В криптографии , подпись Шнорры является цифровой подпись производится с помощью алгоритма подписи Шнорры , который был описан Клаусом Шнорром . Это схема цифровой подписи, известная своей простотой [1], одна из первых, безопасность которой основана на неразрешимости некоторых задач дискретного логарифмирования . [1] Он эффективен и генерирует короткие подписи. [1] Он был защищен патентом США 4 995 082, срок действия которого истек в феврале 2008 года.
Алгоритм [ править ]
Выбор параметров [ править ]
- Все пользователи схемы подписи договариваются о группе , простого порядка , с генератором , в которой проблема дискретного журнала считается сложной. Обычно используется группа Шнорра .
- Все пользователи согласны с криптографической хеш-функцией .
Обозначение [ править ]
В следующих,
- Возведение в степень означает повторное применение групповой операции.
- Сопоставление означает умножение на множестве классов конгруэнтности или применение групповой операции (если применимо)
- Вычитание означает вычитание на множестве групп эквивалентности.
- , набор конечных битовых строк
- , множество классов сравнения по модулю
- , То мультипликативная группа целых чисел по модулю (для простой , )
- .
Генерация ключей [ править ]
- Выберите закрытый ключ подписи из разрешенного набора.
- Открытый ключ проверки - .
Подписание [ править ]
Чтобы подписать сообщение :
- Выберите случайное число из разрешенного набора.
- Пусть .
- Пусть , где обозначает конкатенацию и представляется в виде битовой строки.
- Пусть .
Подпись пара, .
Обратите внимание : если , то представление подписи может уместиться в 40 байтов.
Проверка [ править ]
- Позволять
- Позволять
Если то подпись проверяется.
Доказательство правильности [ править ]
Относительно легко увидеть, что если подписанное сообщение равно проверенному сообщению:
, а значит .
Общественные элементы: , , , , , , . Частные элементы: , .
Это показывает только то, что правильно подписанное сообщение будет правильно проверено; многие другие свойства требуются для безопасного алгоритма подписи.
Утечка ключа из-за повторного использования nonce [ править ]
Как и в случае с тесно связанными алгоритмами подписи DSA , ECDSA и ElGamal , повторное использование значения секретного одноразового номера в двух подписях Шнорра разных сообщений позволит наблюдателям восстановить закрытый ключ. [2] В случае подписей Шнорра это просто требует вычитания значений:
- .
Если но то можно просто изолировать. Фактически, даже незначительные отклонения в значении или частичная утечка могут раскрыть закрытый ключ после сбора достаточно большого количества подписей и решения проблемы скрытого числа . [2]
Аргумент безопасности [ править ]
Схема подписи была построена путем применения преобразования Фиата – Шамира [3] к протоколу идентификации Шнорра. [4] Следовательно, (согласно аргументам Фиата и Шамира), это безопасно, если моделируется как случайный оракул .
Его безопасность также может быть аргументирована в рамках общей модели группы при условии, что она «устойчива к случайному префиксу префикса» и «устойчива к случайному префиксу второго преобраза». [5] В частности, это не должно быть устойчивым столкновением .
В 2012 году Сёрен [1] представил точное доказательство схемы подписи Шнорра. В частности, Сёрен показывает, что доказательство безопасности с использованием леммы о разветвлении является наилучшим возможным результатом для любых схем подписей, основанных на односторонних гомоморфизмах групп, включая подписи типа Шнорра и схемы подписи Гийу – Кискватера . А именно, согласно предположению ROMDL, любая алгебраическая редукция должна терять фактор в соотношении времени и успеха, где - функция, которая остается близкой к 1, пока « заметно меньше 1», где - вероятность подделки ошибка при выполнении не более чем запросов к случайному оракулу.
Короткие подписи Шнорра [ править ]
Вышеупомянутый способ достигает т уровень безопасности -разрядного с 4 т подписи битовых. Например, для 128-битного уровня безопасности потребуются 512-битные (64-байтовые) подписи. Безопасность ограничивается атаками дискретного логарифмирования на группу, сложность которых равна квадратному корню из размера группы.
В оригинальной статье Шнорра 1991 года было высказано предположение, что, поскольку сопротивление столкновениям в хеш-коде не требуется, поэтому более короткие хеш-функции могут быть столь же безопасными, и действительно, недавние разработки предполагают, что t- битный уровень безопасности может быть достигнут с 3 t - битовые подписи. [5] Тогда для 128-битного уровня безопасности потребуются только 384-битные (48-байтовые) подписи, и это может быть достигнуто путем усечения размера e до тех пор, пока он не станет половиной длины битового поля s .
См. Также [ править ]
- DSA
- EdDSA
- Схема подписи Эль-Гамаля
Заметки [ править ]
- ^ a b c d Сёрин, Янник (2012-01-12). «О точной безопасности подписей типа Шнорра в случайной модели Oracle» (PDF) . Cryptology ePrint Archive . Международная ассоциация криптологических исследований . Проверено 11 августа 2014 .
- ^ а б https://ecc2017.cs.ru.nl/slides/ecc2017-tibouchi.pdf
- ^ Fiat; Шамир (1986). «Как проявить себя: практические решения проблем идентификации и подписи» (PDF) . Материалы CRYPTO '86 . Конспект лекций по информатике. 263 : 186–194. DOI : 10.1007 / 3-540-47721-7_12 . ISBN 978-3-540-18047-0. S2CID 4838652 .
- ^ Шнорр (1989). «Эффективная идентификация и подписи для смарт-карт» (PDF) . Материалы CRYPTO '89 . Конспект лекций по информатике. 435 : 239–252. DOI : 10.1007 / 0-387-34805-0_22 . ISBN 978-0-387-97317-3. S2CID 5526090 .
- ^ a b Невен, Смарт, Варински. «Требования к хеш-функции для подписей Шнорра» . IBM Research . Проверено 19 июля 2012 года .CS1 maint: multiple names: authors list (link)
Ссылки [ править ]
- Менезеш, Альфред Дж. И др. (1996), Справочник по прикладной криптографии , CRC Press.
- CP Schnorr (1990), «Эффективная идентификация и подписи для смарт-карт», в G. Brassard, ed. Достижения в криптологии — Crypto '89 , 239–252, Springer-Verlag. Конспект лекций по информатике , № 435
- Клаус-Питер Шнорр (1991), «Эффективное создание подписи с помощью смарт-карт», Journal of Cryptology 4 (3), 161–174 (PS) (PDF) .
Внешние ссылки [ править ]
- RFC 8235