Algoritmo Blum-Goldwasser: differenze tra le versioni

 

== Sicurezza ed efficienza ==

Lo schema Blum-Goldwasser è ''semanticamente sicuro'', basandosi sull'intrattabilità del problema di predire i bit della chiave dato solo lo stato finale <math>y</math> del generatore BBS e la chiave pubblica <math>N</math>. Tuttavia, messaggi criptati nella forma <math>{\vec c}, y</math> sono vulnerabili ad un attacco di tipo ''chosen cipher-text'', in cui l'avversario richiede la decrittazione <math>m^{\prime}</math> di un messaggio criptato <math>{\vec a}, y</math>. Il messaggio in chiaro originale può essere calcolato come <math>{\vec a} \oplus m^{\prime} \oplus {\vec c}</math>.

 

A seconda della dimensione del testo in chiaro, Blum-Goldwasser può essere più o meno computazionalmente costoso di RSA. Poiché la maggior parte delle implementazioni di RSA usano un esponente fisso per la crittazione per ottimizzarne il tempo, RSA generalmente è molto più efficiente di BG tranne per messaggi molto brevi. Tuttavia, poiché l'esponente usato da RSA per decriptare è distribuito casualmente, l'esponenziazione in modulo può richiedere un numero di moltiplicazioni comparabile a quello richiesto da BG per un messaggio criptato della stessa lunghezza. BG ha infine il vantaggio di funzionare senza difficoltà per messaggi molto lunghi, nei quali invece RSA richiede più crittazioni separate. In questi casi, BG può essere significativamente più efficiente.

 

== Voci correlate ==

* [[RSA]]

* [[Teoria della complessità algoritmica]]

 

{{Portale|Crittografia|Sicurezza informatica}}