coperlm's Blog

密码学中数字签名方案的安全模型主要包括两种：存在性不可伪造（Existential Unforgeability against chosen-message attacks, EU-CMA）和强不可伪造（Strong Unforgeability against chosen-message attacks, SU-CMA）， 本文主要对比这两种安全模型。 两种安全模型都是通过敌手（Adversary）和挑战者（Challenger）之间的游戏（Game）来定义的。首先挑战者生成密钥对 $(pk,sk)$ 并发送 $pk$ 给敌手，自己保存 $sk$ 用来生成签名。敌手可以自适应地提交任意消息，挑战者根据敌手提交的消息生成对应的签名并返回给敌手。最后，敌手返回一个伪造的对未查询过的新消息的签名。 EU-CMA在数字签名里标准的安全模型 在该模型里，敌手可以非随机性地询问任意 message 的 signature 并对任意没有询问过消息的 message 进行 forgery...

阅读《Identity-Based Chameleon Hashing and Signatures Without Key Exposure》一文时，遇到了Decision Diffie-Hellman Problem (DDHP)这一概念，头一次遇到，便搜索了一下，打算学习学习；没想到捅了老挝——一个DH密钥交换算法能衍生出各式各样的东东 没办法了，学吧 由于种种原因（我比较懒），目前只学DDHP，其他的先挖个坑 DDHP论文里的描述 大致内容：在特定的群 $G_1$ 中，可以通过计算双线性映射的方式有效地判断一个四元组是否满足Diffie-Hellman条件 区别 DH DDHP 目的 用于密钥交换，建立安全通信 判断给定值是否符合Diffie-Hellman关系 功能 生成共享密钥 验证一个数值是否是由特定的私钥生成的 安全性基础 基于离散对数的困难性，安全性与密钥长度和生成元选择有关 直接依赖于离散对数问题的安全性，特别是在无法计算 $g^{ab}$...

数年之前就听闻莫反，FFT，NTT等数论变换的名称，但是一直未学习相关知识 最近学习后量子密码学，遇到了类似数论变换，辄学习一下 名词区分1、DFT(Discrete Fourier Transform)：离散傅立叶变换 $\rightarrow$ $O(n^2)$计算多项式乘法2、FFT(Fast Fourier Teansformation)：快速傅立叶变换 $\rightarrow$ $O(nlogn)$计算多项式乘法3、(F)NTT(Number Theoretic Transform)：（快速）数论变换 $\rightarrow$ 优化常数和误差，适用于整数域4、MTT(any Module NTT)：NTT的扩展 $\rightarrow$...

在 撬开后量子的大门 一文中，我们初步学习了后量子密码学，本篇博客，力求对后量子密码学进行进一步学习 量子计算我们通常说的量子计算就是通过量子逻辑门来操作处于叠加态的量子。比如Hadamard门，简称H门，他的一个主要功能就是通过计算基态产生等概率的叠加态。通过H门变换后的单量子叠加态为： $H(|Φ_1⟩)=\frac{1}{\sqrt{2}}(|0⟩+|1⟩)$ 两种基态的坍塌概率都为 $\frac{1}{\sqrt{2}}$，两个量子的H门得到的结果如下： $H(|Φ_2⟩)=\frac{1}{\sqrt{2^2}}(|00⟩+|01⟩+|10⟩+|11⟩)$ 每个态坍塌的概率 $\frac{1}{\sqrt{4}}$...

很早之前就听说ElGamal加密算法是一种公钥密码，但是具体实现和用途不甚了解，今天阅读了 A PUBLIC KEY CRYPTOSYSTEM AND A SIGNATURE SCHEME BASED ON DISCRETE LOGARITHMS 一文，故去了解了一下。特开此文，记录一下 省流：ElGamal是DH密钥交换的抵抗中间人攻击版本 ElGamal加密算法是一个基于DH密钥交换的非对称算法，可以定义在任何循环群上，它的安全性取决于循环群上的离散对数难题 离散对数问题指的是： 已知 $a,b,n$ ，计算$ a^b\mod n$ 是简单的。 已知 $a,(a^b\mod n),n$ ，计算 $b$ 是困难的。 Diffie-Hellman 密钥交换过程： Alice 和 Bob选定一个素数 $p$ ，以及它的一个原根 $g$ Alice 选择一个密钥 $a$ ，计算 $A=g^a\mod p$ ，发给 Bob Bob 选择一个密钥 bb ，计算 $B=g^b\mod p$ ，发给 Alice Alice 计算 $s=B^a\mod p$ ，Bob 计算...

本文是 荔枝橙味拱腰觅马糕守 一文的后继，主要内容是对于 方案构造学习 一章中的 尝试发现方案构造错误 一节下的 30个经典方案的学习笔记 经过初次阅读尝试，发现笔者英文阅读能力较低，不足以在短暂时间内完成大量论文的阅读；故选择了在翻译器和人工智能的帮助下来进行阅读，以提升效率，并为第二次阅读打好基础 1984, A Public Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms. [34]引言1976年，Diffie和Hellman首次提出了公钥密码的概念，并依赖离散对数问题和素数域上的计算复杂性来构造其密钥交换协议。ElGamal的工作正是基于这种思想，进一步提出了一个可以实现消息加密和解密的公钥加密系统，以及一个数字签名方案。 公钥密码系统公钥密码体制的基本思想是使用 Diffie-Hellman 密钥交换的基础 首先，通信双方选择一个大质数 $p$ 和生成元 $g$ ，这些参数都是公开的 然后双方分别选取自己的私钥（分别是 $x_A$ 和...

此文章用于记录笔者对于SM2椭圆曲线加密算法的学习 前置知识ElGamal离散对数密码体制 公钥密钥生成 Alice首先构造一条椭圆曲线 $E$，在曲线上选择一点 $G$ 作为生成元，$n$ 为 $G$ 的阶（且 $n$ 必须为质数)。此时构成了一个循环群 $$。 Alice选择一个私钥 $k (k < n)$，生成公钥 $Q = kG$ Alice将公钥组 $(E,Q,G)$ 发送给Bob 加密过程 Bob收到信息后，将明文编码为 $M$，$M$ 为曲线上一点，并选择一个随机数 $r$（$r < n$，$n$ 为 $G$ 的阶） Bob计算点 $Cipher_1$ 与 $Cipher_2$ 即两段密文，计算方法如下 $Cipher_1 = M + rQ\ Cipher_2 = rG$ Bob把 $Cipher_1$ 和 $Cipher_2$ 发给Alice 解密过程 Alice收到密文后，为了获得 $M$，只需要 $Cipher_1 - k · Cipher_2$，因为 $Cipher1 - k*Cipher2 = M + rQ - krG...

此博客用于整理，之前做过的古典密码学题目 之前存储于本地，今天移植到博客中，后续不再在此页面更新 分级十分的混乱，之后有缘再改吧（逃 古典密码学 Linux python 很重要 Bugku 实验吧（现在没了） 南邮网络攻防训练平台（现在也没了） 密码学的三个阶段 古典密码（1949以前），复杂度不高，安全性地，具有艺术性 近代密码（1949-1975），计算机诞生，加密算法在复杂程度和安全性上得到了提升 现代密码（1976至今），美国密码学专家Diffie和Hellman在1976年提出公开密钥密码体制概念（非对称制加密），密码学有了全新的方向 古典密码学： 涉及数学问题较少 很容易被破解，但是设计原理和分析方法对理解设计分析现代密码有帮助 主要分为：替代和置换 强化python脚本编写能力，尽力讲大多数加密方法都能写出破解脚本 MD5暴力破解以及算法逆向 键盘加密 键盘布局加密 通常给出一堆无意义的字符，但是在键盘上比划一下就能拼出相应的字符 可以划归脑洞题的范围 键盘坐标加密 bye 对应的密文是 35 16...

本文用于记录 本篇论文 的阅读和知识总结与学习 前置内容关键词SM9;在线/离线签名;属性基签名;随机谕言机模型;q-SDH 问题 SM9算法基于双线性对，可以实现属性基加密签名 相对而言，SM2基于椭圆曲线，无属性基相关属性 在线/离线签名在线签名在服务器（可信的）等设备上进行，离线签名在轻量级设备上；离线签名在在线签名的基础上进行签名，可以减少轻量级设备的运算开销 随机谕言机模型可以视为一个安全的哈希函数 q-SDH 问题多个参与者的DH密钥交换，而且更强，而且抗量子 预备知识双线性映射给定安全系数 $\kappa$，生成一个双线性元组 $BP=(G_1,G_2,G_T,e,p)$ 令 $P$ 是 $G_1$ 的一个生成元，令 $Q$ 是 $G_2$ 的一个生成元，一个双线性映射 $e:G_1\times G_2\rightarrow G_T$ 有：双线性 非退化性 可计算性 三个性质 此外，在 $G_1$ 和 $G_2$ 之间存在一个能有效且能公开计算的同构映射 $\psi:G_2\rightarrow G_1$ ，即...

嘻嘻，还没开始写 参考资料：https://zhuanlan.zhihu.com/p/400818185