Modificare sigură a DSA?

mti

28.09.2023, 13:21

În DSA, calculăm semnătura $(r,s)$ pe $m$ prin prelevare de probe $k\in\{1,...,q-1\}$ iar apoi calculul

$r := g^k \bmod p$

$s := k^{-1}*(m+x*r) \bmod q$

În timpul verificării, calculăm $v:=g^{m*s^{-1}}*y^{r*s^{-1}}\bmod p$ si apoi verifica $r=v \bmod q$.

Întrebare: Ar fi bine să plec $k^{-1}$ din calculul $s$ (adică $s := m+x*r$) și apoi verificați pentru $g = v$?

0 + 0

logaritm-discret

teoria numerelor

Puncte:3

Crypto

poncho

28.09.2023, 14:06

Întrebare: Ar fi bine să plec $k^{-1}$ din calculul $s$ (adică $s := m+x*r$) și apoi verificați pentru $g = v$?

Cu alte cuvinte, cecul ar fi atunci $g = g^{ms^{-1}}y^{rs^{-1}}$

Acum, asta nu ar fi sigur; să presupunem că avem o semnătură valabilă pentru $m$, adică avem valorile $(m, r, s)$ astfel încât $g = g^{ms^{-1}}y^{rs^{-1}}$

Apoi, pentru un mesaj arbitrar $m'$, putem calcula $s' = m'm^{-1}s$ și $r' = rs's^{-1}$; Avem $g^{m's'^{-1}}y^{r's'^{-1}} = g^{ms^{-1}} y^{rs^{-1}}$, care este $g$ (deoarece semnătura originală este valabilă); acesta este, $(m', r', s')$ este un fals.

0 + 0

Daniel S

28.09.2023, 16:00

Mai rău încă, putem recupera cheia privată $x$ deoarece $x=(s-m)/r\pmod q$ și $s$, $m$ și $r$ sunt toate valori publice.

Răspunde