Prueba de seguridad cuántica del esquema de firmas Merkle

1

El artículo de Wikipedia sobre el esquema de firmas Merkle afirma que lo es

  

muy ajustable y resistente contra la computación cuántica.

¿Qué pruebas hay de esto?

    
pregunta user2443423 03.01.2014 - 16:28
fuente

1 respuesta

1

El esquema de firmas Merkle se basa en un árbol hash sobre firmas únicas, p. ej. utilizando esquema de Lamport .

En términos generales, tanto el esquema de Lamport como el hash tree son seguros siempre que la función hash sea resistente a las preimágenes y las segundas preimágenes. Puede haber detalles porque al usar árboles hash, los ataques de preimagen a menudo son multi-target , es decir, hay varios valores para los cuales el atacante querría una preimagen, y una preimagen para cualquiera de ellos generaría un éxito. Sin embargo, la resistencia de preimagen todavía lidera la robustez general del esquema.

Contra la computación cuántica, una función hash "perfecta" del tamaño de salida n aún ofrece resistencia 2n/2 . P.ej. con SHA-256 (una salida de 256 bits), la mejor computadora cuántica aún necesitaría operaciones 2128 (es decir, demasiadas para ser factibles, con un gran margen) para romper la resistencia de preimagen.

(Esto también significa que contra las computadoras clásicas , una función hash de 256 bits es una exageración total cuando se usa en el esquema Merkle. Pero, contra las computadoras clásicas, también podemos usar RSA o ECDSA, que son mucho más eficiente que el esquema de Merkle.)

    
respondido por el Tom Leek 03.01.2014 - 17:06
fuente

Lea otras preguntas en las etiquetas