One-Time-Pad

乘法盲法比加法盲法更不安全嗎?

  • June 4, 2016

很容易看出加性致盲(例如, $ x+r $ 對於秘密 x 和隨機 r)在有限域中是完全安全的(這是一次性填充)並且在統計上是安全的 $ r $ 均勻分佈在一個足夠大的域中 $ x $ .

我感到困惑的是乘法致盲(即, $ x \cdot r $ ) - 在某些地方,我讀到它正在被使用並且與加法致盲一樣安全,而在其他地方則說明它的安全性要低得多(例如,乘法致盲不太安全)。當然,假設兩者 $ x \neq 0 $ 和 $ r \neq 0 $ ,乘法致盲是否與加法一樣好(忽略側通道攻擊),如果不是 - 解釋是什麼?

在有限域中 $ \mathbb{F}_q $ ,這兩個掩蔽都是完全安全的,前提是 $ x \neq 0 $ 用於乘法掩蔽。

這很容易看出。有限域 $ \mathbb{F}_q $ 定義了兩個組:加法組 $ \mathbb{F}_p^+ $ (IE, $ \mathbb{F}_q $ 配備加法)和乘法組 $ \mathbb{F}_q^* $ (IE, $ \mathbb{F}_q \setminus {0} $ 配備乘法)。

命題 讓 $ \mathbb{G} $ 成為一個群體,讓 $ \star $ 表示群律 $ \mathbb{G} $ . 給定 $ x \in \mathbb{G} $ , 如果 $ r $ 是均勻隨機元素 $ \mathbb{G} $ 那麼也是 $ y:=x \star r $ .

讓 $ x \in \mathbb{F}_q $ . 我們有:

  • 如果 $ r $ 被均勻地隨機繪製在 $ \mathbb{F}_q^+ $ 然後 $ x+r $ (在哪裡 $ + $ 表示在 $ \mathbb{F}_q $ ) 是均勻隨機的 $ \mathbb{F}_q^+ $ ;
  • 如果 $ r $ 被均勻地隨機繪製在 $ \mathbb{F}_q^* $ 然後 $ xr $ (在哪裡 $ * $ 表示乘法 $ \mathbb{F}_q $ ) 是均勻隨機的 $ \mathbb{F}_q^ $ , 前提是 $ x \neq 0 $ (那是, $ x \in \mathbb{F}_q^* $ ).

乘法盲法是否比加法盲法差得多,很大程度上取決於:

  • 戒指是你在做瞎眼嗎
  • 是否需要盲值 0

第二個是相當明顯的,因為乘法致盲根本不會偽裝 0。

但是,您引用該聲明的幻燈片似乎實際上屬於第一類。也就是正在做操作的環不是欄位 $ GF(p) $ 對於一些素數 $ p $ (如果您正確選擇隨機化器,它可以很好地遮蔽任何非零值);相反,它似乎是整數的環(或者等效地,如果它們在一個環中 $ GF(p) $ 他們選擇參數 $ r $ 以便 $ r|d| < p/2 $ )。在這種情況下,偽裝 $ d $ 作為 $ rd $ (對於一些隨機正整數 $ r $ ) 實際上是不安全的,因為從值 $ rd $ , 有人可以消除任何可能的值 $ d $ 這不是一個因素 $ rd $ .

所以,是的,當有人談論乘法致盲是安全的,而其他人談論它不安全時,他們都是對的——他們談論的是不同的場景。

引用自:https://crypto.stackexchange.com/questions/32549