Tại sao ECDSA xác định (theo RFC 6979) bao gồm khóa riêng trong quá trình tạo k?

lxgr

11:27, 15/11/2022

Rõ ràng là việc sử dụng khóa ECDSA riêng tư $x$ như một đầu vào bổ sung vào thuật toán băm, như được chỉ định trong RFC 6979, không làm hại bảo mật (giả sử HMAC_DRBG là PRF).

Nhưng nó là cần thiết?

Sẽ có bất kỳ vấn đề nào với việc cho phép thuật toán chữ ký có cùng đầu ra là $k$ cho cùng một tin nhắn bất kể khóa được sử dụng là gì? Mỗi Có an toàn khi sử dụng lại nonce ECDSA cho hai chữ ký nếu các khóa chung khác nhau không?, có vẻ như thế này sẽ ổn thôi.

Nếu sự phụ thuộc khóa thực sự là mục tiêu ở đây, thì tại sao khóa riêng được sử dụng mà không phải khóa chung?

Việc sử dụng khóa chung hoặc loại bỏ hoàn toàn bất kỳ sự phụ thuộc khóa nào dường như sẽ cho phép xác minh xem một triển khai đã cho có đang sử dụng chữ ký xác định hay không, có vẻ như là một thuộc tính mong muốn trong một số ngữ cảnh. Ví dụ: nó sẽ cho phép phát hiện xem một triển khai nhất định có sử dụng chữ ký xác định mà không cần biết về khóa riêng hay không bằng cách quan sát một hoặc nhiều chữ ký.

Tui bỏ lỡ điều gì vậy?

133

1 + 0

rfc6979

Điểm:3

Crypto

poncho

11:32, 15/11/2022

Nhưng nó có cần thiết không?

Điều cần thiết là người khác không thể đoán được những gì $k$ là; Rốt cuộc, nếu họ đoán được điều đó, họ có thể khôi phục khóa riêng tư từ chữ ký bằng một chút đại số đơn giản.

Nếu họ chỉ sử dụng thông tin công khai (khóa công khai và tin nhắn), thì kẻ tấn công có thể tính toán $k$ bản thân mình, và điều đó sẽ là xấu.

Tất nhiên, bạn không nhất thiết phải sử dụng khóa riêng tư; bạn có thể sử dụng một giá trị bí mật khác. Tuy nhiên, điều quan trọng là bạn phải sử dụng một giá trị bí mật nào đó (và việc sử dụng lại khóa riêng tư có lợi thế là chúng ta chỉ cần giữ bí mật một điều).

0 + 1

lxgr

11:40, 15/11/2022

Cảm ơn â Tôi đã hoàn toàn bỏ lỡ rằng $k$ phải là bí mật cũng như không thể đoán trước và không thông báo!

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Why does deterministic ECDSA (per RFC 6979) include the private key in the generation of k?

TH: เหตุใด ECDSA เชิงกำหนด (ตาม RFC 6979) จึงรวมรหัสส่วนตัวในการสร้าง k

RO: De ce ECDSA deterministă (conform RFC 6979) include cheia privată în generarea lui k?

RU: Почему детерминированный ECDSA (согласно RFC 6979) включает закрытый ключ в генерацию k?

VI: Tại sao ECDSA xác định (theo RFC 6979) bao gồm khóa riêng trong quá trình tạo k?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.