В криптографической цифровой подписи или системе MAC подделка цифровой подписи - это возможность создать пару, состоящую из сообщения, и подписи (или MAC) , которая действительна для , но не была создана в прошлом законным подписывающее лицо. Есть разные виды подделки. [1]
С каждым из этих типов могут быть связаны определения безопасности . Схема подписи защищена конкретным определением, если подделка связанного типа невозможна.
Следующие определения упорядочены от самого низкого до самого высокого достигнутого уровня безопасности, другими словами, от самого сильного до самого слабого. Определения образуют иерархию, что означает, что злоумышленник, способный выполнить определенную атаку, может выполнить все атаки, расположенные ниже по списку. Точно так же схема, которая достигает определенной цели безопасности, также достигает всех предыдущих.
Более общие, чем следующие атаки, также есть полный разрыв : когда злоумышленник может восстановить личную информацию и ключи, используемые подписывающим лицом, он может создать любую возможную подпись для любого сообщения. [2]
Универсальная подделка - это создание (злоумышленником) действительной подписи для любого данного сообщения . Злоумышленник, способный к универсальной подделке, может подписывать сообщения, которые он выбрал сам (как в случае выборочной подделки), сообщения, выбранные случайным образом, или даже конкретные сообщения, предоставленные противником. [1]
Выборочная подделка - это создание злоумышленником пары сообщение / подпись , которая была выбрана злоумышленником до атаки. [3] [4] может быть выбран, чтобы иметь интересные математические свойства относительно алгоритма подписи; однако в случае выборочной подделки необходимо исправить это до начала атаки.
Способность успешно провести атаку выборочной подделки подразумевает способность успешно провести атаку экзистенциальной подделки.
Экзистенциальная подделка - это создание (противником) по крайней мере одной пары сообщение / подпись , которая никогда не была подписана законным подписавшим. Противник может выбирать ; не обязательно иметь какое-то особое значение; содержание сообщения не имеет значения - пока пара ,, действительна, злоумышленник преуспел в создании экзистенциальной подделки. Таким образом, создать экзистенциальную подделку проще, чем выборочную подделку, потому что злоумышленник может выбрать сообщение, для которого можно легко создать подделку, тогда как в случае выборочной подделки заявитель может запросить подпись «трудного» сообщение.
RSA криптосистема имеет следующее мультипликативное свойство: .
Это свойство можно использовать, создав сообщение с подписью . [5]
Обычная защита от этой атаки - хэширование сообщений перед их подписанием. [5]
Это понятие является более сильным (более безопасным) вариантом экзистенциальной подделки, описанной выше. Слабая экзистенциальная подделка - это создание (противником) по крайней мере одной пары сообщение / подпись , с учетом сообщения и другой подписи, созданной законным подписавшим.
Сильная экзистенциальная подделка, по сути, является самой слабой враждебной целью, поэтому самые сильные схемы - это те, которые в значительной степени экзистенциально неподдаются подделке .