Re: [crypto] Dimostrazione di XEVRON

Theo Mora wrote:

> Ho guardato la loro dimostrazione.
>
> A prima vista e` sbagliata
> Usando la loro notazione, sembra che non si rendano conto che (in pag. 
> 5) "di solito"
>
> a_1b_3+a_3b_1 > W^{h-k} per cui c'e' un "carry" che potrebbe sporcare 
> la componente centrale.



Guardato ad una seconda vista:
*) la dimostraziopne e` incompleta perche` il problema del carry non e` 
discusse non basta dire "si scelgano opportunamente h' e k'" (pg.7) o 
"variando h e k opportunamente" (pg. 6)
Bisogna dare i valori opportuni e dimostrare che sono quelli giusti
**) ma nel complesso l'`affermazione (che una chiave comune viene 
costruita) e` giusta

> OK, forse se qualcunoi fa scelte opportune su k,h e sul size 
> accettabile per a,b il carry puo` essere evitato ma questo non e` 
> discussoo da loro.
>
> L'attacco (sbagliato) di Alessandro: spetta agli autori dimostrare 
> ALMENO (una volta fissato il baco di cui sopra)
> che l`attacco (mida*midb)/sh (magari modificato con un opportuno 
> aggiustamento del carry) NON da mai il risultato



Il punto debole e` qua.
Usando la   notazione della dimostrazione, l'attaccante conosce
*) Sh cioe` TUTTE LE CIFRE di b
*) le cifre di (a_2b_2)_2
*) le cifre di (c_2b_2)_2
*il fatto che la chiave comune e` a_2 (c_2b_2)_2 =    c_2 (a_2b_2)_2

E allora probabilmente basta fare  (c_2b_2)_2*(a_2b_2)_2/b_2 e troncare 
opportunamente (che e` l'attecco proposto da Alessandro che 
effettivamente conosce tutti i dati necessari)

T.


>