Каковы некоторые варианты использования схемы подписи, которая может подписывать только ограниченное время?

Из одноразовой подписи на основе хэша ее можно преобразовать в размер 2 ^ d с помощью хэш-дерева Меркла.

Тем не менее, похоже, это трюк, который позволяет использовать многократную подпись.

Мой вопрос: Есть ли какой-либо вариант использования схемы подписи, которую можно использовать только для подписи в течение фиксированного количества раз (перфокарта / погашение карты)?

Мой вопрос: есть ли какой-либо вариант использования схемы подписи, которую можно использовать только для подписи в течение фиксированного количества раз (перфокарта / погашение карты)?

Учитывая наших барабанщиков, мы бы предпочли схему подписи, которую можно использовать произвольное количество раз; ограничения для существующих схем имеют форму «если вы превысите этот предел, вы уменьшите (или устраните) свойства безопасности, которые вы получаете» — у нас нет особых причин отдавать предпочтение этому.

Однако мы миримся с ограничениями (а в случае хеш-схем с отслеживанием состояния — сравнительно небольшими ограничениями), потому что:

• Эти схемы могут иметь другие свойства, которые нам нужны. В случае схем на основе хеширования мы получаем свойство криптографической безопасности — безопасность схем опирается на криптографическую стойкость хэш-функции и ни на что другое. Любая система подписи, которая сначала хэширует сообщение, а затем работает с хэшем, должна исходить из криптографической стойкости хэш-функции — схема, основанная на хешировании, не делает никаких других предположений.

• Иногда пользователь знает достаточно небольшое ограничение на количество подписей, которые он будет генерировать. Например, если пользователь знает, что закрытый ключ будет находиться у одной подписывающей стороны, эта подписывающая сторона не может генерировать более 1000 подписей в секунду, а через год ($< 2^{25}$ секунд) он отбросит закрытый ключ (и сгенерирует новый), тогда он знает, что не может подписать больше, чем $2^{35}$ сообщения с одним и тем же открытым ключом - следовательно, схема на основе хеширования с отслеживанием состояния с ограничением $2^{35}$ сообщения были бы возможным вариантом.

Каждая подпись схема можно смело подписывать без ограничений. В некоторых данный закрытый ключ можно безопасно подписывать только более или менее строго ограниченное количество раз.

Такое ограничение не налагается в схеме чем-то математическим: владелец материала секретного ключа может применить то, что он сделал с первым подписанным сообщением, к любому количеству других сообщений ценой того, что схема станет небезопасной. Если ограничение подписи применяется, это осуществляется подписывающим устройством/программным обеспечением, которое меняет состояние при каждой подписи. Такое ограничение может быть добавлено к подписывающему устройству независимо от схемы подписи, и это обычное дело, например. ограничить последствия кражи подписывающего устройства.

Есть много случаев использования, когда мы можем жить с тем, что составляет ограничение: часто количество подписей, которые должен сделать данный закрытый ключ, может быть ограничено, или когда ключ может быть заменен новым при приближении к некоторому порогу использования. . Например, ключ для подписи юридических документов в небольшой компании может использоваться менее 100 раз за время его существования (например, два года).

Ограничения можно даже превратить в маркетинговое преимущество: компаниям, выпускающим сертификаты, может понравиться предлог, чтобы иметь возможность продавать сертификаты разных классов в зависимости от использования ключа.

Можно утверждать, что все существующие схемы подписи можно использовать только конечное число раз. Например, с помощью Эд25519 больше, чем $2^{126}$ раз с одним и тем же ключом подписи возникает высокий риск повторения эфемерного ключа и компрометации ключа подписи (использование его $\ell+1$ раз это гарантирует).

На практике же подписи, используемые в Сертификаты X.509 которые широко распространены в Интернете, имеют срок действия, по истечении которого их больше нельзя использовать.

С подписями на основе хеш-дерева, такими как СФИНКИ, ограничения на использование немного более строгие и, скорее всего, повлияют на обычное использование. Для схем подписи с интенсивным использованием это потребует большего количества ротации/обновления ключей. Однако вполне возможно, что при последнем использовании схемы ограниченной подписи подписывается и утверждается новый ключ проверки, а не обновляются хранилища долгосрочных подписей. Есть дополнительные накладные расходы, связанные с потенциальной необходимостью проверки строки таких подписей, чтобы получить текущий ключ проверки, но это все еще потенциальный вариант использования.