Рейтинг:1

Безопасная модификация DSA?

флаг ke
mti

В ДСА, мы вычисляем подпись $(р,с)$ на $м$ путем выборки $k\in\{1,...,q-1\}$ а затем вычисления

$r := g^k \bmod p$

$s := k^{-1}*(m+x*r) \bmod q$

При проверке вычисляем $v:=g^{m*s^{-1}}*y^{r*s^{-1}}\bmod p$ а потом проверь $r=v \bmod q$.

Вопрос: Было бы хорошо уйти $к^{-1}$ из расчета $s$ (т.е. $s := m+x*r$), а затем вместо этого проверьте $ г = v $?

Рейтинг:3
флаг my

Вопрос: Было бы хорошо уйти $к^{-1}$ из расчета $s$ (т.е. $s := m+x*r$), а затем вместо этого проверьте $ г = v $?

Другими словами, тогда чек будет $g = g^{ms^{-1}}y^{rs^{-1}}$

Это было бы небезопасно; предположим, что у нас есть действительная подпись для $м$, то есть имеем значения $(м, г, с)$ такой, что $g = g^{ms^{-1}}y^{rs^{-1}}$

Тогда для произвольного сообщения $м'$, мы можем вычислить $s' = м'м^{-1}s$ и $r' = rs's^{-1}$; У нас есть $g^{m's'^{-1}}y^{r's'^{-1}} = g^{ms^{-1}} y^{rs^{-1}}$, который $г$ (поскольку исходная подпись действительна); это, $(м', г', с')$ является подделкой.

Daniel S avatar
флаг ru
Что еще хуже, мы можем восстановить закрытый ключ $x$, потому что $x=(s-m)/r\pmod q$, а $s$, $m$ и $r$ — общедоступные значения.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.