安全是有分量的

ddos清洗_云丝盾面膜_超高防御

2022-01-12 15:44栏目:应用

ddos清洗_云丝盾面膜_超高防御

括约肌是无状态哈希签名中最先进的算法。它是量子安全的,因此是NIST后量子密码标准化项目的潜在竞争者。《括约肌》是数十年来基于散列签名的研究成果的结晶,自2015年出版以来,它从未受到任何攻击,

在本系列的第一篇文章中,我们解释了如何通过以下技巧改善括约肌:不是使用哈希函数生成随机数列表(可能有重复数),而是使用伪随机生成器生成不同随机数列表。我们的论文阐明了子集弹性问题,详细分析了这种构造的安全好处。

这篇新文章总结了我们最近发表的第二篇论文的贡献,改进了无状态哈希函数,同样基于Guillaume在Kudelski Security的硕士论文期间所做的研究(他的完整报告可用)。

我们将再次以非技术性的方式描述向括约肌提出的优化:密钥缓存、批签名、无掩码哈希以及最后但并非最不重要的Octopus身份验证。但首先,我们将尝试在没有技术细节的情况下,对括约肌的工作原理略作了解。

(本文中描述的优化是重力括约肌的基础,重力括约肌是括约肌的一种变体,我们将提交给NIST的项目)。顺便说一下,维盟路由器ddos防御设置,我们已经创建了这个页面https://post-quantum.ch 为了跟踪被宣布为候选的提交。)

括约肌中的4棵树

括约肌签名方案不是最简单的方案,仅通过阅读其非正式规范很难理解。因此,我们不想完全解释它,我们只描述它的一般结构,它可以被看作是四种树的组合:

主超树,高度表示(括约肌-256中的60)。此树的根是公钥的一部分。此树的叶子是地垒实例(类型4树)。这棵超树被分成2型树的12层(括约肌256)。子树,是高度的Merkle树(在SPHINCS-256中)。这些树的叶子是3型树的根;所述根是WOTS实例的压缩公钥,连接到下一层的树。WOTS公钥压缩树是L-树(不一定是完全二叉树),当有叶子时,树的高度是。此树的叶子是WOTS公钥的组成部分(SPHINCS-256中每个256位的67个值)。关联的WOTS实例在下一层对树根进行签名。HORST公钥压缩树位于超树的底部,是高度的Merkle树,其中是HORST实例中的公钥元素数(在SPHINCS-256中)。

您已经知道HORST,但可能不知道WOTS,它代表Winternitz一次性签名:在SPHINCS的超树中,WOTS实例用于为子节点签名。例如,请参阅David的文章,了解WOTS的简单介绍。

可以将超树结构可视化,如下图所示:

使用括约肌签名的工作方式如下:

从消息和私钥派生叶索引。此索引标识将用于对消息签名的HORST实例之一(相对于超树)。生成其种子从私钥和叶索引派生的HORST实例,并使用该HORST实例对消息进行签名。HORST签名包括多个密钥及其各自的认证路径,是括约肌签名的一部分。获取HORST tree压缩公钥$p$。对于超树的每一层,使用正确的WOTS实例(派生自叶索引)对公钥(从较低层获得)进行签名;将此WOTS签名和相关的type-3身份验证路径添加到括约肌签名。计算该WOTS实例在type-2子树中的认证路径;将此路径添加到括约肌签名,并让$p$作为子树根。

就是这样。这确实是括约肌的鸟瞰图,我们省略了许多细节,但希望这能帮助您理解下面描述的优化。

密钥缓存

每次计算括约肌签名时,必须重新计算超树根层中的树。这通过只存储根来减小密钥大小,但是增加了额外的计算并增加了签名大小。因此,一个可能的折衷办法是将这个顶级Merkle树视为密钥的一部分,如下图所示:

使用这个技巧,我们可以使用20层的顶级树并缓存其中的15层,相当于大约2MB的数据。这减少了201个散列值(6432字节)的签名大小,并加快了签名生成和验证,服务器怎么防御cc,因为需要计算的WOTS实例更少。

批签名

简单来说,批签名是一种一次对多个消息签名的技术,比所有消息都独立签名快得多。其核心思想很简单:不要对实际的消息进行签名,而是对Merkle树的根进行签名,vps被Cc怎么防御,该树的叶子是另一棵树上的消息!您可以将其可视化如下:

要验证单个消息的签名,只需提供消息的身份验证路径。应用于括约肌,可以利用批签名来减小底层树的大小,因为相同数量的消息需要较少的签名(请记住,括约肌需要如此巨大的树来支持大量签名的发布)。

例如,微信ddos防御算法,每批1024条消息,并保持每个密钥对的消息边界,括约肌可以调整为每个签名节省4286字节。

无掩码散列

在原始括约肌中,要在Merkle树中散列的值首先与伪随机生成的称为掩码的值异或,如下图所示:

使用这样的掩码有利有弊:

优点:即使哈希函数不抗冲突(只抗第二个前像),也能保证方案的安全性缺点:它使构造复杂化,并将密钥大小增加到1KB左右

我们认为具有抗冲突哈希函数是完全合理的假设。实际上,你总是需要一个抗冲突的函数来将消息散列在第一位。

八达通认证