Semnătura datelor cu entropie scăzută: pot fi falsificate?

Lucrez la o aplicație în care am o etichetă fizică de identificare a produsului care conține un bloc de public, date cu entropie scăzută (~50 de octeți), cum ar fi numărul de serie și alte informații, toate disponibile chiar pe etichetă. Aș dori să folosesc un algoritm de semnătură bazat pe hash pentru a oferi o verificare a autenticității că produsul este valid.

1. Este aceasta o idee rezonabilă? Datele cu entropie scăzută cauzează probleme?
2. Câte dintre aceste etichete de produse ar trebui să obțină cineva pentru a obține cheia secretă?

EDIT: O întrebare mai bună ar putea fi, această semnătură poate fi falsificată fără a avea cheia secretă?

3. Există o modalitate de a face acest lucru în siguranță cu doar 256 de biți de date de ieșire?

1. Este aceasta o idee rezonabilă?

Sună bine, atâta timp cât:

• Utilizați o cheie RSA puternică (de exemplu, cel puțin 2048 de biți)

• Folosiți o metodă bună de completare a semnăturii RSA

• Îți împiedici cumva atacatorul să modifice cheia publică RSA pe care o folosești pentru a verifica

Datele cu entropie scăzută cauzează probleme?

Nu, datele cu entropie scăzută nu prezintă o problemă.

2. Câte dintre aceste etichete de produse ar trebui să obțină cineva pentru a obține cheia secretă?

Nu există o modalitate cunoscută de a recupera cheia privată RSA, chiar dacă îi oferi atacatorului un Oracle pentru a semna un număr arbitrar de mesaje arbitrare (care este un scenariu de atac mult mai puternic decât ceea ce aveți).

După cum se spune în alt raspuns: da, aceasta este o idee rezonabilă, RSA permite semnarea securizată a datelor publice cu entropie joasă, care pot fi verificate în mod deschis ca se potrivesc cu datele respective, dar nu pot fi generate fără cheia privată.Exemplele de semnături valide și cheia publică nu vor dezvălui cheia privată sau modalitățile de a produce alte semnături. Mai multe scheme de semnături standardizate fac acest lucru în mod obișnuit (dar desigur că nu există nimic care să împiedice copierea datelor publice și a semnăturii acesteia).

Acum întrebarea adaugă:

Există o modalitate de a face acest lucru în siguranță cu doar 256 de biți de date de ieșire?

Nu cu RSA. O semnătură RSA pe 256 de biți ar fi nesigură, deoarece acestea sunt (în câțiva biți) la fel de largi ca modulul public, iar 256 de biți este mult prea mic (384 de biți era deja prea mic în anii 1990 și s-au înregistrat progrese considerabile). de atunci, vezi acest).

256 de biți este aproape, și mai degrabă pe partea greșită, a ceea ce schemele de semnătură bine verificate pot oferi cu securitate ridicată. eu recent intrebat despre asta, făcând un inventar a ceea ce știu printre standardizate scheme, fără nimic sub 384 de biți la nivelul de securitate de 128 de biți recomandat în mod obișnuit pentru securitate înaltă în următoarele decenii.

Pe de altă parte, dacă cineva este mulțumit de securitatea pe 90 de biți (care ar pune în continuare costul proiectat de atac folosind mijloacele de astăzi în miliarde de euro) și nu are nevoie de ceva standardizat, este posibil să se utilizeze semnătură scurtă Schnorr (care ar fi nominal de 270 de biți) și câteva trucuri pentru a tranzacționa un timp mai lung de generare a semnăturii și/sau de verificare cu câțiva biți mai puțini de semnătură. Pot detalia asta dacă este nevoie.

O altă variantă ar fi Semnătura BLS de exemplu. pe curba BN254 sau BN256, care se potrivește obiectivului de dimensiune și ar fi cel puțin la fel de sigur în funcție de aceste comentarii, dar asta este în afara zonei mele de confort.