Puncte:3

Cum putem preveni atacurile cu chei duplicate asupra semnăturilor digitale

drapel us

O limitare a semnăturilor digitale este aceea pentru o anumită semnătură Ï a unui mesaj m corespunzătoare unei chei publice pk, un adversar ar putea genera a pk', sk' care produce o semnătură Ï' pentru m, astfel încât Ï' = Ï. Cum putem crea o funcție de semnare și o funcție de verificare care să fie rezistentă la acest atac?

kelalaka avatar
drapel in
De fapt, întrebării dumneavoastră îi lipsește un aspect important în criptografie; Care este puterea adversarului? mărginit polinomial sau nemărginit?
Puncte:3
drapel tr

Atacurile DSKS aparțin unei clase de atacuri asupra schemelor de semnătură care încalcă „proprietatea exclusivă”. O proprietate care nu este garantată de securitatea standard EUF-CMA.

O soluție la aceasta este PIELE DE BIVOL constructie. Este foarte asemănător cu ceea ce recomandă Boneh-Shoup. Pe scurt, având o pereche de chei de semnătură $(sk,pk)$ a semna $m$, primul calcul $h = H(m,pk)$, atunci $\sigma = Sig(sk,h)$. Semnătura este $(h, \sigma)$. Verificarea compară hashurile și validează semnătura.

Construcția BUFF oferă mai multe caracteristici decât proprietatea exclusivă; ziarul vorbește despre ele.

fgrieu avatar
drapel ng
Interesant, dar mărește dimensiunea semnăturii. Nu sunt $\mathsf{Sig}(sk,(pk\mathbin\|m))$ sau $\mathsf{Sig}(sk,(pk\mathbin\|H(m)))$ împotriva atacurilor DSKS, fără penalizare de dimensiune?
Marc Ilunga avatar
drapel tr
@fgrieu, da și asta funcționează. Cred că nu am reușit să transmit că aceasta a fost o alternativă cu funcții suplimentare.
kelalaka avatar
drapel in
De fapt, acest lucru încă nu îl împiedică pe atacator, așa cum a cerut OP, deoarece OP nu a restrâns puterea adversarului. În acest caz, ei încă pot găsi o astfel de pereche $(pk,pk)$ dacă este posibil.
Marc Ilunga avatar
drapel tr
@kelalaka, este adevărat că un adversar nelimitat poate recupera singur perechea de chei. Cred că este corect să interpretăm întrebarea ca luând în considerare adversarii delimitați așa cum pare adecvat pentru semnături și atacuri DSKS.
Puncte:2
drapel vu

Cred că acest tip de atac este posibil doar atunci când aveți o „formulă” pentru calcularea semnăturii din cheia privată și hash-ul mesajului care poate fi inversat - alegeți o semnătură și un mesaj și calculați cheia privată. Diferite variante ale schemelor de semnătură ale lui Schnoor și ElGamel au această proprietate.

Cea mai ușoară soluție la care mă pot gândi este să folosesc o semnătură bazată pe hash, cum ar fi o variantă a schemei de semnătură XMSS, LMS și SPHINCS.

Puncte:1
drapel us

Potrivit lui Dan Boneh și Victor Shoup Un curs de absolvire în Criptografie aplicată:

este destul de usor de imunizat a Schema de semnătură împotriva atacurilor DSKS: semnatarul își atașează pur și simplu cheia publică la mesaj înainte de a semna mesajul. Verificatorul face același lucru înainte de a verifica semnătură. În acest fel, cheia publică de semnare este autentificată împreună cu mesajul (vezi Exercițiul 13.5). Atașarea cheii publice la mesaj înainte de semnare este o bună practică și este recomandat în multe aplicații din lumea reală.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.