Dsa

關於使用隨機數 k 的一部分已知位對 ECDSA 的格子攻擊

  • October 12, 2018

我是密碼學領域的新手,我在理解一個關於攻擊 ECDSA 所需的格維數的概念時遇到了一些麻煩,其中使用了多個消息,每個隨機數都有 L 個已知位。在論文“Recovering Secrets from Prefix-Dependant Leakage”中

在第 5 節“ECDSA 的應用”中,作者指出,如果我們有一個大小為 n 的組,並且我們能夠知道每個簽名的隨機數的 k 位,那麼我們需要的消息數(這也是晶格的維數)由下式給出:d = n / (k - c),其中 c = log2(sqrt(πe/2))。

我不明白他們是從哪裡得到這種關係的,常數 c 也不是從哪裡來的。我讀過很多論文,但無法真正確定出處。

我真的很感謝你的幫助。謝謝!

該常數源自所謂的高斯啟發式,用於預測隨機格的最短向量的預期長度。為了使攻擊起作用,必須確保他正在尋找的特殊向量是最短的,以便可以找到它。因此,我們將要找到的向量的長度與最短格向量的預期長度進行比較。

來自 https://homepages.cwi.nl/~ducas/Thesis/thesis.pdf

引用自:https://crypto.stackexchange.com/questions/63053