Reference-Request

Boneh-Lynn-Shacham 簽名的標準參數?

  • December 5, 2019

Boneh-Lynn-Shacham 簽名(據我所知)在緊湊性方面無與倫比,很有前途 $ b $ -位安全性 $ 2b $ -位簽名(也許:漸近)。

是否有 BLS 簽名的標準參數,(正在?)由標準機構、安全機構或其他公認的機構定義;或其他常見/推薦?

特別是,是否有大小建議,可能在ISO/IEC 15946-5 中:資訊技術 - 安全技術 - 基於橢圓曲線的密碼技術 - 第 5 部分:橢圓曲線生成?

什麼是最先進的(

$$ BD 2019 $$我猜)暗示 BLS 簽名的大小 $ b $ 位安全,實用 $ b $ 像128?

一些參考文獻(現在已過時,最後兩個除外):

$$ BLS 2004 $$:Dan Boneh、Ben Lynn、Hovav Shacham,來自 Weil 配對的短簽名密碼學雜誌,2004 年(最初$$ BLS2001 $$是Asiacrypt 2001的會議記錄)。 $$ BN 2005 $$: Paulo SLM Barreto, Michael Naehrig, Pairing-Friendly Elliptic Curves of Prime Order , 在SAC 2005 的程序中幻燈片。 $$ SSS 2006 $$:Mike Scott、Hovav Shacham、Terence Spies, 2006/10 年的P1363 展示文稿。 $$ NNS 2010 $$:Michael Naehrig、Ruben Niederhagen、Peter Schwabe,加密配對的新軟體速度記錄,在Latincrypt 2010的會議記錄中;參考頁面連結的軟體。 $$ ABLR 2013 $$:Diego F. Aranha、Paulo SLM Barreto、Patrick Longa、Jefferson E. Ricardini,The Realm of the Pairings ,在SAC2013的會議記錄中,附有幻燈片(報告自 2002 年以來的實際使用情況)。 $$ KB 2016 $$: Taechan Kim, Razvan Barbulescu, Extended Tower Number Field Sieve: A New Complexity for the Medium Prime Case ,$$ KB16 $$在Crypto 2016 的程序中,最初$$ K 2015 $$ 2015 年 10 月和$$ B 2015 $$2015年11 月。 $$ BD 2019 $$:Razvan Barbulescu,Sylvain Duquesne,更新配對的密鑰大小估計密碼學雜誌,2019 年 10 月

嗯,Boneh-Lynn-Shacham“BLS”簽名方案目前正在通過一個名為“draft-irtf-cfrg-bls-signature-00”的網際網路草案(網際網路工程任務組的工作文件)進行標準化。 IETF"),您可以在此處跟踪。看來 Algorand 可能是這個過程的幕後推手,還有 Dan Boneh 自己的支持。

如那裡所述:

該方案有兩種變體:

  1. (最小化簽名大小)將簽名放在 G1 中,將公鑰放在 G2 中,其中 G1/E1 具有更緊湊的表示。例如,當使用配對友好曲線 BLS12-381 實例化時,這會產生 48 字節的簽名大小,而曲線 25519 上的 ECDSA 簽名的簽名大小為 64 字節。
  2. (最小化公鑰大小)將公鑰放在 G1 中,將簽名放在 G2 中。後一種情況出現在我們進行簽名聚合時,其中大部分通信成本來自公鑰。這在區塊鍊和壓縮證書鍊等應用中尤其重要,其目標是最小化多個公鑰和聚合簽名的總大小。

雖然它們(尚未)指定要使用的明確參數,但它們確實參考了Internet 草案“配對友好曲線”,該草案又根據您想要達到的安全級別提供了多項建議。關於上述引用,它特別在建議中列出了 BLS12-381 以具有 128 位安全性。

此外,與 ECDSA 相比,他們提到(強調我的):

以下比較假設 BLS 簽名具有曲線 BLS12-381,針對 128 位安全性。

$$ … $$

在大小方面,ECDSA 使用 32 字節的公鑰和 64 字節的簽名;而 BLS 使用 96 字節的公鑰和 48 字節的簽名。或者,BLS 也可以用 48 字節的公鑰和 96 字節的簽名來實例化。BLS 還允許簽名壓縮。換句話說,單個簽名足以驗證多個消息和公鑰。

因此,目前的“標準”似乎是擁有約 384 位的簽名才能達到 128 位的安全性,這意味著擁有 $ 3b $ 位簽名為 $ b $ 一點安全感。(正如布里斯托爾已經說過的那樣,BN 曲線已經“失去”了優勢,而他們目前的 128 位競爭者是 BN462。)

另外,請注意這是一份工作文件,因此並不完整。例如,它缺少尚未添加的內容:

待定:對此進行額外討論,例如

$$ Ristenpart-Yilek 06 $$,以及用於保護聚合免受惡意密鑰攻擊的替代機制,例如 $$ Boneh-Drijvers-Neven 18 $$; 在那裡,預處理公鑰將加快驗證速度。

在我們想要擁有聚合簽名的情況下,流氓密鑰攻擊通常是需要防禦的重要東西,這是 BLS 的優點之一。

請注意,在基於配對的加密貨幣中,我們不得不在過去 3 年內顯著改變我們的安全估計,這主要是因為 FFDLP 的進步(參見$$ KB16 $$),並附上您的最新參考資料

$$ BD 2019 $$,是有關安全估計和建議的目前最先進的技術。 因此,上述 IETF 草案完成並成為真正的“標準”可能還需要一段時間,但這仍在進行中。

引用自:https://crypto.stackexchange.com/questions/50200

相關問答

Encryption

是否對 RSA 和離散對數的任何替代方案進行了標準化部署?

  • March 15, 2022
檢視問答
Reference-Request

FIPS 文件中的哪些地方聲明 SHA-1 不安全?

  • February 6, 2021
檢視問答
Hash

是否有標準化的樹雜湊?

  • January 9, 2020
檢視問答
Hash

NIST 將命名從 MD…(消息摘要)轉換為 SHA…(安全散列算法)的原因是什麼?

  • March 14, 2018
檢視問答
Block-Cipher

是否有標準方法來比較硬體實現的密碼?

  • February 14, 2017
檢視問答
Elliptic-Curves

我在哪裡可以獲得橢圓曲線密碼學的正確和精確算法?

  • November 13, 2015
檢視問答