Рейтинг:0

Можно ли сгенерировать подпись ECDSA без одноразового номера?

флаг br

Я новичок в криптографии, и мой колледж дал мне эту ECDSA. Я знаю, что вам нужно разделить результат: h(m)+r.priv, чтобы сгенерировать подпись. Но возможно ли сгенерировать подпись без Nonce или «K», когда у меня есть закрытый ключ (priv), выбранный r и хэш сообщения?

kelalaka avatar
флаг in
Существует [детерминированный ECDSA rfc6979] (https://datatracker.ietf.org/doc/html/rfc6979), кроме этого, это небезопасно.
meshcollider avatar
флаг gb
r и H(m) являются общеизвестными, поэтому, исходя из вашего понимания, будет ли это безопасно?
флаг br
@meshcollider нет, но я просто спрашиваю, возможно ли это?
kelalaka avatar
флаг in
Каково происхождение этого вопроса?
Рейтинг:2
флаг ng

Да, это нормальная практика — генерировать подпись ECDSA из сообщения. $ млн $ (или это хэш $Ч(М)$ ), закрытый ключ $d_U$ и параметры кривой, без указания одноразового номера в качестве входных данных. одноразовый номер $к$ создается как часть процесса подписания одним из двух способов:

  1. Он генерирует секретное целое число $к$ равномерно в $[1,n)$ используя настоящий генератор случайных чисел с секретным выходом. Это стандартное определение ECDSA.
  2. Он генерирует секретное целое число $к$ в $[1,n)$ используя Псевдослучайная функция с ключом $d_U$, применительно к $Ч(М)$ и, возможно, другие данные, которые не должны быть секретными (такие как метка времени и/или случайное число). Это то что RFC6979 делает, прописывая PRF на основе HMAC.

Оба метода одинаково безопасны: по сути, $к$ секрет в $[1,n)$ что, для злоумышленников, которые не знают закрытый ключ $d_U$, неизвестно, а если бы было известно, то выглядело бы случайным (кроме второго варианта, если тот же $ млн $ переподписывается, а необязательные другие данные повторяются или отсутствуют).

Преимущество второго метода состоит в том, что он не требует настоящего генератора случайных чисел криптографического качества. Однако он использует закрытый ключ $d_U$ (и, что еще хуже, смешивает его с переменными данными, потенциально известными противнику), поэтому PRF должен быть защищен от атак по сторонним каналам.

Только второй метод может гарантировать, что двукратное подписание одного и того же сообщения одним и тем же закрытым ключом сгенерирует одну и ту же подпись, что в зависимости от обстоятельств желательно или нет.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.