Почему детерминированный ECDSA (согласно RFC 6979) включает закрытый ключ в генерацию k?

lxgr

15.11.2022, 11:27

Понятно, что с помощью закрытого ключа ECDSA $х$ в качестве дополнительного входа в алгоритм хеширования, как указано в RFC 6979, не вред безопасности (при условии, что HMAC_DRBG является PRF).

Но это необходимый?

Не будет ли проблем с тем, чтобы позволить алгоритму подписи иметь тот же результат, что и $к$ для одного и того же сообщения независимо от используемого ключа? Пер Безопасно ли повторно использовать одноразовый номер ECDSA для двух подписей, если открытые ключи разные?, кажется, это должно быть хорошо.

Если ключевая зависимость действительно является целью здесь, почему используется закрытый ключ, а не открытый ключ?

Использование открытого ключа или полное удаление любой зависимости от ключа, по-видимому, позволяет проверить, использует ли данная реализация детерминированные подписи, что кажется желательным свойством в некоторых контекстах. Например, это позволит определить, использует ли данная реализация детерминированные подписи, не зная закрытого ключа, путем наблюдения за одной или несколькими подписями.

Я что-то пропустил?

133

1 + 0

rfc6979

Рейтинг:3

Crypto

poncho

15.11.2022, 11:32

Но так ли это необходимо?

Что нужно, так это чтобы кто-то другой не мог догадаться, что $к$ был; в конце концов, если бы они догадались об этом, они могли бы восстановить закрытый ключ из подписи с помощью простой алгебры.

Если бы они использовали только общедоступную информацию (открытый ключ и сообщение), злоумышленник мог бы вычислить $к$ себя, и это было бы плохо.

Конечно, вам не нужно специально использовать закрытый ключ; вы можете использовать другое секретное значение. Однако важно, чтобы вы использовали какое-то секретное значение (и повторное использование закрытого ключа имеет то преимущество, что нам нужно сохранить в секрете только одну вещь).

0 + 1

lxgr

15.11.2022, 11:40

Спасибо — я совершенно упустил из виду, что $k$ должен быть секретным, а также непредсказуемым и одноразовым!

Ответить

Admin

Этот вопрос на других языках:

EN: Why does deterministic ECDSA (per RFC 6979) include the private key in the generation of k?

TH: เหตุใด ECDSA เชิงกำหนด (ตาม RFC 6979) จึงรวมรหัสส่วนตัวในการสร้าง k

RO: De ce ECDSA deterministă (conform RFC 6979) include cheia privată în generarea lui k?

RU: Почему детерминированный ECDSA (согласно RFC 6979) включает закрытый ключ в генерацию k?

VI: Tại sao ECDSA xác định (theo RFC 6979) bao gồm khóa riêng trong quá trình tạo k?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.