รูปแบบลายเซ็นบางรูปแบบ โดยเฉพาะ ECDSA อนุญาตให้ผู้ใช้จัดเตรียมคู่คีย์สาธารณะ/ส่วนตัวโดยไม่เต็มใจเป็นฟังก์ชันของข้อความตามอำเภอใจสองข้อความที่พวกเขาเลือก และคำนวณลายเซ็นที่ตรวจสอบทั้งสองข้อความ¹ ในกรณีของ ECDSA คู่คีย์สาธารณะ/ไพรเวตจะทำงานได้อย่างสมบูรณ์ และสามารถเซ็นชื่อได้ตามปกติ รวมทั้งสำหรับทำคำขอลงนามใบรับรองสำหรับคีย์สาธารณะ การโน้มน้าวใจบุคคลที่สามให้มีเจตนาเล่นผิดกติกานั้นยาก และต้องมีทั้งสองข้อความ ฉันถามเกี่ยวกับผลกระทบด้านความปลอดภัยที่เป็นรูปธรรม ที่นั่น.
รูปแบบลายเซ็นอื่น ๆ บางอย่างโดยเฉพาะอย่างยิ่ง $3k$-นิดหน่อย สั้น รูปแบบลายเซ็นของ Schnorr² (ไม่ใช่ EdDSA ซึ่งเป็น $4k$-บิต) มีช่องโหว่ด้านความปลอดภัยที่น่ากังวลมากยิ่งขึ้น ในเวลาใดๆ หลังจากการสร้างคู่คีย์ปกติ เจ้าของคีย์ส่วนตัวสามารถเตรียมข้อความสองข้อความที่มีเนื้อหาที่แตกต่างกันและเลือกได้ตามอำเภอใจ ยกเว้นส่วนเล็กๆ และลายเซ็นทั่วไป โดยการค้นหาการชนกันบนแฮชเท่านั้น โดยคาดว่า ค่าใช้จ่ายเพียง $\Theta(2^{k/2})$ กัญชา การโจมตีสามารถทำซ้ำได้และไม่สามารถแยกแยะได้โดยบุคคลที่สามจากการโจมตีแฮชแบบรูปภาพล่วงหน้าที่ประสบความสำเร็จโดยไม่มีคีย์ส่วนตัวโดยมีค่าใช้จ่ายที่คาดไว้ $\เธต้า(2^k)$ กัญชา
โดยทั่วไปแล้ว การโจมตีเหล่านี้สามารถตั้งชื่อได้ การแทนที่ข้อความที่ลงนามโดยผู้ลงนามกับประเภทแรก ไตร่ตรองไว้ก่อน. การจำแนกประเภทย่อยนั้นสมเหตุสมผล (เช่น หากการก่อกวนในการโจมตีเป็นการเปิดเผยคีย์ส่วนตัว ซึ่งจะทำในการโจมตีครั้งแรก ไม่ใช่ในการโจมตีครั้งที่สอง)
ชื่อมาตรฐานสำหรับคุณสมบัติความปลอดภัยที่ป้องกันการโจมตีดังกล่าวคืออะไร มีการทดสอบความปลอดภัยมาตรฐานสำหรับคุณสมบัติความปลอดภัยเหล่านี้หรือไม่?
หมายเหตุ: ฉันถามด้วยว่าการปฏิบัติด้านไอทีจัดการกับปัญหาอย่างไร มีความปลอดภัย-SEดังนั้นโปรดอย่าตอบในส่วนนั้น ฉันยอมรับว่ามีการทับซ้อนกันสำหรับส่วนการตั้งชื่อ
¹ ดู ส่วน 4.2 ใน Jacques Stern, David Pointcheval, John Malone-Lee และ Nigel P. Smart's ข้อบกพร่องในการใช้วิธีการพิสูจน์กับแบบแผนลายเซ็น, ใน การดำเนินการของ Crypto 2002.
² คลอส ปีเตอร์ ชนอร์ การระบุและลายเซ็นที่มีประสิทธิภาพสำหรับสมาร์ทการ์ด, ใน การดำเนินการของ Crypto 1989 แล้ว วารสารวิทยาการเข้ารหัสลับ 2534.
ฉันพบคำตอบบางส่วนใน Dennis Jackson, Cas Cremers, Katriel Cohn-Gordon และ Ralf Sasse: ดูเหมือนถูกต้องตามกฎหมาย: การวิเคราะห์อัตโนมัติของการโจมตีเล็กน้อยบนโปรโตคอลที่ใช้ลายเซ็น, ใน Cryptology ePrint Archive, รายงาน 2019/779เดิมที ในการดำเนินการของ ACM CCS 2019.
เงื่อนไขสำหรับการโจมตีโครงการลายเซ็นคือ ลายเซ็นที่ชนกัน, ค่อนข้างมากกว่า ลายเซ็นซ้ำ ในกระดาษต้นฉบับในเชิงอรรถที่ 1 ของคำถาม
พวกเขาตั้งชื่อคุณสมบัติที่พึงประสงค์ที่ ECDSA ขาด ลายเซ็นไม่ชนกัน. วินาที 1 ต่อ 2 ยกเลิกนั่นเป็นความเสี่ยงในการปฏิเสธที่น่ากังวล ดังต่อไปนี้:
ผู้ลงนามที่เป็นอันตรายอาจพยายามปฏิเสธลายเซ็นในข้อความใดข้อความหนึ่ง ข้อโต้แย้งสำหรับการปฏิเสธที่เกี่ยวข้องกับบุคคลที่สามบางรายทำให้เกิดลายเซ็นที่ซ้ำกันดูเหมือนจะสันนิษฐานว่ามีการโจมตีการปลอมแปลงของแท้ เนื่องจากไม่ทราบการโจมตีดังกล่าว ความสมดุลของความน่าจะเป็นจึงตกอยู่ที่การมุ่งร้ายโดยผู้ลงนาม เนื่องจากผู้ลงนามสามารถเข้าถึงคีย์ส่วนตัวได้ และดังนั้นจึงสามารถสร้างลายเซ็นได้มากขึ้น นอกเหนือจากข้อกังวลทั่วไปเหล่านี้แล้ว การโจมตีด้วยลายเซ็นที่ซ้ำกันยังมีข้อบกพร่องเพิ่มเติมที่เปิดเผยคีย์ส่วนตัวของผู้ลงนาม เนื่องจากรหัสส่วนตัวถูกกำหนดโดยลายเซ็นและข้อความทั้งสองที่ลงนาม ความน่าจะเป็นที่ผู้ลงนามสร้างรหัสส่วนตัวในลักษณะที่ซื่อสัตย์นั้นน้อยมาก และเราสามารถสรุปได้เกือบจะแน่นอนว่ารหัสส่วนตัวนั้นถูกสร้างขึ้นโดยเจตนาเพื่อเปิดใช้งานสิ่งนี้ จู่โจม. หากต้องการปฏิเสธลายเซ็น ผู้ลงนามจะต้องยืนยันว่ามีบุคคลที่สามสร้างรหัสส่วนตัวของผู้ลงนาม ซึ่งขัดแย้งกับการยืนยันตามปกติที่ผู้ลงนามต้องทำสำหรับการไม่ปฏิเสธ กล่าวคือ ผู้ลงนามได้สร้างรหัสส่วนตัวและ ไม่เปิดเผยให้คนอื่นรู้
ฉันได้รับข้อโต้แย้ง แต่ "ปลอดภัยดีกว่าเสียใจ" อยู่ในใจ ในฐานะผู้ปฏิบัติงาน ฉันหวังว่า ECDSA จะบังคับให้ $Y$ ประสานงานให้เท่ากันซึ่งจะป้องกันสิ่งนี้และทำให้โครงร่าง SEUF-CMA ในครั้งเดียว ในแนวทางเดียวกัน ฉันหวังว่า EdDSA จะปฏิเสธพับลิกคีย์ที่มีลำดับต่ำเพียงไม่กี่รายการตั้งแต่แรกเริ่ม
การดำเนินการอย่างเป็นทางการเมื่อการทดสอบความปลอดภัยดำเนินไป: บนอินพุต $1^n$ฝ่ายตรงข้ามพยายามที่จะส่งออก $(\mathrm{pk},m,m',\sigma)$ ด้วยความถูกต้อง $n$ ถ่ายทอดใน $\mathrm{pk}\,$, $ม\นีม'\,$, $\mathsf{Vrfy}(\mathrm{pk},m,\sigma)=1\,$, และ $\mathsf{Vrfy}(\mathrm{pk},m',\sigma)=1$.
แต่คำถามยังถามเกี่ยวกับการโจมตีลายเซ็นสั้นของ Schnorr ที่น่ากังวลมากกว่า ซึ่งแตกต่างกันเนื่องจากคีย์สาธารณะ/ส่วนตัวไม่ได้สร้างขึ้นโดยประสงค์ร้าย และสามารถสร้างคู่ข้อความหลายคู่ได้
สำหรับสิ่งนี้ ฉันไม่พบข้อมูลอ้างอิง (ฉันจะไม่ทำเครื่องหมายคำตอบว่ายอมรับด้วยเหตุผลนี้) ฉันตั้งชื่อการโจมตีอย่างไม่แน่นอน ลายเซ็นที่ไม่ชนกันโดยไม่คาดหมาย. ฉันลังเลสำหรับคุณสมบัติการรักษาความปลอดภัย
การทำให้เป็นทางการเป็นการทดสอบความปลอดภัยสามารถดำเนินการได้: บนอินพุต $(\mathrm{pk},\mathrm{sk})$ เอาต์พุตโดย $\mathsf{Gen}$ฝ่ายตรงข้ามพยายามที่จะส่งออก $(m,m',\sigma)$ กับ $ม\นีม'\,$, $\mathsf{Vrfy}(\mathrm{pk},m,\sigma)=1\,$, และ $\mathsf{Vrfy}(\mathrm{pk},m',\sigma)=1$. ตัวแปรขนาดเล็กจะให้สำเนาของอินพุตเพิ่มเติม $\mathsf{Gen}$เทป/เครื่องกำเนิดไฟฟ้าแบบสุ่ม
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
