Рейтинг:2

Что произойдет, если кривая, используемая в протоколе согласования ключей, также будет использоваться в подписи внутри протокола?

флаг ro

В протоколах согласования ключей (или обмена ключами) для аутентификации используется подпись. Предположим, что протоколы обмена ключами выполняются на эллиптической кривой. Инициатор протокола должен отправить подпись своего сообщения вместе с основным сообщением. Что произойдет, если кривая, используемая в протоколе согласования ключей, также будет использоваться в подписи внутри протокола?

Например, при обмене ключами Диффи-Хеллмана по кривой Алиса отправляет $аП$ и $sig_{k_a}(aP)$ Бобу, что $P$ является генератором кривой $Е$. Подпись - это ECDSA (или EdDSA) на кривой $E'$. Является $Е=Е'$? Является $Е$ и $E'$ разные? Какие из этих ситуаций являются лучшими? в чем преимущества?

Рейтинг:1
флаг ng

В подписи, как это практикуется с ECC, первый шаг в $\operatorname{sig}_{k_a}(aP)$ перемешивает $аП$. Кажется, это предотвращает любую атаку, которая могла бы использовать $аП$ вычисляется на кривой, используемой для подписи, за исключением случаев, когда тот же хеш повторно используется в секретной точке кривой, что не имеет место в случае ECDH, как это практикуется (используются определенные KDF; и можно было бы повторно использовать один и тот же хэш с другим форматирование сообщения, например, префикс).

Таким образом, я не вижу больше проблем с использованием одной и той же кривой для согласования ключей и подписи, чем с использованием одной и той же кривой для нескольких открытых ключей в подписи. Последний распространен и имеет небольшой недостаток. Это позволяет объединить некоторые предварительные вычисления, например. при атаке открытых ключей с помощью baby-step/giant-step, но это имеет незначительное практическое значение.

mehdi mahdavi oliaiy avatar
флаг ro
Спасибо за Ваш ответ. Что вы имеете в виду от «позже обычно»? В вашем случае используется одна и та же кривая или другая? Более того, я знаю, что первый шаг — это хеширование. Мой вопрос касается остальной части процесса подписания. Это означает, что мы можем использовать ту же образующую точку $P$ и ту же кривую $E$ для подписи $H(aP)$ в качестве сообщения??
fgrieu avatar
флаг ng
@mehdi mahdavi oliaiy: Мое _"последнее является обычным"_ означает, что _"использование одной и той же кривой для нескольких открытых ключей в подписи" "обычно"_. Все нормально. На мой взгляд, _"использование одной и той же кривой для согласования ключей и подписи"_ так же хорошо (при условии объяснения общего условия).

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.