В криптографической цифровой подписи или Система MAC, подделка цифровой подписи - это возможность создать пару, состоящую из сообщения, и подписи (или MAC), , который действителен для , но не был создан в прошлом законным подписывающее лицо. Существуют разные типы подделки.
С каждым из этих типов могут быть связаны определения безопасности. Схема подписи защищена конкретным определением, если подделка связанного типа невозможна.
Следующие определения упорядочены от самой низкой до самой высокой достигнутой безопасности, другими словами, от самой мощной атаки до самой слабой. Определения образуют иерархию, а это означает, что злоумышленник, способный выполнить определенную атаку, может выполнить все атаки, расположенные ниже по списку. Точно так же схема, которая достигает определенной цели безопасности, также достигает всех предыдущих.
Более общий, чем следующие атаки, также есть полный разрыв: когда злоумышленник может вычислить закрытый ключ подписывающей стороны, он может подделать любую возможную подпись для любого сообщения.
Универсальная подделка - это создание (противником) действительной подписи для любое данное сообщение, . Злоумышленник, способный к универсальной подделке, может подписывать сообщения, которые он выбрал сам (как в случае выборочной подделки), сообщения, выбранные случайным образом, или даже конкретные сообщения, предоставленные противником.
Выборочная подделка - это создание пары сообщение / подпись противником, где было выбрано противником до атаки. может быть выбран так, чтобы иметь интересные математические свойства по отношению к алгоритму подписи; однако при выборочной подделке должен быть исправлен до начала атаки.
Способность успешно провести атаку выборочной подделки подразумевает способность успешно провести атаку экзистенциальной подделки.
Экзистенциальная подделка - это создание (противником) по крайней мере одной пары сообщение / подпись, , где никогда не был подписан законным подписавшим. Противник может свободно выбирать ; не обязательно иметь какое-либо конкретное значение; содержание сообщения не имеет значения - до тех пор, пока пара, действительна, злоумышленник преуспел в создании экзистенциальной подделки. Таким образом, создать экзистенциальную подделку проще, чем выборочную подделку, потому что злоумышленник может выбрать сообщение , для которого можно легко создать подделку, тогда как в случае выборочная подделка, претендент может попросить подпись «трудного» сообщения.
Криптосистема RSA обладает следующим мультипликативным свойством: .
Это свойство может быть использовано путем создания сообщения с подписью .
Обычной защитой от этой атаки является хеширование сообщений перед их подписанием.
Это понятие является более сильным (более безопасным) вариантом экзистенциальной подделки, описанной выше. Экзистенциальная подделка - это создание (противником) по крайней мере одной пары сообщение / подпись, , где не было создано законным подписавшим. Отличие от экзистенциальной подделки состоит в том, что злоумышленник даже выигрывает, если после запроса подписи какого-либо сообщения он может создать другую подпись для того же сообщения..
Сильная экзистенциальная подделка - это, по сути, самая слабая враждебная цель, поэтому самые сильные схемы - это те, которые в значительной степени экзистенциально неподдаются подделке.
.
.