Подделка цифровой подписи

В криптографической цифровой подписи или системе MAC подделка цифровой подписи — это возможность создать пару, состоящую из сообщения, и подписи (или MAC), , которая действительна для , но не была создана в прошлом законным подписчиком. Существуют различные типы подделки. ^[1] ${\displaystyle m}$ ${\displaystyle \sigma }$ ${\displaystyle m}$

С каждым из этих типов могут быть связаны определения безопасности . Схема подписи защищена определенным определением, если подделка связанного типа невозможна.

Типы

Следующие определения упорядочены от наименьшего к наибольшему уровню достигнутой безопасности, другими словами, от самой мощной атаки к самой слабой. Определения образуют иерархию, что означает, что злоумышленник, способный провести определенную атаку, может выполнить все атаки ниже по списку. Аналогично, схема, которая достигает определенной цели безопасности, также достигает всех предыдущих.

Полный перерыв

Более общим, чем следующие атаки, является также полный взлом : когда злоумышленник может восстановить личную информацию и ключи, используемые подписавшим, он может создать любую возможную подпись для любого сообщения. ^[2]

Универсальная подделка (универсальная неподдельность, UUF)

Универсальная подделка — это создание (противником) действительной подписи, для любого данного сообщения, . Противник, способный на универсальную подделку, может подписывать сообщения, которые он выбрал сам (как при выборочной подделке), сообщения, выбранные случайным образом, или даже определенные сообщения, предоставленные противником. ^[1] ${\displaystyle \sigma }$ ${\displaystyle m}$

Избирательная подделка (избирательная неподдельность, SUF)

Избирательная подделка — это создание пары сообщение/подпись злоумышленником, где , выбранная злоумышленником до атаки. ^{[3] [4]} может быть выбрана с целью получения интересных математических свойств относительно алгоритма подписи; однако при выборочной подделке , должна быть исправлена ​​до начала атаки. ${\displaystyle (m,\sigma )}$ ${\displaystyle m}$ ${\displaystyle m}$ ${\displaystyle m}$

Способность успешно проводить выборочную атаку с подделкой документов подразумевает способность успешно проводить экзистенциальную атаку с подделкой документов.

Экзистенциальная подделка

Экзистенциальная подделка (экзистенциальная неподдельность, EUF) — это создание (противником) по крайней мере одной пары сообщение/подпись, , где никогда не подписывалась законным подписчиком. Противник может выбирать свободно; не обязательно иметь какое-либо конкретное значение; содержание сообщения не имеет значения — пока пара, , является действительной, противнику удалось создать экзистенциальную подделку. Таким образом, создание экзистенциальной подделки проще, чем выборочная подделка, потому что злоумышленник может выбрать сообщение, для которого подделка может быть легко создана, тогда как в случае выборочной подделки претендент может попросить подпись «сложного» сообщения. ${\displaystyle (m,\sigma )}$ ${\displaystyle m}$ ${\displaystyle m}$ ${\displaystyle m}$ ${\displaystyle (m,\sigma )}$ ${\displaystyle m}$

Пример экзистенциальной подделки

Криптосистема RSA обладает следующим мультипликативным свойством: . ${\displaystyle \sigma (m_{1})\cdot \sigma (m_{2})=\sigma (m_{1}\cdot m_{2})}$

Это свойство можно использовать, создав сообщение с подписью . ^[5] ${\displaystyle m'=m_{1}\cdot m_{2}}$ ${\displaystyle \sigma \left(m'\right)=\sigma (m_{1}\cdot m_{2})=\sigma (m_{1})\cdot \sigma (m_{2})}$

Распространенной защитой от этой атаки является хеширование сообщений перед их подписанием. ^[5]

Слабая экзистенциальная подделка (сильная экзистенциальная неподдельность, сильная неподдельность; sEUF или SUF)

Это понятие является более сильным (более безопасным) вариантом экзистенциальной подделки, подробно описанной выше. Слабая экзистенциальная подделка — это создание (противником) по крайней мере одной пары сообщение/подпись, , учитывая ряд различных пар сообщение-подпись, созданных законным подписавшим. В отличие от экзистенциальных подделок, противник также считается успешным, если ему удается создать новую подпись для уже подписанного сообщения . ${\displaystyle \left(m',\sigma '\right)}$ ${\displaystyle (m,\sigma )}$ ${\displaystyle m'}$

Сильный экзистенциальный подлог по сути является самой слабой целью противника, поэтому самые сильные схемы — это те, которые являются в значительной степени экзистенциально неподдельными .

Ссылки

1. Vaudenay, Serge (16 сентября 2005 г.). Классическое введение в криптографию: приложения для безопасности коммуникаций (1-е изд.). Springer. стр. 254. ISBN 978-0-387-25464-7.
2. Goldwasser, Shafi; Bellare, Mihir (2008). Lecture Notes on Cryptography. Летний курс по криптографии. стр. 170. Архивировано из оригинала 2012-04-21 . Получено 2011-01-30 .
3. Шафи Голдвассер и Михир Белларе. «Конспект лекций по криптографии» (PDF) .
4. Bleumer G. (2011) Избирательная подделка. В: van Tilborg HCA, Jajodia S. (ред.) Энциклопедия криптографии и безопасности. Springer, Бостон, Массачусетс. https://doi.org/10.1007/978-1-4419-5906-5_225
5. Фабрицио д'Аморе (апрель 2012 г.). «Цифровые подписи - DSA» (PDF) . Римский университет Ла Сапиенца. стр. 8–9 . Проверено 27 июля 2018 г.