ในรูปแบบลายเซ็นดิจิทัล (Gen, Sign, Verfiy) ที่ตอบสนองความถูกต้องและไม่สามารถปลอมแปลงได้ คุณสามารถสันนิษฐานได้หรือไม่ว่าผลลัพธ์ของ Sign() นั้นแยกไม่ออกจากการคำนวณจากการสุ่ม
Unforgeability ที่มีอยู่หมายความว่าอย่างไรในรูปแบบลายเซ็นดิจิทัล
"การดำรงอยู่ที่ไม่สามารถแก้ไขได้" เพียงอย่างเดียวหมายความว่าฝ่ายตรงข้ามไม่สามารถสร้างลายเซ็นที่ยืนยันข้อความที่พวกเขายังไม่มีลายเซ็นได้ พูดอย่างเคร่งครัด อาจเท่านั้น หมายความว่า ฝ่ายตรงข้ามลงท้ายด้วยข้อความและลายเซ็นที่ยืนยันได้ แต่ข้อความซึ่งพูดพล่อยๆ ไม่มีประโยชน์ใดๆ สำหรับฝ่ายตรงข้าม
นอกจากนี้ยังมี "ความสามารถในการคงอยู่อย่างแข็งแกร่ง" ซึ่งหมายความว่าฝ่ายตรงข้ามไม่สามารถสร้างลายเซ็นใหม่ที่ตรวจสอบกับข้อความใดๆ ได้ ECDSA เป็นตัวอย่างของโครงการที่มีความสามารถในการคงอยู่ที่ไม่สามารถเปลี่ยนแปลงได้ แต่ไม่มีความสามารถในการคงอยู่อย่างถาวร นั่นก็เพราะว่าถ้า $(ร,ส)$ เป็นลายเซ็นที่ถูกต้องสำหรับบางข้อความ แล้วที่แตกต่างกัน $(r,n-s)$ ยังใช้ได้กับข้อความเดียวกัน
คำคุณศัพท์ "ที่มีอยู่จริง" ตรงกันข้ามกับเป้าหมายที่ยากกว่าสำหรับฝ่ายตรงข้ามในการลงนามในข้อความที่พวกเขาเลือก ทั้งหมด ("การปลอมแปลงอย่างเฉพาะเจาะจง") หรือบางส่วน (เช่น การเลือกคำนำหน้าของเอกสาร) เพื่อให้มีความหมายที่เป็นประโยชน์สำหรับเป้าหมายชั่วร้ายบางอย่างที่ต่อต้าน ระบบโดยใช้ลายเซ็นดิจิทัล"มีอยู่จริง" หมายถึงข้อเท็จจริง "มีอยู่" (ข้อความ ลายเซ็น) ที่จับคู่กับข้อความใหม่ (หรือ/และลายเซ็นใหม่) ที่ผ่านการตรวจสอบในสิ่งที่ฝ่ายตรงข้ามสร้างขึ้น
"การดำรงอยู่ที่ไม่สามารถคาดเดาได้" มักจะตามมาด้วย "การโจมตีด้วยข้อความที่เลือกไว้" หมายความว่าฝ่ายตรงข้ามสามารถรับลายเซ็นสำหรับข้อความที่พวกเขาเลือกได้ ข้อความที่พวกเขาส่งเพื่อขอลายเซ็นจะได้รับส่วนลดจากข้อความที่นับเป็นการปลอมแปลงที่สำเร็จ ในการปลอมแปลงอัตถิภาวนิยมที่แข็งแกร่ง ลายเซ็นที่พวกเขาได้รับด้วยวิธีนี้จะได้รับส่วนลดในทำนองเดียวกัน การโจมตีด้วยข้อความที่เลือกนั้นตรงกันข้ามกับคู่ที่รู้จัก (ข้อความ ลายเซ็น) และการโจมตีแบบไม่มีข้อความ
เป็นเรื่องปกติที่การปลอมแปลงที่มีอยู่สามารถขยายไปยังข้อความที่มีความหมายหรือใช้ประโยชน์ในทางที่ผิด (เช่น บัฟเฟอร์ล้น การปฏิเสธบริการ หรือการแทรกโค้ด) เป็นเรื่องปกติเช่นกันที่ผู้ไม่หวังดีสามารถชักจูงข้อความที่ได้รับลายเซ็นมากพอที่จะทำให้การโจมตีเกิดขึ้นได้ แม้ว่าจะไม่ถือว่าเป็นการโจมตีด้วยข้อความที่เลือกไว้โดยสมบูรณ์ก็ตาม นอกจากนี้ยังมีอันตรายจากผู้ไม่หวังดีที่แสร้งทำเป็นว่าผู้ไม่หวังดีรายอื่นทำลายความปลอดภัย ทำลายความไว้วางใจในระบบ ดังนั้นจึงกลายเป็นพื้นฐานที่ต้องใช้ Existential UnForgeability ภายใต้การโจมตีด้วยข้อความที่เลือก (EUF-CMA) สิ่งนี้ช่วยป้องกันการแก้ไขข้อความโดยไม่ได้รับการอนุมัติจากเจ้าของคีย์สาธารณะอย่างเพียงพอ
ฉันอ้างถึง คำตอบนี้ สำหรับอนุกรมวิธานที่เป็นทางการมากขึ้นของตัวแปร UF
วิธีปฏิบัติที่ดีที่สุดสำหรับรูปแบบลายเซ็นสมัยใหม่คือ EUF-CMA ที่แข็งแกร่งบวก ความต้านทานการชนกันของลายเซ็น, และ กรรมสิทธิ์แต่เพียงผู้เดียวสากล. ดู Dennis Jackson, Cas Cremers, Katriel Cohn-Gordon และ Ralf Sasse: ดูเหมือนถูกต้องตามกฎหมาย: การวิเคราะห์อัตโนมัติของการโจมตีเล็กน้อยบนโปรโตคอลที่ใช้ลายเซ็น, ใน Cryptology ePrint Archive, รายงาน 2019/779เดิมที ในการดำเนินการของ ACM CCS 2019.
ในรูปแบบลายเซ็นดิจิทัล (Gen, Sign, Verfiy) ที่ตอบสนองความถูกต้องและไม่สามารถปลอมแปลงได้ คุณสามารถสันนิษฐานได้หรือไม่ว่าผลลัพธ์ของ Sign() นั้นแยกไม่ออกจากการคำนวณจากการสุ่ม
ไม่ ตัวอย่างเช่น RSASSA-PSS เป็น sEUF-CMA ที่พิสูจน์ได้ แต่ลายเซ็นนั้นแตกต่างจากการสุ่ม (โดยการตรวจสอบบิตลำดับสูงของไบต์แรกของลายเซ็นที่ไม่ได้ตกแต่ง ซึ่งเอนเอียงไปทาง 0 เว้นแต่คีย์สาธารณะจะมีบิตลำดับสูงจำนวนมากที่ 1 หรือ/ และบางอย่างในขั้นตอนการเซ็นชื่อถูกสร้างขึ้นมาเพื่อทำให้ตรวจจับอคติดังกล่าวได้น้อยลง ซึ่งง่าย แต่ไม่ธรรมดา) แม้จะไม่มีรหัสสาธารณะหรือข้อความก็ตาม เห็นได้ชัดว่า หากทราบคีย์สาธารณะและข้อความ ไม่มีรูปแบบลายเซ็นที่ถูกต้องที่สามารถแยกแยะลายเซ็นนั้นจากการสุ่มได้ ผู้ตรวจสอบคือผู้แยกแยะ!
อย่างไม่เป็นทางการ ผู้โจมตีไม่สามารถปลอมแปลงลายเซ็นสำหรับข้อความใด ๆ ที่ไม่ได้ลงนามโดยผู้ลงนามที่ถูกต้องตามกฎหมาย ตอนนี้เพื่อประเมินการคงอยู่ที่ไม่สามารถปลอมแปลงได้ (EU) ของรูปแบบลายเซ็น เราต้องการศัตรูที่มีรูปแบบการโจมตี
$(pk,sk)\leftarrow Gen$
เรียกใช้ศัตรู $A(pk,1^n)$
ได้รับการตอบสนอง $(เมตร,วินาที) $ เป็นคู่ลายเซ็นข้อความสำหรับฝ่ายตรงข้าม
$(pk,sk)\leftarrow Gen$
เรียกใช้ศัตรู $A(pk,1^n)$
สร้าง $m_1,m_2...m_k$ ข้อความและลงนามทั้งหมด ส่งข้อความ-คู่ลายเซ็น $(m_1,s_1),(m_2,s_2)...(m_k,s_k)$
ได้รับการตอบสนอง $(เมตร,วินาที) $ เป็นคู่ลายเซ็นข้อความสำหรับฝ่ายตรงข้ามที่ $m \ไม่อยู่ใน {m_1,m_2..m_k}$
เรียกใช้ศัตรู $A(pk,1^n,O^{sk})$ ที่นี่ $O^{sk}$ กำลังลงนาม oracle
คำถามของฝ่ายตรงข้าม $m_1,m_2...m_k$ ข้อความถึง $O^{sk}$ และรับลายเซ็น สามารถเลือกข้อความได้ตามต้องการ ฝ่ายตรงข้ามได้รับคู่ลายเซ็นข้อความ $(m_1,s_1),(m_2,s_2)...(m_k,s_k)$
ได้รับการตอบสนอง $(เมตร,วินาที) $ เป็นคู่ลายเซ็นข้อความสำหรับฝ่ายตรงข้ามที่ $m \ไม่อยู่ใน {m_1,m_2..m_k}$
จำนวนและความยาวของข้อความเป็นฟังก์ชันพหุนามของพารามิเตอร์ความปลอดภัยบางตัว เช่นเดียวกับการคำนวณใดๆ ที่ฝ่ายตรงข้ามทำคือเวลาพหุนาม รูปแบบลายเซ็นนั้นไม่สามารถปลอมแปลงได้ภายใต้รูปแบบการโจมตีใด ๆ หากฝ่ายตรงข้ามประสบความสำเร็จด้วยการตอบสนองด้วยคู่ลายเซ็นข้อความที่ถูกต้องด้วยความน่าจะเป็นที่ไม่สำคัญ
ซึ่งแตกต่างจากการปลอมแปลงแบบเลือกที่ซึ่งผู้โจมตีไม่สามารถเลือกข้อความได้อย่างอิสระเพื่อปลอมแปลงลายเซ็นหลังจากเริ่มการโจมตี และจากการปลอมแปลงสากลที่ข้อความที่จะปลอมแปลงลายเซ็นจะถูกส่งไปยังฝ่ายตรงข้าม (หมายความว่าผู้โจมตีสามารถปลอมแปลงลายเซ็นสำหรับ ข้อความใด ๆ แม้กระทั่งให้โดยบุคคลอื่น)
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
