Рейтинг:0

Может ли форма уравнения цифровой подписи на эллиптической кривой быть проще?

флаг cn

Мне любопытно, почему уравнения для подписания/проверки с помощью ECDSA имеют формы, которые у них есть. Можно ли использовать более простое уравнение с теми же свойствами.

Например, это уравнение я нашел в книге о биткойнах:

$$ s = (z + re)/k $$ куда,

$r = x\_coordinate\_of(k\cdotG)$,

$е$ - закрытый ключ,

$z$ - хэш сообщения,

$к$ - случайное число,

$(с, г)$ - подпись

Что интересно, в исходной статье для ECDSA используется немного другая формула:

$$ с = к / (г + ре) $$

Вопрос

Но можно ли использовать что-то еще более простое? Например:

$$ с = к/зе $$

И затем мы можем проверить при проверке, что следующее уравнение выполняется:

$$ s \cdot z \cdot P = r, $$ куда $P = е \cdotG$ является открытым ключом.

Почему мы должны включать $г$ в формуле? И почему его надо включать сложением, а не умножением, например?

Mark avatar
флаг ng
вы разместили свой вопрос на [math.se](https://math.stackexchange.com/questions/4454500/can-form-of-elliptic-curve-digital-signature-equation-be-simpler/4457415#4457415 ) также. Я не могу вспомнить стандартную болтовню по этому поводу, но я считаю, что это обескураживает.
kelalaka avatar
флаг in
Я голосую за то, чтобы закрыть этот вопрос, потому что он был опубликован и ответил на другой сайт.
kelalaka avatar
флаг in
@Mark https://meta.stackexchange.com/questions/64068/is-cross-posting-a-question-on-multiple-stack-exchange-sites-permitted-if-the-qu
флаг au
Может быть, вы хотите взглянуть на корейский ECDSA, также известный как EC-KCDSA.
kelalaka avatar
флаг in
Забудьте о ECDSA, если вы хотите его использовать, используйте [детерминированный ECDSA] (https://www.rfc-editor.org/rfc/rfc6979), который свободен от предвзятых атак nonce (монеты используют его сейчас). И Curveball ise [здесь] (https://crypto.stackexchange.com/q/83308/18298) в деталях.
Рейтинг:3
флаг ru

Проблема здесь в том, что знание закрытого ключа не требуется для создания подписи. Другими словами, подделки было бы тривиально произвести.

Если процесс проверки $$\mathrm{x\_coordinate}(szP)=r$$ то я могу просто выбрать любое значение $s$, вычислить RHS и утверждать, что $г$ стоимость моей подписи. Обратите внимание, что знание $е$ не использовался.

Аналогично, если процесс проверки $$\mathrm{x\_coordinate}(srzP)=r$$ Я могу выбрать любое значение $t$, вычислить $tzP$ и выберите $х$-координировать для $г$ затем установите $s=t/r$.

Не включая оба $G$ и $P$ в процессе проверки вы по сути снимаете любую зависимость от $е$. Аналогичные проблемы возникают с уязвимостью Curveball.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.