ตาม BIP340:
อย่างไรก็ตาม ข้อเสียเปรียบที่สำคัญของการเพิ่มประสิทธิภาพนี้คือการค้นหาการชนกันในฟังก์ชันแฮชแบบสั้นนั้นเป็นเรื่องง่าย สิ่งนี้ทำให้การนำโปรโตคอลการลงนามที่ปลอดภัยไปใช้มีความซับซ้อนในสถานการณ์ที่กลุ่มของผู้ลงนามที่ไม่ไว้วางใจร่วมกันทำงานร่วมกันเพื่อสร้างลายเซ็นร่วมเดียว (ดูแอปพลิเคชันด้านล่าง) ในสถานการณ์เหล่านี้ ซึ่งโมเดล SUF-CMA ไม่ได้บันทึกไว้เนื่องจากสมมติฐานของผู้ลงนามที่ซื่อสัตย์เพียงคนเดียว กลยุทธ์การโจมตีที่มีแนวโน้มสำหรับผู้ลงนามร่วมที่เป็นอันตรายคือการค้นหาการชนกันในฟังก์ชันแฮชเพื่อให้ได้ลายเซ็นที่ถูกต้องบน ข้อความที่ผู้ลงนามร่วมโดยสุจริตไม่ประสงค์จะลงนาม
ในเวอร์ชันของ Schnorr ที่ใช้โดย BIP340 อาร์กิวเมนต์ของฟังก์ชันแฮชจะได้รับดังต่อไปนี้:
$e=\text{แฮช}(R || P || m)$
ในการลงนามในข้อความที่ไม่ได้ตั้งใจ ผู้ลงนามที่ประสงค์ร้ายจะต้องค้นหาการชนกันระหว่างสองข้อความที่แตกต่างกัน:
$e=\text{แฮช}(R||P||m_0)=\text{แฮช}(R||P||m_1)$
แต่นี่ก็หมายความว่า $m_0$ ไม่ผูกมัดไว้ก่อนคำนวณ $R$. ดูเหมือนว่าแปลกที่ "การโจมตี" นี้ต้องการผู้ลงนามที่ซื่อสัตย์เพื่อโน้มน้าวใจให้ลงนามในข้อความใดข้อความหนึ่ง $m_0$ หลังจาก พวกเขาคำนวณเฉพาะของพวกเขาแล้ว $R_H$ ค่า. ถ้า $m$ มีความมุ่งมั่นก่อนที่จะสร้าง $R$ การโจมตีประเภทนี้ยังคงเป็นไปได้หรือไม่?
ประเด็นคือคุณ (และฉัน) อ่านเอกสารไม่ถูกต้อง
ในส่วนที่คุณยกมา พวกเขาพิจารณาโจมตีตัวแปรลายเซ็น Schnorr เพื่อให้ง่ายขึ้น ฉันจะใช้สัญกรณ์ที่สั้นกว่าเป็น $H(ม.)$
ใช่ พวกเขาพิจารณาการปะทะกันเพื่อการโจมตี ถ้ามีลายเซ็น $เครื่องหมาย(prv,H(m))$ และคุณต้องการปลอมแปลงคุณต้องมีการโจมตีภาพล่วงหน้าในฟังก์ชันแฮช $H$ เพื่อให้คุณสามารถเรียกร้องได้ $m'$ เป็นข้อความที่ต้องการ
ในส่วนที่ยกมาของเอกสาร Bip340 เป็นกรณีนี้ คุณต้องการให้ผู้ร่วมลงนามลงนามในข้อความที่โดยปกติแล้วพวกเขาไม่ต้องการลงนาม คุณจึงหาคู่ชนกัน $m_i \neq m'_i$ ดังนั้น $H(m_i) = H(m'_i)$ พร้อมทรัพย์สินเพิ่มเติม ผู้ลงนามของคุณจะลงนาม $m_i$ แต่ไม่ใช่สำหรับ $m'_i$ ซึ่งประการที่สองเป็นไปเพื่อประโยชน์ของท่านแต่มิใช่ประโยชน์แก่ตน พวกเขาจะไม่ระแวง $m_i$ เพื่อลงนามและพวกเขาจะลงนามและคุณจะใช้ $m'_i$ เป็นข้อความที่ลงนามเพื่อให้ได้เปรียบกับผู้ลงนามร่วมของคุณ
ภายหลังพวกเขาเขียนเป็น;
เนื่องจากเราต้องการหลีกเลี่ยงความเปราะบางที่มาพร้อมกับแฮชสั้น $e$ ตัวแปรไม่ได้ให้ข้อได้เปรียบที่สำคัญ เราเลือกที่ $R$- ตัวเลือกซึ่งรองรับการตรวจสอบแบทช์
หากคุณมุ่งมั่น $m$ ก่อนลายเซ็น การชนกันหรือภาพล่วงหน้าจะไม่ทำงาน มาดูกัน;
$คอมมิต = H(m)$
คำนวณ $R$
เตรียมแฮชสำหรับลายเซ็น
$\text{แฮช}(R || P || m)$
ในกรณีนี้ ผู้ลงนามร่วมที่เป็นอันตรายจำเป็นต้องโจมตี $คอมมิชชั่น$ เพื่อค้นหาข้อความที่สอง $m'$ เช่น $H(ม.) = H(ม.')$เช่น ดำเนินการโจมตีภาพล่วงหน้าครั้งที่สองและการดำเนินการนี้จะคงอยู่ต่อไป $\text{hash}(R || P || m) = \text{hash}(R || P || m')$, ด้วย. เป็นไปไม่ได้เลยทีเดียว
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
