Подделка цифровой подписи

редактировать

В криптографической цифровой подписи или Система MAC, подделка цифровой подписи - это возможность создать пару, состоящую из сообщения, $m {\ displaystyle m}$ $m$ и подписи (или MAC), $σ {\ displaystyle \ sigma}$ $\ sigma$ , который действителен для $m {\ displaystyle m}$ $m$ , но не был создан в прошлом законным подписывающее лицо. Существуют разные типы подделки.

С каждым из этих типов могут быть связаны определения безопасности. Схема подписи защищена конкретным определением, если подделка связанного типа невозможна.

Содержание

1 Типы
- 1.1 Полный разрыв
- 1.2 Универсальная подделка (универсальная неподделанность, UUF)
- 1.3 Выборочная подделка (выборочная неподделка, SUF)
- 1.4 Экзистенциальная подделка (экзистенциальная неподделанность, EUF)
  - 1.4.1 Пример экзистенциальной подделки
- 1.5 Сильная экзистенциальная подделка (сильная (экзистенциальная) неподделанность, sEUF или SUF)
2 Ссылки

Типы

Следующие определения упорядочены от самой низкой до самой высокой достигнутой безопасности, другими словами, от самой мощной атаки до самой слабой. Определения образуют иерархию, а это означает, что злоумышленник, способный выполнить определенную атаку, может выполнить все атаки, расположенные ниже по списку. Точно так же схема, которая достигает определенной цели безопасности, также достигает всех предыдущих.

Полный разрыв

Более общий, чем следующие атаки, также есть полный разрыв: когда злоумышленник может вычислить закрытый ключ подписывающей стороны, он может подделать любую возможную подпись для любого сообщения.

Универсальная подделка (универсальная неподделка, UUF)

Универсальная подделка - это создание (противником) действительной подписи $σ {\ displaystyle \ sigma}$ $\ sigma$ для любое данное сообщение, $m {\ displaystyle m}$ $m$ . Злоумышленник, способный к универсальной подделке, может подписывать сообщения, которые он выбрал сам (как в случае выборочной подделки), сообщения, выбранные случайным образом, или даже конкретные сообщения, предоставленные противником.

Выборочная подделка (выборочная неподделка, SUF)

Выборочная подделка - это создание пары сообщение / подпись $(m, σ) {\ displaystyle (m, \ sigma)}$ $(м, \ сигма)$ противником, где $m {\ displaystyle m}$ $m$ было выбрано противником до атаки. $m {\ displaystyle m}$ $m$ может быть выбран так, чтобы иметь интересные математические свойства по отношению к алгоритму подписи; однако при выборочной подделке $m {\ displaystyle m}$ $m$ должен быть исправлен до начала атаки.

Способность успешно провести атаку выборочной подделки подразумевает способность успешно провести атаку экзистенциальной подделки.

Экзистенциальная подделка (экзистенциальная неподделка, EUF)

Экзистенциальная подделка - это создание (противником) по крайней мере одной пары сообщение / подпись, $(m, σ) {\ displaystyle (m, \ sigma)}$ $(м, \ сигма)$ , где $m {\ displaystyle m}$ $m$ никогда не был подписан законным подписавшим. Противник может свободно выбирать $m {\ displaystyle m}$ $m$ ; $m {\ displaystyle m}$ $m$ не обязательно иметь какое-либо конкретное значение; содержание сообщения не имеет значения - до тех пор, пока пара, $(m, σ) {\ displaystyle (m, \ sigma)}$ $(м, \ сигма)$ действительна, злоумышленник преуспел в создании экзистенциальной подделки. Таким образом, создать экзистенциальную подделку проще, чем выборочную подделку, потому что злоумышленник может выбрать сообщение $m {\ displaystyle m}$ $m$ , для которого можно легко создать подделку, тогда как в случае выборочная подделка, претендент может попросить подпись «трудного» сообщения.

Пример экзистенциальной подделки

Криптосистема RSA обладает следующим мультипликативным свойством: $σ (m 1) ⋅ σ (m 2) = σ (m 1 ⋅ m 2) {\ displaystyle \ sigma (m_ {1}) \ cdot \ sigma (m_ {2}) = \ sigma (m_ {1} \ cdot m_ {2})}$ ${\ displaystyle \ sigma (m_ {1}) \ cdot \ sigma (m_ {2}) = \ sigma (m_ {1 } \ cdot m_ {2})}$ .

Это свойство может быть использовано путем создания сообщения $m ′ = m 1 ⋅ m 2 {\ displaystyle m '= m_ {1} \ cdot m_ {2}}$ $m'=m_{1}\cdot m_{2}$ с подписью $σ (m ′) = σ (m 1 ⋅ m 2) {\ displaystyle \ sigma (m ') = \ sigma (m_ {1} \ cdot m_ {2})}$ $\sigma (m')=\sigma (m_{1}\cdot m_{2})$ .

Обычной защитой от этой атаки является хеширование сообщений перед их подписанием.

Сильная экзистенциальная подделка (сильная (экзистенциальная) неподделанность, sEUF или SUF)

Это понятие является более сильным (более безопасным) вариантом экзистенциальной подделки, описанной выше. Экзистенциальная подделка - это создание (противником) по крайней мере одной пары сообщение / подпись, $(m, σ) {\ displaystyle (m, \ sigma)}$ $(м, \ сигма)$ , где $(m, σ) {\ displaystyle (m, \ sigma)}$ $(м, \ сигма)$ не было создано законным подписавшим. Отличие от экзистенциальной подделки состоит в том, что злоумышленник даже выигрывает, если после запроса подписи какого-либо сообщения он может создать другую подпись $σ ′ {\ displaystyle \ sigma '}$ $\sigma '$ для того же сообщения..

Сильная экзистенциальная подделка - это, по сути, самая слабая враждебная цель, поэтому самые сильные схемы - это те, которые в значительной степени экзистенциально неподдаются подделке.

Список литературы