Рейтинг:0

Существуют ли бесконечные подписи, которые я могу создать для данного сообщения, используя данный закрытый ключ?

флаг kr

В контексте ECDSA, учитывая, что у меня есть сообщение и закрытый ключ, я могу изменить значение k и получить другую подпись, не означает ли это, что я могу создавать бесконечные подписи, и все они будут действительными, а это означает я могу правильно подделать подпись, поскольку я могу предположить, что случайная подпись, которую я угадал для сообщения, также будет одной из тех бесконечных подписей, которые могут быть сгенерированы с использованием другого значения k.

Я знаю, что все так не работает, поэтому любая помощь в устранении моего недоразумения будет оценена по достоинству.

Рейтинг:3
флаг gb

Да, вы можете создать бесконечное количество подписей. Технически не бесконечно, потому что $к$ должен быть меньше порядка группы эллиптических кривых, которую вы используете. Но это так много вариантов, что вы никогда не сможете использовать их все.

Это определенно не означает, что вы можете подделать подпись.То, что их бесконечное количество, не означает, что их легко найти. Используемые значения должны удовлетворять уравнению проверки. Генерация случайных подписей методом грубой силы до тех пор, пока они не будут проверены, займет буквально вечность. Вот почему эти схемы подписи считаются безопасными. Обычно такой брутфорс был бы так же сложен, как поиск секретного ключа методом брутфорса.

Darshan V avatar
флаг kr
Так что это больше похоже на то, что для всех используемых k не будет k или k/2 signautres (k/2, потому что отражение подписи относительно оси x также допустимо), вместо этого может быть, что для нескольких k он может генерировать одну и ту же подпись и следовательно, будут некоторые конечные подписи
fgrieu avatar
флаг ng
Добавление аналогии: существует (скорее всего) бесконечно много битовых строк, для которых SHA3-256 равен нулю. Но мы не можем найти ни одного.
meshcollider avatar
флаг gb
Очень неформально, есть тонны действительных подписей (по одной на каждый выбор $k$), но *много, много, намного больше* недействительных. Действительные хорошо спрятаны среди всех недействительных.
флаг cn
@meshcollider На самом деле, я думаю, что это утверждение недоказуемо и может быть ложным. Для фиксированных входных данных хэш-функция может быть инъективной (или очень близкой к ней) между областью определения $k$ и образом хеша, даже если это маловероятно. Конечно, каждый может проверить, что точки находятся на кривой, поэтому вообще нужно учитывать только их.
meshcollider avatar
флаг gb
@tylo, что вы подразумеваете под инъекцией для фиксированного ввода? Для фиксированного ввода хэш-функция фиксирована :)

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.