Tên và trò chơi cho các thuộc tính bảo mật ngăn chặn việc thay thế thông báo đã ký bởi người ký

Một số lược đồ chữ ký, đặc biệt là ECDSA, miễn cưỡng cho phép người dùng chuẩn bị cặp khóa công khai/riêng tư của họ dưới dạng hàm của hai thông báo tùy ý mà họ chọn và tính toán chữ ký kiểm tra cả hai thông báo¹. Trong trường hợp của ECDSA, cặp khóa công khai/riêng tư có đầy đủ chức năng và có thể ký bình thường, bao gồm cả việc thực hiện yêu cầu ký chứng chỉ cho khóa chung của nó. Rất khó để thuyết phục bên thứ ba về ý định chơi xấu và yêu cầu cả hai thông báo. Tôi hỏi về hậu quả bảo mật cụ thể ở đó.

Một số chương trình chữ ký khác, đáng chú ý là bất kỳ $3k$-chút ngắn ngủi Sơ đồ chữ ký Schnorr² (không phải EdDSA mà là $4k$-bit), có một lỗ hổng bảo mật thậm chí còn đáng lo ngại hơn. Bất cứ lúc nào sau khi tạo cặp khóa thông thường, người giữ khóa riêng có thể chuẩn bị hai thông báo với nội dung được chọn tùy ý và khác biệt ngoại trừ một phần nhỏ và chữ ký chung của chúng, bằng một cuộc tấn công tìm kiếm xung đột chỉ trên hàm băm, với dự kiến chi phí chỉ $\Theta(2^{k/2})$ băm. Cuộc tấn công có thể được lặp lại và bên thứ ba không thể phân biệt được với cuộc tấn công tiền hình ảnh thành công của hàm băm mà không có khóa riêng, với chi phí dự kiến $\Theta(2^k)$ băm.

Nói chung, những cuộc tấn công này có thể được đặt tên thay thế tin nhắn đã ký bởi người ký, với loại đầu tiên tính toán trước. Phân loại phụ có ý nghĩa (chẳng hạn như nếu việc thực hiện cuộc tấn công tiết lộ khóa riêng tư; nó xảy ra trong cuộc tấn công đầu tiên, không phải trong lần thứ hai).

Tên tiêu chuẩn cho các thuộc tính bảo mật ngăn chặn các cuộc tấn công như vậy là gì? Có các thử nghiệm bảo mật tiêu chuẩn cho các thuộc tính bảo mật này không?

Lưu ý: Tôi cũng đã hỏi cách thực hành CNTT giải quyết vấn đề có trên bảo mật-SE, nên xin phép không trả lời ở đây về khía cạnh đó. Tôi thừa nhận có sự chồng chéo cho phần đặt tên.

¹ Xem mục 4.2 trong Jacques Stern, David Pointcheval, John Malone-Lee, và Nigel P. Smart's Những sai sót trong việc áp dụng các phương pháp chứng minh cho các sơ đồ chữ ký, Trong thủ tục của Crypto 2002.

² Claus Peter Schnorr, Nhận dạng hiệu quả và chữ ký cho thẻ thông minh, Trong thủ tục của Crypto 1989 sau đó Tạp chí Mật mã học, 1991.

Tôi đã tìm thấy một phần câu trả lời trong Dennis Jackson, Cas Cremers, Katriel Cohn-Gordon và Ralf Sasse: Có vẻ hợp pháp: Phân tích tự động các cuộc tấn công tinh vi vào các giao thức sử dụng chữ ký, Trong Cryptology ePrint Lưu trữ, Báo cáo 2019/779, ban đầu trong thủ tục của ACM CCS 2019.

Thuật ngữ của họ cho cuộc tấn công chống lại sơ đồ chữ ký là Chữ ký va chạm, còn hơn là Chữ ký trùng lặp trong bài báo gốc ở chú thích 1 của câu hỏi.

Họ đặt tên cho tài sản mong muốn mà ECDSA thiếu Chữ ký không xung đột. Sec1v2 loại bỏ đó là một rủi ro từ chối đáng lo ngại, như sau:

Người ký ác ý có thể cố gắng từ chối chữ ký trên một trong các thư. Lập luận bác bỏ dẫn đến việc bên thứ ba nào đó đã gây ra chữ ký trùng lặp dường như giả định trước sự tồn tại của một cuộc tấn công giả mạo thực sự. Bởi vì các cuộc tấn công như vậy là không xác định, sự cân bằng của các xác suất rơi vào ác ý của người ký, vì người ký có quyền truy cập vào khóa riêng và do đó khả năng tạo chữ ký cao hơn nhiều. Ngoài những lo ngại chung này, cuộc tấn công chữ ký trùng lặp này còn có thêm nhược điểm là nó làm lộ khóa riêng của người ký. Vì khóa riêng được xác định bởi chữ ký và hai thông báo được ký, xác suất người ký đã tạo khóa riêng một cách trung thực là không đáng kể và người ta có thể suy luận gần như chắc chắn rằng khóa riêng được tạo ra một cách có chủ ý để khởi chạy khóa này. tấn công. Do đó, để từ chối chữ ký, người ký sẽ phải khẳng định rằng một số bên thứ ba đã tạo khóa riêng của người ký, điều này mâu thuẫn với khẳng định thông thường mà người ký phải đưa ra để không từ chối: cụ thể là người ký đã tạo khóa riêng và không tiết lộ nó cho bất cứ ai khác.

Tôi hiểu lý lẽ, nhưng "thà an toàn còn hơn xin lỗi" xuất hiện trong tâm trí tôi. Là một học viên, tôi ước ECDSA đã buộc $Y$ phối hợp đồng đều, điều này sẽ ngăn chặn điều này và thực hiện sơ đồ SEUF-CMA trong một lần di chuyển. Đồng quan điểm, tôi ước gì EdDSA đã từ chối một vài khóa công khai cấp thấp ngay từ đầu.

Quá trình chính thức hóa khi thử nghiệm bảo mật diễn ra: trên đầu vào $1^n$, đối thủ cố gắng xuất $(\mathrm{pk},m,m',\sigma)$ với đúng $n$ truyền đạt trong $\mathrm{pk}\,$, $m\ne m'\,$, $\mathsf{Vrfy}(\mathrm{pk},m,\sigma)=1\,$, và $\mathsf{Vrfy}(\mathrm{pk},m',\sigma)=1$.

Nhưng câu hỏi cũng hỏi về một cuộc tấn công đáng lo ngại hơn vào chữ ký ngắn Schnorr, điều này khác vì khóa công khai/riêng tư không được tạo một cách độc hại và một số cặp thông báo có thể được tạo.

Đối với điều này, tôi không tìm thấy tài liệu tham khảo (tôi sẽ không đánh dấu câu trả lời là được chấp nhận vì lý do này). Tôi tạm thời đặt tên cho cuộc tấn công Chữ ký xung đột không được tính toán trước. Tôi ngần ngại cho tài sản bảo đảm.

Việc chính thức hóa dưới dạng thử nghiệm bảo mật có thể diễn ra: trên đầu vào $(\mathrm{pk},\mathrm{sk})$ đầu ra bởi $\mathsf{Gen}$, đối thủ cố gắng xuất $(m,m',\sigma)$ với $m\ne m'\,$, $\mathsf{Vrfy}(\mathrm{pk},m,\sigma)=1\,$, và $\mathsf{Vrfy}(\mathrm{pk},m',\sigma)=1$. Một biến thể nhỏ cũng sẽ cung cấp đầu vào là một bản sao của $\mathsf{Gen}$băng ngẫu nhiên/máy phát điện.