這些雜湊函式 H、H1 和 H2 有什麼區別?
這些是雜湊函式,但我不明白它們的符號,誰能告訴我 H、H1 和 H2 之間有什麼區別? $ \mathbb{G}_1 $ 是一個加法基團並且 $ \mathbb{G}_2 $ 是一個乘法群。兩組具有相同的素數階 p 並且它們的雙線性映射是 $ e: \mathbb{G}_1 \times \mathbb{G}_1 \to \mathbb{G}_2 $ 資料來源:https ://www.cs.nmsu.edu/~misra/papers/T-ITS-2011.pdf
$$ \begin{align} H&: \mathbb G_1\to{0,1}^n\ H_1&: \mathbb G_2\to{0,1}^n\ H_2&: {0,1}^n\times{0,1}^n\to{0,1}^n \end{align} $$
符號 $ H:\mathbb G_1\to{0,1}^n $ 意思是 $ H $ 將一個元素作為輸入 $ \mathbb G_1 $ ,並產生作為輸出 $ n $ 位雙串。
符號 $ H_1:\mathbb G_2\to{0,1}^n $ 同樣意味著 $ H_1 $ 將一個元素作為輸入 $ \mathbb G_2 $ ,並產生作為輸出 $ n $ 位雙串。
符號 $ H_2:{0,1}^n\times{0,1}^n\to{0,1}^n $ 意思是 $ H_2 $ 將一對作為輸入 $ n $ -bit 雙串,並產生一個輸出 $ n $ 位雙串。
如果你問我,名字選得不好。使用起來會更容易記憶 $ H_1 $ (分別。 $ H_2 $ , $ H $ ) 哪裡有 $ H $ (分別 $ H_1 $ , $ H_2 $ ).
但這遠不是本文中最糟糕的情況。像
ECDLP已被證明是一個難題$$ 19 $$.
是錯誤的(引用來支持這種謊言實際上使 ECDLP 在某些曲線上易於處理)。我希望不建議將這篇論文作為密碼學課程的一部分進行學習。如果是這樣,我擔心這個推薦過程存在嚴重缺陷。
每條評論的補充:我沒有看到作者解釋了他們如何建構他們的雜湊值,除了在第 VI 節中提到了 SHA-1。一個合理的實現 $ n=160 $ 基於 SHA-1 可以使用
$$ \begin{align} H(g)&\underset{\text{def}}=\operatorname{SHA-1}(c_0\mathbin|\hat g)\ H_1(g)&\underset{\text{def}}=\operatorname{SHA-1}(c_1\mathbin|\hat g)\ H_2(u,v)&\underset{\text{def}}=\operatorname{SHA-1}(c_2\mathbin|u\mathbin|v)\end{align} $$ 在哪裡 $ \hat g $ 是唯一表示(作為固定位數)元素的位串 $ g $ 的 $ \mathbb G_1 $ 或者 $ \mathbb G_2 $ , 和 $ c_0 $ , $ c_1 $ , $ c_2 $ 是公共不同的 32 位位串,其任務是使三個散列函式從安全分析的角度來看有些獨立。
注意:應使用 SHA-256 或更高版本,而不是 SHA-1,後者在對大於 768 位的消息進行操作時已過時且實際上已被破壞為抗衝突雜湊。但據我們所知,SHA-1 在上述結構中仍然是 80 位安全的,因為散列的內容很短。
注意:這不應被解釋為對文章的認可。我對 VANET 的基於假名身份驗證的條件隱私協議的功能要求了解不夠,無法判斷所概述的密碼學是否滿足這些要求;並且只了解一些涉及的加密貨幣。這篇文章並不足以讓密碼學家相信實施的安全性。特別是,我懷疑基於“使用預設參數在 PBC 庫中定義的 Type-A 曲線”的 BLS 簽名可能很快,建議的 154 位(未說明確切大小),並且安全到目標為 80 位安全級別。