Nume și jocuri pentru proprietățile de securitate care împiedică înlocuirea mesajului semnat de către semnatar

Unele scheme de semnătură, în special ECDSA, permit utilizatorilor să-și pregătească perechea de chei publice/private în funcție de două mesaje arbitrare alese de ei și să calculeze o semnătură care verifică ambele mesaje¹. În cazul ECDSA, perechea de chei publice/private este complet funcțională și poate semna în mod normal, inclusiv pentru a face o cerere de semnare a unui certificat pentru cheia publică a acesteia. A convinge o terță parte de intenția unui joc greșit este greu și necesită ambele mesaje. Întreb despre consecințele concrete de securitate Acolo.

Alte scheme de semnătură, în special oricare 3k $-pic mic de statura Schema de semnătură Schnorr² (nu EdDSA, adică 4k $-bit), au o vulnerabilitate de securitate și mai îngrijorătoare. În orice moment după generarea normală a unei perechi de chei, un deținător al cheii private poate pregăti două mesaje cu conținut distinct și arbitrar ales, cu excepția unei mici secțiuni și a semnăturii lor comune, printr-un atac de căutare de coliziune numai asupra hash-ului, cu așteptarea costa doar $\Theta(2^{k/2})$ hashuri. Atacul poate fi repetat și nu poate fi distins de către o terță parte de un atac de succes pre-imagine al hash-ului fără cheia privată, cu costul așteptat $\Theta(2^k)$ hashuri.

În linii mari, aceste atacuri ar putea fi numite înlocuirea mesajului semnat de către semnatar, cu primul fel premeditat. Subclasificarea are sens (ca și cum săvârșirea atacului dezvăluie cheia privată; o face în primul atac, nu în al doilea).

Care sunt numele standard pentru proprietățile de securitate care previn astfel de atacuri? Există experimente standard de securitate pentru aceste proprietăți de securitate?

Notă: am întrebat și cum tratează practica IT problema acolo pe securitate-SE, așa că vă rog să nu răspundeți aici la acest aspect. Recunosc că există o suprapunere pentru partea de denumire.

¹ Vezi secțiunea 4.2 în Jacques Stern, David Pointcheval, John Malone-Lee și Nigel P. Smart Defecte în aplicarea metodologiilor de probă la schemele de semnătură, în procedurile Crypto 2002.

² Claus Peter Schnorr, Identificare și semnături eficiente pentru carduri inteligente, în procedurile Crypto 1989 atunci Journal of Criptology, 1991.

Am găsit o parte a răspunsului în Dennis Jackson, Cas Cremers, Katriel Cohn-Gordon și Ralf Sasse: Pare legitim: Analiza automată a atacurilor subtile asupra protocoalelor care folosesc semnături, în Cryptology ePrint Archive, Raport 2019/779, inițial în procedurile ACM CCS 2019.

Termenul lor pentru atacul împotriva schemei de semnătură este Semnături care se ciocnesc, Decat Semnături duplicate în lucrarea originală din nota de subsol 1 a întrebării.

Ei numesc proprietatea dezirabilă care îi lipsește ECDSA Semnături care nu se ciocnesc. Sec1v2 respingeți că este un risc îngrijorător de repudiere, după cum urmează:

Semnatarul rău intenționat poate încerca să respingă semnătura unuia dintre mesaje. Un argument pentru repudiere care presupune că un terț a provocat producerea semnăturii duplicate pare să presupună existența unui adevărat atac de fals. Deoarece astfel de atacuri sunt necunoscute, balanța probabilităților cade în răutatea semnatarului, deoarece semnatarul are acces la cheia privată și, prin urmare, o capacitate mult mai mare de a genera semnături. Pe lângă aceste preocupări generale, acest atac de semnătură duplicat are un deficit suplimentar că expune cheia privată a semnatarului. Deoarece cheia privată este determinată de semnătură și de cele două mesaje semnate, probabilitatea ca semnatarul să fi generat cheia privată într-o manieră sinceră este neglijabilă și se poate deduce aproape sigur că cheia privată a fost generată în mod deliberat pentru a lansa aceasta. atac. Pentru a respinge semnăturile, un semnatar ar trebui, prin urmare, să afirme că o terță parte a generat cheia privată a semnatarului, ceea ce contrazice afirmația obișnuită pe care semnatarii trebuie să o facă pentru a nu respinge: și anume, că semnatarul a generat cheia privată și nu l-a dezvăluit nimănui.

Înțeleg argumentul, dar îmi vine în minte „mai bine să ai grijă decât să-mi pară rău”. Ca practicant, mi-aș fi dorit ca ECDSA să fi forțat $Y$ coordonate să fie egale, ceea ce ar fi prevenit acest lucru și ar fi făcut schema SEUF-CMA într-o singură mișcare. În același sens, mi-aș fi dorit ca EdDSA să fi respins de la început cele câteva chei publice de ordin scăzut.

Formalizarea ca experiment de securitate merge: la intrare $1^n$, adversarii încearcă să iasă $(\mathrm{pk},m,m',\sigma)$ cu corecta $n$ transmis în $\mathrm{pk}\,$, $m\ne m'\,$, $\mathsf{Vrfy}(\mathrm{pk},m,\sigma)=1\,$, și $\mathsf{Vrfy}(\mathrm{pk},m',\sigma)=1$.

Dar întrebarea se întreabă și despre un atac mai îngrijorător asupra semnăturii scurte Schnorr, care diferă pentru că cheile publice/private nu sunt generate în mod rău intenționat și pot fi generate mai multe perechi de mesaje.

Pentru aceasta, nu am găsit o referință (nu voi marca răspunsul ca fiind acceptat din acest motiv). Numim tentativ atacul Semnături care se ciocnesc nepremeditate. Ezit pentru proprietatea de securitate.

Formalizarea ca experiment de securitate poate merge: la intrare $(\mathrm{pk},\mathrm{sk})$ iesit de $\mathsf{Gen.}$, adversarii încearcă să iasă $(m,m',\sigma)$ cu $m\ne m'\,$, $\mathsf{Vrfy}(\mathrm{pk},m,\sigma)=1\,$, și $\mathsf{Vrfy}(\mathrm{pk},m',\sigma)=1$. O variantă mică ar oferi în plus ca intrare o copie a $\mathsf{Gen.}$bandă/generator aleatoriu lui.