Рейтинг:2

Безопасен ли DSA без фактора «r»?

флаг sy

Если я правильно понимаю, способ DSA в группе $G$ с хэш-функцией $Ч$ работает так: Пегги (подписавшаяся) имеет пару закрытый/открытый ключ $х$, $г^х$. Для подписи она выдает случайный сеансовый ключ $к$, $г^к$ затем вычисляет подпись: $s=\frac{H(m)+xF(g^k)}{k}$ где F - некоторая "достаточно равномерная функция" $F: G \стрелка вправо \frac{\mathbb{Z}}{|G|\mathbb{Z}}$. Чтобы проверить подпись, Виктор проверяет, что $ g ^ {\ frac {H (m)} {s}} (g ^ x) ^ {\ frac {F (g ^ k)} {s}} = g ^ k $.

Мой вопрос касается фактора $ F (г ^ к) $ (названный $г$ во многих экспозициях, напр. в Википедии). Насколько это необходимо с точки зрения безопасности? Более конкретно: предположим, что Пегги должна вычислить подпись $s=\frac{H(m)+x}{k}$ (и, соответственно, Виктор вычислил бы: $ г ^ {\ гидроразрыва {Н (м)} {s}} (г ^ х) ^ {\ гидроразрыва {1} {s}} = г ^ к $). Делает ли это схему уязвимой для конкретной известной атаки?

Дубликат этот вопрос (задавался в феврале 2019 г., ответов нет). Смотрите также этот прошлый вопрос, где ответ утверждает, что столкновение в $г$ не допускает криптографического взлома.

Daniel S avatar
флаг ru
Позвольте спросить, как возникает вопрос, а также в каком виде будет ваша подпись (в DSA подпись представляет собой пару $(r,s)$, а в вашей схеме $r$ уже не существует).
B.H. avatar
флаг sy
Я предполагаю, что подпись будет $(g^k, s)$. Вопрос чисто теоретический, я просто пытаюсь понять, почему алгоритм построен именно так.
Рейтинг:3
флаг ru

Эту схему подписи легко подделать.

Обратите внимание, что есть $s$ используется только в правой части уравнения проверки и $г^к$ используется только с левой стороны. Фред-фальсификатор волен выбирать любой $s$; вычислить левую часть, скажем $\ell=g ^ {\ frac {h (m)} s} (g ^ x) ^ {\ frac1s} $ а потом опубликовать подпись $(\элл,с)$ который будет принят Виктором.

B.H. avatar
флаг sy
Цифры. Атака, если $k$ известна/повторяется, включает в себя извлечение секретного ключа $x$, поэтому казалось очевидным искать такую ​​же атаку...

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.