Điểm:1

Chữ ký số không có lược đồ có khả thi không?

lá cờ in

Trong ứng dụng của mình, tôi muốn sử dụng hệ thống mật mã Rabin với các khóa ngắn (như 128 bit) và MD5 để băm. Tôi thấy rằng lược đồ như PKCS1-V1_5 hoặc PPS không cho phép bạn có các khóa nhỏ như vậy và chữ ký kết quả giống như 64 byte cho khóa 512 bit.

Tôi cần ký một lượng nhỏ dữ liệu như 30-50 byte và có chữ ký 64 byte là chi phí đáng chú ý. Tôi đã thử BLS (48 byte cho chữ ký) nhưng quá chậm so với Rabin.

Ý tưởng của tôi là sử dụng MD5 vì nó chỉ cần 128 bit và phím ngắn có cùng kích thước để tránh đệm. Vì vậy, trong trường hợp này tôi không cần lược đồ. Ngoài ra, điều này sẽ cung cấp cho tôi 20 byte cho mỗi chữ ký. Tôi nhận ra rằng đây là chữ ký rất yếu nhưng thời gian tồn tại (gói) dữ liệu sẽ ngắn.

Cách tiếp cận như vậy sẽ làm việc?

Maarten Bodewes avatar
lá cờ in
128 bit cho một hệ thống mật mã phụ thuộc vào độ cứng của hệ số hóa rõ ràng là sẽ không cắt được. MD5 cũng là một lựa chọn tồi vì nó cho phép các cuộc tấn công mà không có bất kỳ lợi ích đáng chú ý nào so với FDH chẳng hạn như SHAKE128 và bạn cũng có thể chỉ cần sử dụng (các bit ngoài cùng bên trái) của hàm băm nhanh, an toàn bằng mật mã. Tôi muốn xem xét các cách giải quyết vấn đề (ví dụ: ECDH, sau đó lấy khóa MAC cho nhiều thông báo).
fgrieu avatar
lá cờ ng
Rabin với chữ ký 64-byte (512-bit) rất không an toàn; nó đã bị phá vỡ công khai vào năm 1999 (xem [điều này](https://crypto.stackexchange.com/a/1982/555)). Đối với chữ ký 64 byte, bạn có thể sử dụng [Ed25519](https://ed25519.cr.yp.to/) hoặc [ECDSA](https://www.secg.org/sec1-v2.pdf#subsection. 4.1) với đường cong [secp256r1](https://www.secg.org/sec2-v2.pdf#subsubsection.2.4.2). Xác minh chữ ký không nhanh bằng Rabin và nó phức tạp hơn, nhưng bên cạnh đó tôi chỉ có thể nghĩ đến các lợi ích: chữ ký và khóa công khai nhỏ hơn, tạo chữ ký nhanh hơn. Có các biến thể nhỏ hơn 25% (48 byte).
poncho avatar
lá cờ my
Mã xác thực thư có hoạt động trong trường hợp của bạn không? Điều đó có nghĩa là người nhận có thể tạo các thông báo "đã ký"; trong một số trường hợp, đó không phải là vấn đề (và trong những trường hợp khác, đó là một vấn đề rất lớn). Nếu bạn có thể sử dụng MAC, tốt, kích thước MAC có thể khá nhỏ mà không có vấn đề gì (ngoài vấn đề hiển nhiên; kẻ tấn công chỉ cần đoán; với $n$ MAC, anh ta có xác suất $2^{-n}$ là đúng...)
lá cờ in
@poncho Rất tiếc là không, vì điều này yêu cầu phải có một số loại khóa phiên cho từng cặp người tham gia
fgrieu avatar
lá cờ ng
Một lần nữa, **Tôi khuyên bạn nên sửa lại câu hỏi nêu rõ các mục tiêu chức năng**: kích thước thông báo, thông báo tối đa + kích thước chữ ký, cần hay không để thông báo trở nên dễ hiểu mà không cần khóa công khai (nếu không, có thể nhúng thông báo + chữ ký Rabin 256 byte được tiêu chuẩn hóa 222 byte thông báo), các hạn chế về hiệu suất đối với việc tạo chữ ký và xác minh (riêng biệt), bất kỳ yêu cầu bảo mật nào ngoài [tiêu chuẩn] đó (https://en.wikipedia.org/wiki/Digital_signature_forgery) (đặc biệt, đó có phải là vấn đề mà kiến ​​thức của khóa riêng cho phép tạo các cặp thông báo riêng biệt có cùng chữ ký?).
Điểm:2
lá cờ in

Về nguyên tắc, những gì bạn mô tả dường như là sơ đồ băm tên miền đầy đủ (FDH), được biết là an toàn cho RSA.

Hơn nữa, bạn sẽ chọn sai hàm băm vì bạn thường cần một hàm băm không va chạm để tạo chữ ký (mặc dù chỉ có khả năng chống va chạm mục tiêu được nâng cao, eTCR có thể đủ cho các sơ đồ ngẫu nhiên cụ thể, xem câu trả lời này thêm thông tin).

Tuy nhiên, với chữ ký 128 bit, khóa riêng sẽ được biết sau vài giây - nếu vậy. Vì vậy, cuối cùng, việc băm một mình có an toàn hay không không quan trọng. Đối với các kích thước khóa lớn hơn, nó chắc chắn có thể được bảo mật bằng cách sử dụng PRF khác, ví dụ: LẮC128.

Nếu bạn có thể thiết lập khóa bí mật thì MAC 128 bit sẽ rất an toàn. Vì vậy, có thể bạn cần cung cấp hai thông báo theo một trong hai hướng để thực hiện ECDH thay vào đó, để lấy một số khóa phiên MAC.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.