中本聪福音-第34节第六名

晚安人

我们返回翻译“哈希现金-拒绝服务对策”的译文。这是倒数第二部分，在上一节中，我们看到了第5部分。

除了反对无与伦比的成本函数的实际有效性和价值的争论外，到目前为止，无与伦比的成本函数的验证函数比可并行化的成本函数要慢几个数量级。这是因为迄今为止文献中所讨论的无与伦比的成本函数与固有效率较低的活板公开密钥加密货币结构有关。是否存在基于对称密钥（或公共密钥）结构的无与伦比的成本函数，其验证函数与对称加密货币成本函数的阶数相同，这是一个悬而未决的问题。

尽管对于成本函数的时间锁谜题的应用，可以使用较小的公共密钥大小来加快验证功能，但是这种方法带来了将模块计入攻击者收益的风险铸造令牌时的巨大优势。 （注意：保理本身就是一个很大程度上可并行的计算）。

为了解决这个问题，服务器必须定期更改公共参数。但是，在时间锁难题使用的公共参数的特定情况下（与RSA加密货币中使用的RSA模块相同），此操作本身价格适中，因此该操作不会经常执行。对于此应用程序，基于768位以下的密钥大小部署软件可能不明智，此外，它有助于定期（例如每小时左右）更改密钥。 （512位RSA模块最近由（11）中讨论的一个封闭小组进行分解，并且最近由Nicko van Someren等人证明。如在（12）中所述，可以使用标准办公设备进行分解; DDoS攻击者可以聚集大量资源，可能很容易超出此演示中使用的资源。）

时间锁定难题的成本功能也一定是活板门，因为服务器需要专用的验证密钥才能使其有效地验证令牌。验证密钥的存在带来了密钥泄露的额外风险，从而使攻击者可以绕过成本功能保护。 （相比之下，hashcash交互式成本函数是无陷阱的，因此没有任何键可让攻击者在计算令牌时采取捷径。）实际上，如果验证密钥已被破坏，则可以将其覆盖，但是由于需要检测此事件并实施手动干预或实施某些自动密钥更改触发器，因此此需求增加了复杂性和管理开销。

时间锁难题的成本函数还将趋向于具有更大的消息，因为有必要传达计划中的和紧急密钥交易所的公共参数。对于某些应用程序，例如syn-cookie和hashcashcookie协议，由于网络基础结构施加的向后兼容性和数据包大小限制，该空间非常大。

因此，简而言之，我们认为无与伦比的成本功能在防御DDoS攻击方面具有可疑的实用价值，具有更昂贵的验证功能，危及验证密钥的风险，以及随之而来的密钥管理复杂性，较大的消息，并且实现起来非常复杂。因此，我们建议使用更简单的hashcash协议作为替代方案（或者，如果不需要非交互式的公共审计选项，Juels和Brainard客户难题几乎是等效的）。

（11）赫尔曼·特·里尔（Herman te Riele）。电子商务的安全性受到512位数字分解的威胁。张贴在http://www.cwi.nl/～kik/persb-UK.html，1999年8月。
（12）丹尼斯·费舍尔。专家辩论加密的风险，2002年3月。另请参见http://www.eweek.com/article/0,3658,s=720&a=24663,00.asp

这是作品的倒数第二部分，在第二节是最后一部分。拥抱