ and publishes a point $Q$ of p-torsion such that $e_{p}(P_{i},Q)\not =1$ and also publishes ${\dis$ $playstyle (P_{i},s_{i}Q)}$ for $1\leq i\leq D$ . The signature of the vector $v=u_{1},\ldots ,u_{D}$ is $\sigma (v)=\sum _{1\leq i\leq D}(u_{i}s_{i$ $P_{i}}}$ 참고 $\sigma (v)=\sum _{1\leq i\leq D}(u_{i}s_{i}P_{i})$ :h의 계산이 동형이기 때문에 이 서명은 동형이다.

서명확인

$v=u_{1},\ldots ,u_{D}$ = $v=u_{1},\ldots ,u_{D}$ 1, $v=u_{1},\ldots ,u_{D}$ … , $v=u_{1},\ldots ,u_{D}$ D ${\$ 및 $v=u_{1},\ldots ,u_{D}$ 해당 시그니처 $\sigma$ $\sigma$ 이 $\sigma$ 가) 지정되었는지 확인하십시오.

{\begin}e_{p}(\sigma ,Q)&=e_{p}\좌(\sum _{1\leq i\leq D}(u_{i}s_{i}s_{i}})P_{i}),Q\right)\\&=\prod _{i}e_{p}(u_{i}s_{i}})P_{i}}\&=\&=\prod _{i}e_{p}(u_{i}P_{i}Q)\end{aigned}}}

그 검증은 위일페어링의 이단성을 결정적으로 이용한다.

시스템 설정

The server computes $\sigma (v_{i})$ for each $1\leq i\leq k$ . Transmits $v_{i},\sigma (v_{i})$ . At each edge $e$ while computing $y(e)=\sum _{f\in E:\mathrm {out} (f)=\mathrm {in} (e)}(m_{e}(f)y(f))$ $y(e)=\sum _{f\in E:\mathrm {out} (f)=\mathrm {in} (e)}(m_{e}(f)y(f))$ also compute $\sigma (y(e))=\sum _{f\in E:\mathrm {out} (f)=\mathrm {in} (e)}(m_{e}(f)\sigma (y(f)))$ on the elliptic curve $E$ .

서명은 타원곡선의 점이며, $\mathbb {F} _{q}$ 는 F $\mathbb {F} _{q}$ {\ $displaystyle \mathb {F$ } $_{$ q $\mathbb {F} _{q}$ 따라서 서명의 크기는 $2\log q$ $2\log q$ {\ $displaystyle 2\log$ $q$ } $비트$ (일부 일정한 $log(p)$ l $log(p)$ g ( $log(p)$ $){\displaystystystyle$ $log($ $p)}$ 비트 $log(p)$ $p$ )이다. $전송$ 오버헤드 입니다 $.$ The computation of the signature $h(e)$ at each vertex requires $O(d_{in}\log p\log ^{1+\epsilon }q)$ bit operations, where $d_{in}$ is the in-degree of the vertex $in(e)$ .서명을 검증하려면 $O((d+k)\log ^{2+\epsilon }q)$ + $O((d+k)\log ^{2+\epsilon }q)$ ) $O((d+k)\log ^{2+\epsilon }q)$ 2 $O((d+k)\log ^{2+\epsilon }q)$ + $O((d+k)\log ^{2+\epsilon }q)$ q $O((d+k)\log ^{2+\epsilon }q)$ ) $O(d+k)\log ^{2+\epsilon }q)$ 비트 $O((d+k)\log ^{2+\epsilon }q)$ 작업이 필요하다.

담보증거

공격자는 해시함수 아래서 충돌을 일으킬 수 있다.

If given $(P_{1},\ldots ,P_{r})$ points in $E[p]$ find $a=(a_{1},\ldots ,a_{r})\in \mathbb {F} _{p}^{r}$ and ${\displaystyle b=(b_{1},\ldots ,b_{r})\in \$ $mathbb {F} _{p}^{r}}}}$

$a\not =b$ $[\displaystyle a\not =b$ 및

\sum _{1\leq i\leq r}(a_{i}P_{i}}=\sum _{1\leq j\leq r})(b_{j}P_{j}}).

제안:타원형 곡선의 $p$ $순서$ p{\ $displaystyle p}$ 의 주기적 그룹에 있는 이산 로그에서 해시-Colision까지 다항식 시간 단축이 있다.

$r=2$ = $r=2$ ${\displaystyle r=2$ 이면 $xP+yQ=uP+vQ$ $xP+yQ=uP+vQ$ + $xP+yQ=uP+vQ$ $xP+yQ=uP+vQ$ = $xP+yQ=uP+vQ$ P $xP+yQ=uP+vQ$ + $xP+yQ=uP+vQ$ $xP+yQ=uP+vQ$ $xP+yQ=uP+vQ$ 을(를) 얻는다 $xP+yQ=uP+vQ$ Thus $(x-u)P+(y-v)Q=0$ . We claim that $x\not =u$ and $y\not =v$ . Suppose that $x=u$ , then we would have $(y-v)Q=0$ , but $Q$ is a point of order $p$ $p$ $p$ (prime) $y-u\equiv 0{\bmod {p}}$ y - $y-u\equiv 0{\bmod {p}}$ $y-u\equiv 0{\bmod {p}}$ $y-u\equiv 0{\bmod {p}}$ $y-u\equiv 0{\bmod {p}}$ p ${\$ $y-u$ $\equiv 0{\bmod$ ${p$ $y-u\equiv 0{\bmod {p}}$ 즉, $y=v$ = $\mathbb {F} _{p}$ $\mathbb {F} _{p}$ ${\$ This contradicts the assumption that $(x,y)$ and $(u,v)$ are distinct pairs in $\mathbb {F} _{2}$ . Thus we have that $Q=-(x-u)(y-v)^{-1}P$ , where the inverse is taken as modulo ${\displays$ $tyle p}$ .

r > 2가 있으면 두 가지 중 하나를 할 수 있다.를 나는 을{\displaystyle 나는}우리는)}와 P2)Q{\displaystyle P_{2}=Q}전에 및 P을 세웠다 나는 O{\displaystyle P_{나는}=O원};2(때 r2{\displaystyle r=2게 국가 주의적 관점에서 서술 이 사건에서 증거는 사건으로 줄어든다.}), 또는 우리가)P1을 가져갈 수 있{\displaysty P1P{\displaystyle P_{1}=P r1P을 가져갈 수 있다.르 $P_{1}=r_{1}P}$ and $P_{i}=r_{i}Q$ where $r_{i}$ are chosen at random from $\mathbb {F} _{p}$ . We get one equation in one unknown (the discrete log of $Q$ ). It is quite possible that the equation we get does not involve t그는 알지 못한다.그러나, 이것은 다음에 우리가 논쟁할 때 아주 작은 확률로 일어난다.해시-콜렉션 알고리즘이 우리에게 그런 걸 줬다고 가정해봅시다.

ar_{1}P+\sum _{2\leq i\leq r}(b_{i}r_{i}Q)=0.

그렇다면 $\sum _{2\leq i\leq r}b_{i}r_{i}\not \equiv 0{\bmod {p}}$ $\sum _{2\leq i\leq r}b_{i}r_{i}\not \equiv 0{\bmod {p}}$ $\sum _{2\leq i\leq r}b_{i}r_{i}\not \equiv 0{\bmod {p}}$ $\sum _{2\leq i\leq r}b_{i}r_{i}\not \equiv 0{\bmod {p}}$ $\sum _{2\leq i\leq r}b_{i}r_{i}\not \equiv 0{\bmod {p}}$ $\sum _{2\leq i\leq r}b_{i}r_{i}\not \equiv 0{\bmod {p}}$ $\sum _{2\leq i\leq r}b_{i}r_{i}\not \equiv 0{\bmod {p}}$ ≢ $\sum _{2\leq i\leq r}b_{i}r_{i}\not \equiv 0{\bmod {p}}$ $\sum _{2\leq i\leq r}b_{i}r_{i}\not \equiv 0{\bmod {p}}$ 0 $\sum _{2\leq i\leq r}b_{i}r_{i}\not \equiv 0{\bmod {p}}$ p ${\$ i $\leq r}b_{i}r_{i}\not \equiv 0{\bmod{p}}}}}$ 만 하면 Q의 이산 로그에 대해 해결할 수 있다 $\sum _{2\leq i\leq r}b_{i}r_{i}\not \equiv 0{\bmod {p}}$ 그러나 $r_{i}$ $r_{i}$ ${\$ 은 $r_{i}$ 는) 해시-콜ision의 오라클에는 알려져 있지 않으므로 이 프로세스가 발생하는 순서를 서로 교환할 수 있다.In other words, given $b_{i}$ , for $2\leq i\leq r$ , not all zero, what is the probability that the $r_{i}$ ’s we chose satisfies $\sum _{2\leq i\leq r}(b_{i}r_{i})=0$ ? It is clear that the latter확률은 $1 \over p$ $1 \over p$ $[\displaystyle$ 1 $\over p}$ 입니다. $1 \over p$ 따라서 $Q$ $Q$ 의 이산 로그에 대해 높은 확률로 해결할 수 있다 $Q$

우리는 이 계획에서 해시 충돌의 발생이 어렵다는 것을 보여주었다.적들이 우리의 시스템을 저지할 수 있는 다른 방법은 서명을 위조하는 것이다.이 서명 체계는 본질적으로 Boneh-Lynn-Shacham 서명 체계의 Aggregate Signature 버전이다.^[4]여기서 서명을 위조하는 것은 적어도 타원 곡선 Diffie–를 푸는 것만큼 어렵다는 것을 보여준다.헬맨 문제.타원곡선에서 이 문제를 해결하는 유일한 방법은 이산 로그 계산을 통해서이다.따라서 서명을 위조하는 것은 적어도 계산적 공동 Diffie를 푸는 것만큼 어렵다.타원형 곡선에 헬맨이 있고 개별 로그를 계산하는 것만큼 어려울 겁니다.

참고 항목

참조

^ "Signatures for Network Coding". 2006. CiteSeerX 10.1.1.60.4738. Archived from the original on 2021-11-20. {{cite journal}}:Cite 저널은 필요로 한다. journal=(도움말)
^ https://www.cs.princeton.edu/~mfreed/docs/authods-sp04.pdf
^ Eisentraeger, Kirsten; Lauter, Kristin; Montgomery, Peter L. (2004). "Improved Weil and Tate pairings for elliptic and hyperelliptic curves": 169–183. arXiv:math/0311391. Bibcode:2003math.....11391E. CiteSeerX 10.1.1.88.8848. {{cite journal}}:Cite 저널은 필요로 한다. journal=(도움말)
^ http://cseweb.ucsd.edu/~호바브/html/htmls.pdf

외부 링크

[1] "Signatures for Network Coding". 2006. CiteSeerX 10.1.1.60.4738. Archived from the original on 2021-11-20. {{cite journal}}:Cite 저널은 필요로 한다. journal=(도움말)

[2] ttps://www.cs.princeton.edu/~mfreed/docs/authods-sp04.pdf

[3] Eisentraeger, Kirsten; Lauter, Kristin; Montgomery, Peter L. (2004). "Improved Weil and Tate pairings for elliptic and hyperelliptic curves": 169–183. arXiv:math/0311391. Bibcode:2003math.....11391E. CiteSeerX 10.1.1.88.8848. {{cite journal}}:Cite 저널은 필요로 한다. journal=(도움말)

[4] ttp://cseweb.ucsd.edu/~호바브/html/htmls.pdf

[1]

[2]

[3]

[4]

Search

네트워크 코딩을 위한 동형체 서명

네임스페이스

더

목차