Имена и игры для свойств безопасности, предотвращающих подмену подписанного сообщения подписывающей стороной

Некоторые схемы подписи, особенно ECDSA, неохотно позволяют пользователям подготовить свою пару открытого/закрытого ключа как функцию двух произвольных сообщений по своему выбору и вычислить подпись, которая проверяет оба сообщения¹. В случае ECDSA пара открытый/закрытый ключ полностью функциональна и может нормально подписывать, в том числе для выполнения запроса на подпись сертификата для своего открытого ключа. Убедить третью сторону в намерении нечестной игры сложно, и для этого требуются оба сообщения. Я спрашиваю о конкретных последствиях безопасности там.

Некоторые другие схемы подписи, особенно любые $3k$-кусочек короткая Схема подписи Шнорра² (не EdDSA, которая $4k$-bit), имеют еще более серьезную уязвимость в системе безопасности. В любой момент после обычной генерации пары ключей владелец закрытого ключа может подготовить два сообщения с различным и произвольно выбранным содержимым, за исключением небольшой части, и их общей подписи, путем атаки поиска коллизий только на хэше с ожидаемым стоит всего $\Тета(2^{к/2})$ хеши. Атака может быть повторена, и третья сторона не сможет отличить ее от успешной атаки предварительного образа хэша без закрытого ключа с ожидаемой стоимостью. $\Тета(2^к)$ хеши.

В широком смысле эти атаки можно назвать замена подписанного сообщения подписывающей стороной, с первым видом преднамеренный. Подклассификация имеет смысл (например, если при совершении атаки раскрывается закрытый ключ; это происходит в первой атаке, а не во второй).

Каковы стандартные названия свойств безопасности, предотвращающих такие атаки? Существуют ли стандартные эксперименты по безопасности для этих свойств безопасности?

Примечание: я также спросил, как ИТ-практика решает эту проблему. там на безопасности-SE, поэтому, пожалуйста, не отвечайте здесь на этот аспект. Я признаю, что есть совпадение для части именования.

¹ См. раздел 4.2 у Жака Стерна, Дэвида Пойнтчеваля, Джона Мэлоуна-Ли и Найджела П. Смарта. Недостатки применения методологий доказательства к схемам подписи, в материалы Crypto 2002.

² Клаус Петер Шнорр, Эффективная идентификация и подписи для смарт-карт, в материалы Crypto 1989 тогда Журнал криптологии, 1991 г..

Часть ответа я нашел у Денниса Джексона, Каса Кремерса, Катриэль Кон-Гордон и Ральфа Сассе: Кажется законным: автоматизированный анализ скрытых атак на протоколы, использующие сигнатуры, в Cryptology ePrint Archive, отчет 2019/779, изначально в материалах ACM CCS 2019.

Их термин для атаки против схемы подписи Сталкивающиеся подписи, скорее, чем Дублирующиеся подписи в оригинальной статье в сноске 1 вопроса.

Они называют желаемое свойство, которого нет в ECDSA. Не конфликтующие подписи. сек1v2 уволить, что это тревожный риск отказа, следующим образом:

Злоумышленник может попытаться отказаться от подписи в одном из сообщений. Аргумент в пользу отказа, влекущий за собой то, что какая-то третья сторона вызвала дублирование подписи, по-видимому, предполагает существование подлинной атаки с подделкой. Поскольку такие атаки неизвестны, баланс вероятностей падает на злой умысел подписавшего, поскольку у подписывающего есть доступ к закрытому ключу и, следовательно, гораздо больше возможностей для создания подписей. Помимо этих общих проблем, эта атака с дублированием подписи имеет дополнительный недостаток, заключающийся в том, что она раскрывает закрытый ключ подписывающей стороны. Поскольку закрытый ключ определяется подписью и двумя подписанными сообщениями, вероятность того, что подписывающее лицо сгенерировало закрытый ключ честным образом, ничтожно мала, и можно почти наверняка сделать вывод, что закрытый ключ был намеренно сгенерирован для запуска этого сообщения. атака. Таким образом, чтобы аннулировать подписи, подписывающая сторона должна будет утверждать, что какая-то третья сторона сгенерировала закрытый ключ подписывающей стороны, что противоречит обычному утверждению, которое подписывающие стороны должны сделать для неотказуемости: а именно, что подписывающая сторона сгенерировала закрытый ключ и не открыл его никому другому.

Я понимаю аргумент, но на ум приходит «лучше перестраховаться, чем сожалеть». Как практик, я бы хотел, чтобы ECDSA заставило $Y$ координата должна быть четной, что предотвратило бы это и сделало схему SEUF-CMA в один ход. В том же духе я бы хотел, чтобы EdDSA с самого начала отклонила несколько открытых ключей низкого порядка.

Формализация как эксперимент по безопасности идет: на входе $1^n$, противники пытаются вывести $(\mathrm{pk},m,m',\sigma)$ с правильным $n$ передается в $\mathrm{пк}\,$, $м\не м'\,$, $\mathsf{Vrfy}(\mathrm{pk},m,\sigma)=1\,$, и $\mathsf{Vrfy}(\mathrm{pk},m',\sigma)=1$.

Но вопрос также касается более тревожной атаки на короткую подпись Шнорра, которая отличается тем, что открытый/закрытый ключи не генерируются злонамеренно, и может быть сгенерировано несколько пар сообщений.

Для этого я не нашел ссылку (по этой причине я не буду отмечать ответ как принятый). Я условно называю атаку Непреднамеренные конфликтующие подписи. Я сомневаюсь в безопасности имущества.

Формализация как эксперимент по безопасности может идти: на входе $(\mathrm{pk},\mathrm{sk})$ вывод по $\mathsf{Общество}$, противники пытаются вывести $(м,м',\сигма)$ с $м\не м'\,$, $\mathsf{Vrfy}(\mathrm{pk},m,\sigma)=1\,$, и $\mathsf{Vrfy}(\mathrm{pk},m',\sigma)=1$. Небольшой вариант дополнительно даст в качестве входных данных копию $\mathsf{Общество}$случайная лента/генератор.