การโจมตีคีย์ที่เกี่ยวข้องกับ Schnorr Signature - เหตุใดความท้าทายจึงรวมถึง $\psi = g^x$ ไม่ใช่ $y$

YGrade

9/12/22 18:17

รูปแบบลายเซ็นดั้งเดิมของ Schnorr ได้รับผลกระทบจากการโจมตีคีย์ที่เกี่ยวข้อง (RKA) ตามที่อธิบายไว้ โมริตะและคณะ. ผู้เขียนบทความนี้จึงแนะนำให้แก้ไขอัลกอริทึมลายเซ็นเพื่อป้องกัน RKA ดังนี้:

ชุด $\psi \ลูกศรซ้าย g^x$, ที่ไหน $x$ เป็นคีย์ส่วนตัว (การเซ็นชื่อ) สำหรับโครงร่าง
ตั้งค่าแฮชความท้าทายเป็น $h \leftarrow H(M || r || \psi)$.

ขั้นตอนที่สองข้างต้นแตกต่างจากโครงร่าง Schnorr ดั้งเดิม (ที่นี่) ที่ต้องการเท่านั้น $h \leftarrow H(r || M)$.

การปรับเปลี่ยนนี้สมเหตุสมผล แต่บทความโดย Morita และคณะ พูดว่า (ในหน้า 9):

"โปรดทราบว่าขั้นตอนที่สองของอัลกอริทึมการลงนาม การคำนวณของ $\psi \ลูกศรซ้าย g^x$ไม่ควรเปลี่ยนแปลงเพื่อใช้คีย์การยืนยันเพียงอย่างเดียว $y$ เช่น $\psi$."

ผู้เขียนไม่ได้อธิบายว่าทำไม $y$ (รหัสสาธารณะ / การยืนยัน) ไม่สามารถใช้แทนได้ $\psi$แม้ว่าจะมีค่าเท่ากันทุกประการ - มีเหตุผลสำหรับเรื่องนี้หรือไม่?

สิ่งที่ทำให้สับสนมากยิ่งขึ้นคือการเพิ่ม Schnorr ลงใน Bitcoin ใน Taproot soft fork นักพัฒนา Bitcoin Core ได้เขียนการใช้งานของตนเองสำหรับลายเซ็น Schnorr (ตามที่อธิบายไว้ใน BIP340) รวมถึงการบรรเทาผลกระทบสำหรับ RKA อย่างไรก็ตามใน BIP340 พวกเขาตัดสินใจใช้ $y$ ในการแฮชโอเวอร์ความท้าทาย $\psi$ขัดกับคำแนะนำจากก่อนหน้านี้

การใช้งานนี้ผิดหรือไม่?

1 + 0

Schnorr-ลายเซ็น

สกุลเงินดิจิทัล

คีย์ที่เกี่ยวข้อง

Score:0

Crypto

fgrieu

9/12/22 18:39

ผู้เขียนไม่ได้อธิบายว่าทำไม $y$ (รหัสสาธารณะ / การยืนยัน) ไม่สามารถใช้แทนได้ $\psi$แม้ว่าจะมีค่าเท่ากันก็ตาม มีเหตุผลสำหรับเรื่องนี้หรือไม่?

ใช่. แนวคิดคือการเปลี่ยนแปลงคีย์ส่วนตัว $x$ ที่เกี่ยวข้อง $x'$ จะเปลี่ยน $\psi\ลูกศรซ้าย g^{x'}$ คำนวณใหม่ในเวลาที่ลงนามเป็นสิ่งที่แตกต่างจาก $y=g^x$ เดิมคำนวณด้วย $\psi$ ป้อนแฮชเพื่อป้องกันการโจมตีคีย์ที่เกี่ยวข้อง

นักพัฒนา Bitcoin Core (..) ได้ตัดสินใจใช้ $y$ ในการแฮชโอเวอร์ความท้าทาย $\psi$.

นั่นไม่ใช่วิธีที่ฉันอ่าน ข้อมูลจำเพาะ. ในทางตรงกันข้ามลายเซ็นดูเหมือนจะคำนวณใหม่ $d'$ (ซึ่งผมอ่านว่าแสดงเป็น $x'$) แล้ว $พี$ (ซึ่งผมอ่านว่าแสดงเหมือน $\psi$) จากคีย์ส่วนตัวที่สมมติขึ้นในปัจจุบัน และรูปแบบการใช้งานของสิ่งนั้น (ถ้ามี) นั้นอยู่นอกหัวข้อ

สิ่งนี้ไม่ถูกตีความว่าเป็นการรับรอง bitcoin หรือการ fork หรือการใช้งานดังกล่าว โดยส่วนตัวแล้วฉันคิดว่าเนื้อหาทั้งหมดเป็นการดูถูกมนุษยชาติ

0 + 1

YGrade

9/12/22 20:42

ขอบคุณสำหรับสิ่งนี้ - นั่นสมเหตุสมผลมากขึ้นแล้ว ขอบคุณที่คุณช่วย.

ตอบกลับ

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

TH: การโจมตีคีย์ที่เกี่ยวข้องกับ Schnorr Signature - เหตุใดความท้าทายจึงรวมถึง $\psi = g^x$ ไม่ใช่ $y$

RO: Atacul cheie legat de semnătura Schnorr - De ce provocarea include $\psi = g^x$, nu $y$?

RU: Связанная ключевая атака на подпись Шнорра. Почему вызов включает $\psi = g^x$, а не $y$?

VI: Tấn công phím liên quan vào chữ ký Schnorr - Tại sao thử thách lại bao gồm $\psi = g^x$, không phải $y$?

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา