Рейтинг:1

Необходимые неинтерактивные привязки вызова подписи Шнорра

флаг es

Некоторые реализации подписи Шнорра будут определять проблему следующим образом:

$c=H(kG \mathbin\| X \mathbin\| m)==H(rG+cX \mathbin\| X \mathbin\| m)$, куда:

$с$ это вызов
$м$ сообщение подписывается
$Х$ открытый ключ подписавшего, такой, что $Х=xG$
$G$ является известной отправной точкой
$х$ является закрытым ключом подписавшего
$г$ – ответ на вызов, вычисляемый как $r=k-cx$
$к$ является равномерно случайным одноразовым номером

Однако некоторые подписи Шнорра не связывают открытый ключ. $Х$ подписавшего в хэш вызова. Таким образом, $c=H(kG \mathbin\| м)$.

Какие возможные атаки предотвращаются включением $Х$ в хеше вызова?

Обратите внимание, что подпись может быть передана как пара $(с,г)$, или как пара $(К,р)$ куда $К=кГ$.

Рейтинг:1
флаг ru

Это довольно надуманный сценарий, но предположим, что есть два ключа проверки $X_1=x_1G$ и $X_2=x_2G$ принадлежат двум разным подписывающим сторонам и предполагают, что злоумышленник не знает ни того, ни другого. $x_1$ ни $x_2$ но знает разницу между ними, скажем $x_1=x_2+b$. Затем они могли бы использовать подпись от подписавшего 1 для подделки подписи от подписывающего 2 на том же фрагменте данных (и наоборот) с несвязанной схемой.

Для этого они брали $r_1$ из подписи подписавшего 1 и заменить ее на $r_2=r_1+bc$.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.