Рейтинг:3

Зависит ли безопасность подписи Шнорра от используемой хеш-функции?

флаг de
CCS

При создании подписи Шнорра число $г$ объединяется с сообщением для создания нового значения, которое затем хэшируется, чтобы получить число, представленное $е$. Номер $е$, сопровождаемые некоторыми другими данными, которые используются во время проверки, затем будут отправлены верификатору подписи.Затем верификатор подписи попытается пересчитать число. $г$ используя предоставленную им информацию, и как только они это сделают, они объединят число $г$ которые они вычислили с полученным сообщением, и используют ту же хэш-функцию, чтобы получить вывод, представленный как $е\прим$. Если $ е \ простое число = е $, подпись действительна.

Мой вопрос: способствует ли используемая хэш-функция общей безопасности алгоритма подписи или просто используется при подписании для сжатия конкатенации числа $г$ а сообщение в фиксированное число бит?

Рейтинг:5
флаг ru

Это способствует безопасности. В частности, хэш-функция $Ч$ должен быть «устойчивым к случайному префиксу прообраза», чтобы быть защищенным от подделки «только ключ», и «случайным префиксом, устойчивым ко второму прообразу», чтобы быть защищенным от подделки известных сообщений.

Под «устойчивостью к случайному префиксу прообраза» мы подразумеваем, что при заданном выходном значении $е$ и случайный $г$, трудно найти $м$ такой, что $H(r||m)=e$ (а во втором случае прообраза, даже при наличии примера $м$, трудно найти второй пример).

Если бы это было легко, то мы могли бы выбрать произвольное $е$ и $s$ и (следуя процессу проверки Шнорра) вычислить $ г = г ^ си ^ е $ а затем решить нашу проблему прообраза для $е$ и $г$ чтобы получить сообщение $м$ для которого $(с,е)$ является действительной подписью. Обратите внимание, что мы не обязательно контролируем $м$ и поэтому эта атака является атакой только с ключом для создания экзистенциальной подделки, и схема не будет безопасной EUF-KOA.

Точно так же во втором случае прообраза мы могли бы взять существующую подпись для сообщения. $м$ и создайте второе сообщение $ м $ с $H(r||m)=H(r||mâ)$. Подпись $(с,е)$ за $м$ также будет работать как подпись для $ м $ и схема не будет безопасной для EUF-KMA.

флаг cn
Это *необходимые* свойства. Известно, что их недостаточно.
Daniel S avatar
флаг ru
Согласен, но необходимое свойство — это все, что требуется, чтобы показать, что хеш-функция действительно способствует безопасности. FWIW [Neven, Smart an Warinschi] (http://www.neven.org/papers/schnorr.html) продемонстрировал достаточность общей модели группы.
флаг cn
Да, это отвечает на вопрос. Я просто подумал, что ответ может быть неправильно понят.
kelalaka avatar
флаг in
Есть ли способ показать, что группа является общей?
Daniel S avatar
флаг ru
@kelalaka: Нет, в общем случае свойство группы является общим/черным ящиком, как правило,/должно быть предположением (например, это предположение широко распространено в отношении групп эллиптических кривых). Общие группы находятся в том же лагере, что и PRP и PRF: теоретические конструкции, от которых, как мы надеемся, наши примитивы неотличимы. от
kelalaka avatar
флаг in
Итак, как я знаю. Следовательно, показ в общей модели — это теоретическая работа, чтобы показать нам, что **пока** нет особого свойства группы, мы ожидаем, что она будет безопасной.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.