Что произойдет, если кривая, используемая в протоколе согласования ключей, также будет использоваться в подписи внутри протокола?

mehdi mahdavi oliaiy

15.10.2022, 05:28

В протоколах согласования ключей (или обмена ключами) для аутентификации используется подпись. Предположим, что протоколы обмена ключами выполняются на эллиптической кривой. Инициатор протокола должен отправить подпись своего сообщения вместе с основным сообщением. Что произойдет, если кривая, используемая в протоколе согласования ключей, также будет использоваться в подписи внутри протокола?

Например, при обмене ключами Диффи-Хеллмана по кривой Алиса отправляет $аП$ и $sig_{k_a}(aP)$ Бобу, что $P$ является генератором кривой $Е$. Подпись - это ECDSA (или EdDSA) на кривой $E'$. Является $Е=Е'$? Является $Е$ и $E'$ разные? Какие из этих ситуаций являются лучшими? в чем преимущества?

110

1 + 0

протокол-дизайн

Рейтинг:1

Crypto

fgrieu

15.10.2022, 06:25

В подписи, как это практикуется с ECC, первый шаг в $\operatorname{sig}_{k_a}(aP)$ перемешивает $аП$. Кажется, это предотвращает любую атаку, которая могла бы использовать $аП$ вычисляется на кривой, используемой для подписи, за исключением случаев, когда тот же хеш повторно используется в секретной точке кривой, что не имеет место в случае ECDH, как это практикуется (используются определенные KDF; и можно было бы повторно использовать один и тот же хэш с другим форматирование сообщения, например, префикс).

Таким образом, я не вижу больше проблем с использованием одной и той же кривой для согласования ключей и подписи, чем с использованием одной и той же кривой для нескольких открытых ключей в подписи. Последний распространен и имеет небольшой недостаток. Это позволяет объединить некоторые предварительные вычисления, например. при атаке открытых ключей с помощью baby-step/giant-step, но это имеет незначительное практическое значение.

0 + 2

mehdi mahdavi oliaiy

15.10.2022, 11:22

Спасибо за Ваш ответ. Что вы имеете в виду от «позже обычно»? В вашем случае используется одна и та же кривая или другая? Более того, я знаю, что первый шаг — это хеширование. Мой вопрос касается остальной части процесса подписания. Это означает, что мы можем использовать ту же образующую точку $P$ и ту же кривую $E$ для подписи $H(aP)$ в качестве сообщения??

Ответить

fgrieu

15.10.2022, 12:21

@mehdi mahdavi oliaiy: Мое _"последнее является обычным"_ означает, что _"использование одной и той же кривой для нескольких открытых ключей в подписи" "обычно"_. Все нормально. На мой взгляд, _"использование одной и той же кривой для согласования ключей и подписи"_ так же хорошо (при условии объяснения общего условия).

Ответить

Admin

Этот вопрос на других языках:

EN: What happen if the curve used in key agreement protocol also used in signature inside of protocol?

TH: จะเกิดอะไรขึ้นหากเส้นโค้งที่ใช้ในโปรโตคอลข้อตกลงหลักยังใช้ในลายเซ็นภายในโปรโตคอลด้วย

RO: Ce se întâmplă dacă curba folosită în protocolul acordului cheie este folosită și în semnătură în interiorul protocolului?

RU: Что произойдет, если кривая, используемая в протоколе согласования ключей, также будет использоваться в подписи внутри протокола?

VI: Điều gì xảy ra nếu đường cong được sử dụng trong giao thức thỏa thuận khóa cũng được sử dụng trong chữ ký bên trong giao thức?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.