Рейтинг:2

Каковы некоторые варианты использования схемы подписи, которая может подписывать только ограниченное время?

флаг hu

Из одноразовой подписи на основе хэша ее можно преобразовать в размер 2 ^ d с помощью хэш-дерева Меркла.

Тем не менее, похоже, это трюк, который позволяет использовать многократную подпись.

Мой вопрос: Есть ли какой-либо вариант использования схемы подписи, которую можно использовать только для подписи в течение фиксированного количества раз (перфокарта / погашение карты)?

poncho avatar
флаг my
Название задает один вопрос (зачем нам использовать метод подписи, который ограничен подписанием сообщений $d$); тело спрашивает другое (как мы могли использовать сигнатурный метод, который ограничен определенным количеством времени). Что вы действительно хотите спросить?
DiamondDuck avatar
флаг hu
немного поправил название
Рейтинг:2
флаг my

Мой вопрос: есть ли какой-либо вариант использования схемы подписи, которую можно использовать только для подписи в течение фиксированного количества раз (перфокарта / погашение карты)?

Учитывая наших барабанщиков, мы бы предпочли схему подписи, которую можно использовать произвольное количество раз; ограничения для существующих схем имеют форму «если вы превысите этот предел, вы уменьшите (или устраните) свойства безопасности, которые вы получаете» — у нас нет особых причин отдавать предпочтение этому.

Однако мы миримся с ограничениями (а в случае хеш-схем с отслеживанием состояния — сравнительно небольшими ограничениями), потому что:

  • Эти схемы могут иметь другие свойства, которые нам нужны. В случае схем на основе хеширования мы получаем свойство криптографической безопасности — безопасность схем опирается на криптографическую стойкость хэш-функции и ни на что другое. Любая система подписи, которая сначала хэширует сообщение, а затем работает с хэшем, должна исходить из криптографической стойкости хэш-функции — схема, основанная на хешировании, не делает никаких других предположений.

  • Иногда пользователь знает достаточно небольшое ограничение на количество подписей, которые он будет генерировать. Например, если пользователь знает, что закрытый ключ будет находиться у одной подписывающей стороны, эта подписывающая сторона не может генерировать более 1000 подписей в секунду, а через год ($< 2^{25}$ секунд) он отбросит закрытый ключ (и сгенерирует новый), тогда он знает, что не может подписать больше, чем $2^{35}$ сообщения с одним и тем же открытым ключом - следовательно, схема на основе хеширования с отслеживанием состояния с ограничением $2^{35}$ сообщения были бы возможным вариантом.

Рейтинг:1
флаг ng

Каждая подпись схема можно смело подписывать без ограничений. В некоторых данный закрытый ключ можно безопасно подписывать только более или менее строго ограниченное количество раз.

Такое ограничение не налагается в схеме чем-то математическим: владелец материала секретного ключа может применить то, что он сделал с первым подписанным сообщением, к любому количеству других сообщений ценой того, что схема станет небезопасной. Если ограничение подписи применяется, это осуществляется подписывающим устройством/программным обеспечением, которое меняет состояние при каждой подписи. Такое ограничение может быть добавлено к подписывающему устройству независимо от схемы подписи, и это обычное дело, например. ограничить последствия кражи подписывающего устройства.

Есть много случаев использования, когда мы можем жить с тем, что составляет ограничение: часто количество подписей, которые должен сделать данный закрытый ключ, может быть ограничено, или когда ключ может быть заменен новым при приближении к некоторому порогу использования. . Например, ключ для подписи юридических документов в небольшой компании может использоваться менее 100 раз за время его существования (например, два года).

Ограничения можно даже превратить в маркетинговое преимущество: компаниям, выпускающим сертификаты, может понравиться предлог, чтобы иметь возможность продавать сертификаты разных классов в зависимости от использования ключа.

Рейтинг:0
флаг ru

Можно утверждать, что все существующие схемы подписи можно использовать только конечное число раз. Например, с помощью Эд25519 больше, чем $2^{126}$ раз с одним и тем же ключом подписи возникает высокий риск повторения эфемерного ключа и компрометации ключа подписи (использование его $\ell+1$ раз это гарантирует).

На практике же подписи, используемые в Сертификаты X.509 которые широко распространены в Интернете, имеют срок действия, по истечении которого их больше нельзя использовать.

С подписями на основе хеш-дерева, такими как СФИНКИ, ограничения на использование немного более строгие и, скорее всего, повлияют на обычное использование. Для схем подписи с интенсивным использованием это потребует большего количества ротации/обновления ключей. Однако вполне возможно, что при последнем использовании схемы ограниченной подписи подписывается и утверждается новый ключ проверки, а не обновляются хранилища долгосрочных подписей. Есть дополнительные накладные расходы, связанные с потенциальной необходимостью проверки строки таких подписей, чтобы получить текущий ключ проверки, но это все еще потенциальный вариант использования.

fgrieu avatar
флаг ng
Я не сразу понимаю, как (случайное и крайне маловероятное) столкновение в эфемерных ключах/нонсах среди, скажем, подписей $2^{64}$ Ed25519 с одним и тем же закрытым ключом может быть идентифицировано (похоже, что это необходимое условие для эксплуатации), во многом меньше среди $2^{126}$, где это становится реальной возможностью.
Daniel S avatar
флаг ru
Я согласен с тем, что это конечно в смысле не бесконечности, а не невозможности, но при условии, что кто-то считает, что нет жесткого ограничения на вычислительные ресурсы с течением времени, это все еще приводит доводы в пользу конечного срока жизни ключей подписи для существующих алгоритмов подписи.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.