Цифровий підпис на еліптичних кривих в банківській системі

ПІДПИСІВ.

Другою найважливішою  особ;пшісхто при аналізі і  порівнянні піщшсів є ::їастосування в ІІД функції хешування. Справа в тому, що для практичної реалізації протоколу аутентифікації необхідно отримати інтерактавшій вги'іадк.овиіі запит від перевіряючого. Шамір заггропонував спосіб перетворення протоколу аутенптфікації в схему цифрового иідтісу засобом памінн етпізіщового :заиигу перевіряючого на хеш-функцію підгаїсувача повідомлення. В цьому випадку замість звернення до перевіряючого (він же отримувач повідомлення), відправник (він же підписувач) обчислює хеш-функцію від повідомлення М -   МІМ)   і   використовує   його  в   якості   запиту.   В   результаті   будується   практично

однопрохідтЕїш  протоко;! і забезпечується групова  передача підписаних повідомлень з одїюто джерела багатьом отримувачам. В деякому сенсі підпис Шпора є класичним. Суть його в наступному.

1,   Підтшсувач  формує випадкове число к - {І. 2 у -1 і і обчислює

г --- «' ( той р ).,

де о примшшштн елемент поля; // просте число. Параметри викорисіозук:иься в якості першої компоненти ідифрового підпису.

Підпісувач обчнсіює винадковпн запит у вигляді, значення хеш-функції від параметрів і повідомлення М , що підписується

 

*■■-... П\гЛІ і.

2, Підтшсувач обчислює друїу компоненту ЦН

.у ■■■■■ (х-е ~ к ) тосі ц ,

де л' -довготривалий  секреший ключ, і формує повідомлення М з підписом (є, 5).

3. Отримувач обробляє підписане повідомлення у вигляді (М ': (<?".,?' і). Він обчислює

г -■■- а' у' (т.од р і

і перевіряє, чи виконується рівність

е'= Ніг'.М ).

Якщо рівність виконується,  то підлис приймається,  а інформація   М   вважається

цілісною  та достовірною.

Сїііжіс'іь схеми Шнора  в значній мірі залежить від властивостей функції Н. Якщо криптоаналітик може здійснити колізії спеціального вю^ляду, тобто по заданій парі \г\М) знаходити другу інформацію М\ М' ~ М , таку що

Н{г,М) = Н{г\М"\,

то  він  може  щонайменпте  здійснювати  екзистенціальну  підробку гадшісу.  Для  цього достатньо отримати М і підпис (^.у ] для нього, а також знайти колізію вказаного вигляду¹.

Тоді пара (<?..•>} буде підгоісом також і для гговщомлєшія М. Фактично ггщпис Шнора та інші

підписи такого класу будуть стійкими,  якщо хеш-фуикція  поводить себе як випадкова велтгчина (для річних повідомлень).

 ЩТ Шнора  і ЕС88 в фугах точок єлішичної  кривої приведений нижче.

Алгоритм Шнора  на еліптичній кривій

Формування ідифрового підіпісу і Перевірка цифрового підпису

\ Вхід:  секретніш ключ   сі,  відкритіш ключ. [ Вхід: відкринш ключ і^), загальносистемні Я=-сі  О, загальносистемні параметри.         | _{параметрн}. цд (_г\_$•), для повідомлення Вихід: ІЩ ^г.,у) для повідомлення М .

; І Вихід: Підпис дійсний чи ні.

і

1. Вибираємо к(=\\,...,п - 1}; і 1.   (л\у) - х'■<О + г'--- (2;

І

2. к -< О = | л*. у}', \ 2.    V ■- 7і {х. V}пю(і я ;
3. г - її їх, є }п\ойп \ : ,

■    '     '  і.      Г    -  V .

 

 

 

 

Алгоритм  Шпора ші еліптичній кривій

4.    .^    к'"~ \ с/г - є ііткхЬг. і

 

Вхід: секретніш ключ а , відкритій! ключ О = сіО . -.їагальносистемні параметри.

Вихід; ЦП (г.^) для повідомлення М . 

Вхід: відкритий ключ О. .-іагальносистемні параметри, Ції (г*.,?'}, Для повідомлення

Вихід: Підпис дійсщш чи ні.

 

х.у }~ )■'

3.   г  --- п{х\ у)тоііп

4.

/■'     —■   V .

Вибираємо к ■-- {!,..., п - \\;

3. к ■ О ■■--■: (х.у);
4. г -- ( х -к <у і тосі л :

5- л■ ■- (к - с/г )тос1« -

Туї загальгюсистемні параметри     парамеіри еліптичної кривої' а і Ь. порядок еліптичної кріївої и ~ Ие{Р^ |, кофактор к, базова -точка О і порядок базової точки п - и/к .

В проекті  стандарту ІЗО/ІЕС СО 15946-2 включено чотири алгоритми І.Щ в групах точок еліптичної кривої. Нижче приведені ЦП що ввійшли в цей проект (крім ЕС8.8. так як він описаний вище). Розглянемо їх більш детально.

Алгоритм ЕСІЖ4

 

Вхід:     секретний    клк>ч     с/,     О - сі <О , | Вхід: відкритий ключ О. затальносистемні 
загальносистемні параметри. ! параметри, ЦП (г\з'}, для повідомлення

Вихід: ЦП (г,дЛ для повідомлення М , | ^ •.

і Вихід: ГЕдпис дійсний чи ні.

3.    и_л - е'

Формування  цифровою підпису

1. е = Ь(М);
2. Вибираємо к є \ І.... п ■-1};
3. ^Г ?: Сг - { X, V і ;
4. г ~ п(х, у) тосі л ;
5. 5 = к~¹ (сіг і- є) тосі п .

 

Перевірка цифрового підпису

2.   м' = ( і- ') ' то<3 п ;

 и и₂ = г'>гтосіп;

4. ( х,у ) = и, ■■■-. О -+- її, -< (2 ;
5. у = ті{х,у)то<1 п ;

 

 

6. 

 ґ = V.

 

Алгоритм ЕС ■■■■ ОІУЗА Вхід:  секреііош  ключ   і/,   відкритий ключ ; Вхід: відкриши ключ О, 'агзльношстемні

О - і! ■   О , загальносисгемні параметри.         : параметри, ІЩ {/-'..■>■'), для повідомлення 
Вихід: ЦП (/-.о) Д^дя повідомлення ЛІ . , М '.

Вихід: Підпис дійсний  чи ні.

і

 

2. Вибираємо   к е\і,.,,,п-і\

І. к <С --г- і д\_г);

4. г --■- ті! .V. .V І той » ;
5. ,5 ■:- \кт   є)Лтосі».

 

2,   м- ■■■■- і г') ' іпосі/7;

3.    н₃ -- е'м-тойп и и, -~

4.    іх..у\--и. ■< О ->■■ и..  ■ О :

5.   г⁴.-- л і д-. V і тосі п ;

 

 

 

6. 

Г    ----   V ,

 

Алгоритм ЕС -КСОЗА Вхід:  секретніш клкіч   сі.  відкршші клюм \ Вхід: відкритий їстиюч О, заглльносистемні

|

О= Л"   О- :їагальносистемні парлмет}ж.         і параметри, Щї {>',і-'), д;гя повідомлення 
Вихід: ЦП (г\ї) Д.іія повідомлення Д/ . ■ д./',

\ Вихід: Підпис дійсний чи ні.

 

1. Виоираемо к±\і п-1};

2. к у О -■- (х_\^: і и с --■ х\\ у\

3. /•.-: /-/{с- ;то(І/ї;
4. к^Н{2.Л.М)\

 

2. є' - г'Ш Ь'тойп ',

і. [х,у)--- є'---- О -^'--.О:

4. V ~ //( хП V )то(і«;
5. г' -- V.
 

6.    „V = і к   є 'иітой.п.

Тут || конкатенація двох рядків: Ф ~ додавання за модулем 2; ті - ф>іжція виділення хтойп. У випадку ЕС -КСОИ4 в загальносистемні параметри входить додаткова інформація 2^.

В рамках конкурсу ІЧЇ881Е бере участь сілі алгоритмів цифрового .підгагсд' і одігн з ЕСО5А . За попереднім результатом відбору ЕСВ5А вийшов у наступний етап.

Розглянемо стійкість  всіх цифрових підписів до раніше перерахованих  загроз.

Іїкгкстенцюнальніі  підробка. Цей вид загрози виникає при використанні хеш-функцн. В зв'язку з тим, що хеш-функція производит відображення  т~.М  на  Ь^. Н, де множина

// :_ М , можливі колізії при яких для Н .■■■■. Ніш). її - Я [пі") і п ■-■■ її. т ■■- т'. Для захист}'

від    екзистенціальної    підробки    на    хеш-функцію    накладається    вимога    відсутності поліноміального алгоритму створення колізій.

Звичайно  при доведенні стійкості цифрового  підпису передбачається, що хеш-функція с випадковим чорним ящиком (оракулом), на вхід якого поступають випадкові загали т_г.,тп,_гт,,..., а на виході формуються випадкові відповіді Л-_І?Л,./і,.... Всі запити і відповіді оракул запам'ятовує, і якщо на вхід поступає т, - т   і і т- /, то він видас раніш обчислену відповідь.

На практиці хеш-функція  повинна задовольняти, щонайменше, наступним вимогам : а)  не вище ніж поліноміальна складність обчислення, що дозволяє ефективно обчислити значення Н .

 Ь)  одионаправленість. при якій забезпечується односторонність перетворень. Сутність лжі властивості полягає у неможливості обчислення повідомлення т за відомим Ь (наприклад, має не нижче за експоненціальну складність);

 с)  захищенісі ь від колізій, при якій практично неможливо знайти щ І т, такі, що

Н{ т. і ■■-- Ні ш, і. гак як знаходження п\ і т, носить не шскче ніж експоненціальну складність.

Розглянемо  необхідність виконання лих умов на прикладі Е'СОЗА. Якщо до хеш-функції можна знайти обернену, то кріттоаналітик В може здійснити ефективну атаку на ЩІ наступним чітном. Він вибирає випадкове число / і обчислює параметр циф|ювого підпису г-ті(ОлЮ). Далі В приймає, що &-г, і обчислкх¹ є- г-І(тойп). Якп^о В може

знайти повідомлення т таке що є-Німі, тоді (г,.-.} дійсний цифровий підпис.

Якщо хеш-функція, що використовується, не забезпечує захист від колізій, то В може знайти   Н[ /«, !■- Н'{тї),   де    щ    дійсне,   зарання   підписане   повідомлення   легальним користувачем. Далі він приєднує ЦП (г,х) для повідомлення  п\  до повідомлення  т_г і

відсилає  повідомлення (т,,(г,,і)). Отримувач при перевірці ЦП не помітить підробки, і йому

буде нав'язане  помилкове (фальшиве) повідомлення т₁.

Селективна  підробка. Для підпису зарання вибраного повідомлення т при невідомому ключі іі необхідно сформувати для повідомлення т підпис (г,&\ так, щоб перевірка на цілісність і достовірність нього повідомлення   т  давала додатній резульгат. Розглянемо алгоритм підробки підпису для № .

1. Формується чи вибирається А-^:' -; (].. 2 ;■? ■■■■ 1 і.
2. Обчислюємо г~ ~ я (к - О ).
3. Вибирає¹ чи підбираємо .г -і⁷11,..., /г - 3] .
4. Посилаємо фальшиве повідомлення.М   з підписом (г,/).

При   О ГрИМаННІ.   Перевіряється   ЦІЛІСНІСТЬ   І   ДОСТОВІРНІСТЬ   ПОВІДОМЛеННЯ    (М'~ .(/■', 6''"' П .

Для цього  він викоте наступне.

1. ()б^іпіслює значення хеігї-функдії є'-- Ь[М~^:).
2. Обчисжоє значення параметрів и=(^' )   (тосі??), и, - е'\м\хшЛп } и и₂ = гЧі=(то<!«).
3. Знаходить точку еліптичної кривої і л% V і - и, ■ О +- я.   О¹.
4. Перетворює гочкл еліптичної кривої г - п (х, у) той п .
5. Порівнює г~ = г.

Перевірка    на     5-му    кроці    буде    виконана    тільки    у    тому    випадку,    якщо

з^с ~(к')  (сіг -те)ш>йп, Аншю цього виразу показує, що ймовірність правильного вибору

а'^: однозначно впшачається ймовірністю підбора чи вгадування ключа сі і складає для ЕСІ>53 ду-же малу величину. Аналогічною стійкі проти селективної підробки підписи ЕС38. ЕССОЗ, ЕСКСОЗА \ Шнора.

Повне розкриття. За сласними поняттями стійкість всіх приведених алгоритмів ЦП засігована на складаїості розв'язку⁷ дискретного логарифма в мульшплікативнш ф>тіі точок еліптичної кривої. Для знаходження секретного ключа необхідно розв'язати відносно а порівняння

О = </ ■■■ О . (1)

(у випадках ЕСГЖ4 і ЕС53 ), порівняння

О^іГ'   С, (2)

(у випадках ЕС - ОО5А і ЕС - КСО5А ), і порівняння

д^--сі---о. (3)

у випадку  алгоритму Шнора.

 

Розглянемо  можливість знаходження и ?.а перехопленими підіше-агоіми повідомленнями. Нехай перехоплено / підписаних повідомлень. Розв'язуючи для ЕСО88 порівняння

,5' - к"' і сіг - є ) то<і п . відносно сі отримаємо

,    (Ь - є і / ■ 
а - ■/. ! тоа « і,

Для / повідомлень  отримаємо і порівнянь з /ті невідомими (4), тобто к,,к_;,...,к. і сі. За аналогією з порівняння .у -~ (к- сіг ітосіл длл ЕС88 маємо (5). тобто отримаємо теж і порівнянь з і-гі невідомими £_РА:,...„А- І сі.

 є. )/      , і .    (А;-л,)/      ,

/ тосі п.         : а-- ' /  тосі я.

(4.5)

,     { к5 ■- (ї ) /        , ■   .     (X:. -і  ї/        ,

сі ^:-- '   ■ ■      ' ■■/   тоои.         ;<.?--■■      ■ /  тосЬг

Для алгоритму  Шнора використовуючи порівняння л = (сіг +- к) тосі п, також отримуємо і порівггянь з і + \ невідомими:

,    і « - к, )/      _л 
а - ■ у _ тоа п.

■:... , (6)

\ сі ■■-  " -     '' ■'/_ тосї/ї.

Аналогічно   використовуючи   алгоритми  ЕС<Ш8А   і  ЕСКСОЗ.Л,   ^можна   отримати відповідно системами порівнянь 7-го порядку з /- 1 невідомими:

\'і-^/ ,тодл,       \<І =**/■!.    . -,то(Іи,

(7. 8) , тосі п.        \сі -   '/ _,        . тод п.

Таким   ^Іоиом,   для   повного  розкриття,   тобто   визначення  секретного  ключа  за   ; отриманим Щї на ключі <■/, необхідно розв'язувати систему ; -го порядкл з / + ] невідомими.

У випадку, якщо повідомлення Д/ є зашифрованим, то невідомими с значення хеш-функцій  є,,;?,,..., <?. В результаті для ЕС-КСП8А і ЕСТО8А отримаємо систему рівнянь і

2і - } .невідомими, тому шифрування підписаних повідомлень дозволяє суттєво підвищити стійкість. Але цієї властивості не мають алгоритми Шнора і ЕС38.

Відмітною особливістю  ІЩ ЕО-КСОЗА є введення додаткового параметра 2 _л. В якості додаткового парамегра можуть використовуватись час, ідентифікатори, паролі, псевдовипадкові дані і др. Причому внаслідок стійкості ЕС-КСОЗА до екзистенціальної' атаки підробити додаткову шформацію для застарілого ЦП практично неможливо.