Score:3

กลุ่มผู้ลงนามร่วมที่เป็นอันตรายจะใช้การชนกันของแฮชเพื่อลงนามในข้อความที่ไม่ได้ตั้งใจได้อย่างไร

ธง ar

ตาม BIP340:

อย่างไรก็ตาม ข้อเสียเปรียบที่สำคัญของการเพิ่มประสิทธิภาพนี้คือการค้นหาการชนกันในฟังก์ชันแฮชแบบสั้นนั้นเป็นเรื่องง่าย สิ่งนี้ทำให้การนำโปรโตคอลการลงนามที่ปลอดภัยไปใช้มีความซับซ้อนในสถานการณ์ที่กลุ่มของผู้ลงนามที่ไม่ไว้วางใจร่วมกันทำงานร่วมกันเพื่อสร้างลายเซ็นร่วมเดียว (ดูแอปพลิเคชันด้านล่าง) ในสถานการณ์เหล่านี้ ซึ่งโมเดล SUF-CMA ไม่ได้บันทึกไว้เนื่องจากสมมติฐานของผู้ลงนามที่ซื่อสัตย์เพียงคนเดียว กลยุทธ์การโจมตีที่มีแนวโน้มสำหรับผู้ลงนามร่วมที่เป็นอันตรายคือการค้นหาการชนกันในฟังก์ชันแฮชเพื่อให้ได้ลายเซ็นที่ถูกต้องบน ข้อความที่ผู้ลงนามร่วมโดยสุจริตไม่ประสงค์จะลงนาม

ในเวอร์ชันของ Schnorr ที่ใช้โดย BIP340 อาร์กิวเมนต์ของฟังก์ชันแฮชจะได้รับดังต่อไปนี้:

$e=\text{แฮช}(R || P || m)$

ในการลงนามในข้อความที่ไม่ได้ตั้งใจ ผู้ลงนามที่ประสงค์ร้ายจะต้องค้นหาการชนกันระหว่างสองข้อความที่แตกต่างกัน:

$e=\text{แฮช}(R||P||m_0)=\text{แฮช}(R||P||m_1)$

แต่นี่ก็หมายความว่า $m_0$ ไม่ผูกมัดไว้ก่อนคำนวณ $R$. ดูเหมือนว่าแปลกที่ "การโจมตี" นี้ต้องการผู้ลงนามที่ซื่อสัตย์เพื่อโน้มน้าวใจให้ลงนามในข้อความใดข้อความหนึ่ง $m_0$ หลังจาก พวกเขาคำนวณเฉพาะของพวกเขาแล้ว $R_H$ ค่า. ถ้า $m$ มีความมุ่งมั่นก่อนที่จะสร้าง $R$ การโจมตีประเภทนี้ยังคงเป็นไปได้หรือไม่?

Score:1
ธง in

ประเด็นคือคุณ (และฉัน) อ่านเอกสารไม่ถูกต้อง

ในส่วนที่คุณยกมา พวกเขาพิจารณาโจมตีตัวแปรลายเซ็น Schnorr เพื่อให้ง่ายขึ้น ฉันจะใช้สัญกรณ์ที่สั้นกว่าเป็น $H(ม.)$

ใช่ พวกเขาพิจารณาการปะทะกันเพื่อการโจมตี ถ้ามีลายเซ็น $เครื่องหมาย(prv,H(m))$ และคุณต้องการปลอมแปลงคุณต้องมีการโจมตีภาพล่วงหน้าในฟังก์ชันแฮช $H$ เพื่อให้คุณสามารถเรียกร้องได้ $m'$ เป็นข้อความที่ต้องการ

ในส่วนที่ยกมาของเอกสาร Bip340 เป็นกรณีนี้ คุณต้องการให้ผู้ร่วมลงนามลงนามในข้อความที่โดยปกติแล้วพวกเขาไม่ต้องการลงนาม คุณจึงหาคู่ชนกัน $m_i \neq m'_i$ ดังนั้น $H(m_i) = H(m'_i)$ พร้อมทรัพย์สินเพิ่มเติม ผู้ลงนามของคุณจะลงนาม $m_i$ แต่ไม่ใช่สำหรับ $m'_i$ ซึ่งประการที่สองเป็นไปเพื่อประโยชน์ของท่านแต่มิใช่ประโยชน์แก่ตน พวกเขาจะไม่ระแวง $m_i$ เพื่อลงนามและพวกเขาจะลงนามและคุณจะใช้ $m'_i$ เป็นข้อความที่ลงนามเพื่อให้ได้เปรียบกับผู้ลงนามร่วมของคุณ

ภายหลังพวกเขาเขียนเป็น;

เนื่องจากเราต้องการหลีกเลี่ยงความเปราะบางที่มาพร้อมกับแฮชสั้น $e$ ตัวแปรไม่ได้ให้ข้อได้เปรียบที่สำคัญ เราเลือกที่ $R$- ตัวเลือกซึ่งรองรับการตรวจสอบแบทช์

หากคุณมุ่งมั่น $m$ ก่อนลายเซ็น การชนกันหรือภาพล่วงหน้าจะไม่ทำงาน มาดูกัน;

  • $คอมมิต = H(m)$

  • คำนวณ $R$

  • เตรียมแฮชสำหรับลายเซ็น

    $\text{แฮช}(R || P || m)$

ในกรณีนี้ ผู้ลงนามร่วมที่เป็นอันตรายจำเป็นต้องโจมตี $คอมมิชชั่น$ เพื่อค้นหาข้อความที่สอง $m'$ เช่น $H(ม.) = H(ม.')$เช่น ดำเนินการโจมตีภาพล่วงหน้าครั้งที่สองและการดำเนินการนี้จะคงอยู่ต่อไป $\text{hash}(R || P || m) = \text{hash}(R || P || m')$, ด้วย. เป็นไปไม่ได้เลยทีเดียว

kelalaka avatar
in flag
@knaccc มันยากเกินไปที่จะพบว่ามันใช้ได้ทั้งสองอย่าง ฉันไม่มีข้อมูลเกี่ยวกับความน่าจะเป็นของการโจมตีหลายภาพล่วงหน้าสำหรับกรณีดังกล่าว อย่างน้อยก็น่าจะยากกว่าการค้นหาแบบ 128 บิต
knaccc avatar
es flag
ฉันคิดว่าเหตุผลที่คำถามนี้ทำให้เกิดความสับสนอย่างมากคือพวกเขาระบุว่าปัญหาคือคู่ลายเซ็น $(e, s)$ ที่มีแฮชสั้นจะ "ทำให้การใช้งานโปรโตคอลการลงนามที่ปลอดภัยซับซ้อนในสถานการณ์ที่กลุ่มของ ผู้ลงนามที่ไม่ไว้วางใจร่วมกันทำงานร่วมกันเพื่อสร้างลายเซ็นร่วมเดียว" อย่างไรก็ตาม เนื่องจากพวกเขาไม่เคยอธิบายว่าโปรโตคอลการลงนามจะเป็นอย่างไรสำหรับตัวแปร $(e, s)$ ที่พวกเขาปฏิเสธ เราจึงจำเป็นต้องคิดให้ออกว่าโปรโตคอลนั้นจะเป็นอย่างไร เพื่อดูว่าจะเสี่ยงต่อวันเกิดได้อย่างไร การชนกัน
kelalaka avatar
in flag
@knaccc ฉันพบ BIP บางส่วนที่เขียนได้แย่มาก ไม่ใกล้เคียงกับ rfcs
ar flag
ฉันพบว่า[บล็อกโพสต์](https://medium.com/blockstream/insecure-shortcuts-in-musig-2ad0d38a97da)จากนักวิจัยของ Blockstream มีประโยชน์มากทีเดียว ดูเหมือนว่าอาจมีสถานการณ์ที่ $m$ ถูกแบ่งปัน *หลังจาก* การแลกเปลี่ยน nonce ตัวอย่างเช่น อาจมีการแชร์ nonce ล่วงหน้าใน Lightning เพื่อเป็นการเพิ่มประสิทธิภาพเพื่อลดจำนวนรอบการสื่อสาร อย่างไรก็ตาม โปรดทราบว่าบล็อกโพสต์กล่าวว่าการเพิ่มประสิทธิภาพนี้ไม่ปลอดภัยและควรแชร์ล่วงหน้าเฉพาะการไม่ผูกมัดแบบ nonce เท่านั้น ดังนั้นฉันจึงไม่แน่ใจว่าการส่งข้อความหลังจาก nonce จะเกิดขึ้นในทางปฏิบัติหรือไม่

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา