Tấn công phím liên quan vào chữ ký Schnorr - Tại sao thử thách lại bao gồm $\psi = g^x$, không phải $y$?

YGrade

18:17, 09/12/2022

Sơ đồ chữ ký Schnorr ban đầu bị Tấn công khóa liên quan (RKA) như được mô tả bởi Morita và cộng sự. Sau đó, các tác giả của bài báo này đề xuất sửa đổi thuật toán chữ ký để ngăn chặn RKA như sau:

Bộ $\psi \leftarrow g^x$, ở đâu $x$ là khóa riêng (ký) cho lược đồ.
Đặt hàm băm thử thách thành $h \leftarrow H(M || r || \psi)$.

Bước thứ hai ở trên khác với sơ đồ Schnorr ban đầu (đây) chỉ yêu cầu $h \leftarrow H(r || M)$.

Sửa đổi này có ý nghĩa, tuy nhiên bài báo của Morita et al. nói (ở trang 9):

"Lưu ý rằng bước thứ hai của thuật toán ký, tính toán của $\psi \leftarrow g^x$, không nên thay đổi để chỉ sử dụng khóa xác minh $y$ như $\psi$."

Các tác giả không giải thích tại sao $y$ (khóa công khai/khóa xác minh) không thể được sử dụng thay cho $\psi$, mặc dù có cùng giá trị - có lý do nào cho việc này không?

Điều khiến điều này trở nên khó hiểu hơn là với việc Schnorr được thêm vào Bitcoin trong đợt soft fork Taproot, các nhà phát triển Bitcoin Core đã viết triển khai của riêng họ cho chữ ký Schnorr (như được mô tả trong BIP340), bao gồm cả các biện pháp giảm nhẹ cho RKA. Tuy nhiên, trong BIP340, họ đã quyết định sử dụng $y$ trong thử thách băm hơn $\psi$, đi ngược lại khuyến nghị từ trước đó.

Việc triển khai này có sai không?

1 + 0

chữ ký schnorr

tiền điện tử

khóa liên quan

Điểm:0

Crypto

fgrieu

18:39, 09/12/2022

Các tác giả không giải thích tại sao $y$ (khóa công khai/khóa xác minh) không thể được sử dụng thay cho $\psi$, mặc dù chúng có cùng giá trị. Có một lý do cho điều này?

Đúng. Ý tưởng là một sự thay đổi của khóa riêng $x$ thành một liên quan $x'$ sẽ thay đổi $\psi\leftarrow g^{x'}$ tính toán lại tại thời điểm ký thành một cái gì đó khác với $y=g^x$ ban đầu được tính toán, với $\psi$ nhập hàm băm do đó bảo vệ khỏi cuộc tấn công khóa liên quan.

Các nhà phát triển Bitcoin Core (..) đã quyết định sử dụng $y$ trong thử thách băm hơn $\psi$.

Đó không phải là cách tôi đọc thông số kỹ thuật. Ngược lại, chữ ký dường như được tính toán lại $d'$ (mà tôi đọc là hành động như $x'$) sau đó $P$ (mà tôi đọc là hành động như $\psi$) từ khóa cá nhân hiện được giả định. Và các biến thể triển khai của điều đó, nếu có, là lạc đề.

Điều này không được hiểu là sự chứng thực của bitcoin hoặc bất kỳ nhánh rẽ nào hoặc việc triển khai chúng. Cá nhân tôi coi toàn bộ nội dung là một sự xúc phạm đối với nhân loại.

0 + 1

YGrade

20:42, 09/12/2022

Cảm ơn vì điều này - điều đó có ý nghĩa hơn nhiều bây giờ. Đánh giá cao sự giúp đỡ của bạn.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

TH: การโจมตีคีย์ที่เกี่ยวข้องกับ Schnorr Signature - เหตุใดความท้าทายจึงรวมถึง $\psi = g^x$ ไม่ใช่ $y$

RO: Atacul cheie legat de semnătura Schnorr - De ce provocarea include $\psi = g^x$, nu $y$?

RU: Связанная ключевая атака на подпись Шнорра. Почему вызов включает $\psi = g^x$, а не $y$?

VI: Tấn công phím liên quan vào chữ ký Schnorr - Tại sao thử thách lại bao gồm $\psi = g^x$, không phải $y$?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.