Рейтинг:3

Как мы можем предотвратить атаки дублирования ключей на цифровые подписи

флаг us

Ограничение цифровых подписей заключается в том, что для данной подписи Ï сообщения м соответствующий открытому ключу ПК, противник может создать пк', ск' который производит подпись Ï' за м, такой, что Ï' = Ï. Как мы можем создать функцию подписи и функцию проверки, устойчивые к этой атаке?

kelalaka avatar
флаг in
На самом деле в вашем вопросе отсутствует важный аспект криптографии; Какова сила противника? полиномиально ограничено или не ограничено?
Рейтинг:3
флаг tr

Атаки DSKS относятся к классу атак на схемы подписи, которые нарушают принцип «исключительного владения». Свойство, которое не гарантируется стандартной безопасностью EUF-CMA.

Одним из решений этого является БАФФ строительство. Это очень похоже на то, что рекомендует Boneh-Shoup. Короче говоря, учитывая пару ключей подписи $(ск,пк)$ подписывать $м$, сначала вычислить $ч = Н(м,пк)$, тогда $\sigma = Sig(sk,h)$. Подпись $(ч, \сигма)$. Проверка сравнивает хэши и проверяет подпись.

Конструкция BUFF предлагает больше возможностей, чем эксклюзивное владение; газета говорит о них.

fgrieu avatar
флаг ng
Интересно, но это увеличивает размер подписи. $\mathsf{Sig}(sk,(pk\mathbin\|m))$ или $\mathsf{Sig}(sk,(pk\mathbin\|H(m)))$ не подходят для атак DSKS, без штрафа за размер?
Marc Ilunga avatar
флаг tr
@fgrieu, да, это тоже работает. Я думаю, я не смог передать, что это была альтернатива с дополнительными функциями.
kelalaka avatar
флаг in
На самом деле, это все еще не мешает злоумышленнику, как того требует OP, поскольку OP не ограничивает возможности противника. В этом случае они все еще могут найти такую ​​пару $(pk,pk)$, если это возможно.
Marc Ilunga avatar
флаг tr
@kelalaka, это правда, что неограниченный противник может сам восстановить пару ключей. Я думаю, что будет справедливо интерпретировать вопрос как рассмотрение ограниченных злоумышленников, что кажется подходящим для сигнатур и атак DSKS.
Рейтинг:2
флаг vu

Я думаю, что такая атака возможна только тогда, когда у вас есть «формула» для вычисления подписи из закрытого ключа и хэша сообщения, которую можно инвертировать — выберите подпись и сообщение и вычислите закрытый ключ. Этим свойством обладают различные варианты схем подписи Шнура и ЭльГамеля.

Самое простое решение, которое я могу придумать, — это использовать подпись на основе хеша, такую ​​как какой-либо вариант схемы подписи XMSS, LMS и SPHINCS.

Рейтинг:1
флаг us

Согласно Дэну Боне и Виктору Шоупу Высший курс в Прикладная криптография:

довольно легко сделать прививку схема подписи против атак DSKS: подписывающий просто прикрепляет свой открытый ключ к сообщению, прежде чем подписывать сообщение. Верификатор делает то же самое перед проверкой подпись. Таким образом, открытый ключ подписи аутентифицируется вместе с сообщением (см. Упражнение 13.5). Прикрепление открытого ключа к сообщению до подписания является хорошей практикой и рекомендуется во многих реальных приложениях.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.