Научная литература
booksshare.net -> Добавить материал -> Криптография -> Венбо Мао -> "Современная криптография" -> 254

Современная криптография - Венбо Мао

Венбо Мао Современная криптография. Под редакцией Клюшиной Д.А. — М. : Издательский дом Вильямс, 2005. — 768 c.
ISBN 5-8459-0847-7
Скачать (прямая ссылка): sovremennaya_kriptografiya.djvu
Предыдущая << 1 .. 248 249 250 251 252 253 < 254 > 255 256 257 258 259 260 .. 311 >> Следующая

10. Представить число ц в виде s \\ со. П. М || г G(w)©s.
12. Ifw ^Я(М || г), отказ.
13. return М.
3. 4. 5. 6. 7. 8.
16.5.2.1 Схема RSA-TBOS
Схема RSA-TBOS, предложенная Мэлоун-Ли и Мао [182], использует схему заполнения PSS-R (раздел 16.4.4). Эта схема зашифрованной подписи представлена в алгоритме 16.4.
Выполнение шестого этапа при создании зашифрованной подписи гарантирует условие d < Nb- Если число d сразу не удовлетворяет этому условию, значит,
Глава 16. Сильная и доказуемая стойкость схем цифровой подписи 629
Na > d > Nb- Поскольку числа Na и Nb состоят из к бит, число d также состоит из к бит, а значит, присваивание d <— d — 2ft_1 эквивалентно удалению старшего бита из числа d. Отсюда следует условие с' < Nb-
Обратите внимание на то, что этот шаг вынуждает включить в процедуру расшифровки дополнительный этап. В частности, возможно, придется дважды выполнить операцию deA (mod А/а) (два числа с' могут отличаться на величину 2*-1). В качестве альтернативы можно создать схему, в которой на этапе шифрования используется метод проб и ошибок. В этом случае необходимо повторить первые пять этапов шифрования с разными числами г, пока не выполнится условие с' < Nb-
Схема RSA-TBOS легко обеспечивает невозможность отрицания авторства. Получатель зашифрованной подписи выполняет процедуру расшифровки до второго этапа, на котором число с' может быть передано третьей стороне для верификации.
Несмотря на то что схема шифрования подписи RSA-TBOS обладает многими преимуществами, необходимо отметить один недостаток, вытекающий из применения схемы заполнения RSA-PSS-R: она имеет довольно узкую полосу пропускания для восстановления сообщений (см. раздел 16.4.4.2).
16.5.2.2 Доказательство стойкости
Мэлоун-Ли и Мао предложили редукционное доказательство сильной стойкости схемы зашифрованной подписи TBOS [182]. К свойствам сильной стойкости относятся стойкость шифрования к атаке IND-CCA2 и невозможность подделать подпись с помощью атаки на основе адаптивно подобранных сообщений.
Это доказательство аналогично доказательству стойкости схемы RSA-OAEP, приведенному в разделе 15.2. Заинтересованный читатель найдет его изложение в работе [182].
Вместо формального изложения доказательства рассмотрим интуитивные рассуждения, обосновывающие стойкость зашифрованной подписи. Стойкость к атаке IND-CCA2 вытекает из стойкости схемы шифрования, основанной на заполнении с помощью алгоритма RSA. Следовательно, достаточно обосновать невозможность подделать подпись в ходе атаки на основе адаптивно подобранных сообщений. Для этого необходимо вернуться к схеме заполнения ОАЕР.
Напомним редукционное доказательство стойкости схемы RSA-OAEP к атаке IND-CCA2 (раздел 15.2). Если Злоумышленнику неизвестна подлинная процедура шифрования, вероятность создать корректный зашифрованный текст пренебрежимо мала, несмотря на алгоритм, находящийся в распоряжении Злоумышленника, и адаптивный характер процедуры создания зашифрованных текстов.
Этот факт можно механически преобразовать в доказательство неуязвимости подписи в рандомизированной схеме заполнения: вероятность того, что Злоумышленник может подделать корректную пару сообщение-подпись, не зная процедуры
630
Часть V. Методы формального доказательства стойкости
подписания (т.е. не зная правильного показателя степени), пренебрежимо мала, даже если атака основана на адаптивно подобранных сообщениях.
Разумеется, это доказательство носит неформальный характер, поскольку в нем не используется "сведение к противоречию". Формальное редукционное доказательство изложено в работе [182].
16.6 Резюме
В главе введено понятие сильной стойкости схем цифровой подписи: невозможность подделки в ходе атаки на основе адаптивно подобранных сообщений. Эта атака является аналогом атаки IND-CCA2 на схемы шифрования с открытым ключом. Основная идея этих атак заключается в том, что Злоумышленник проходит курс обучения криптоанализу. Криптографическая система обладает сильной стойкостью к атаке, если Злоумышленник неоднократно прошел курс обучения криптоанализу (при условии, что сложность его алгоритма и количество тренировок представляют собой полиномиально ограниченные величины).
Затем мы рассмотрели два важных семейства прикладных схем цифровой подписи — тройные схемы Эль-Гамаля и схемы рандомизированного заполнения с помощью однонаправленных перестановок с секретом, например, функций RSA и Рабина.
После этого приведено формальное доказательство сильной стойкости схем цифровой подписи из обоих семейств.
При доказательстве сильной стойкости схем из первого семейства мы изучили метод редукции, использующий модель случайного оракула, в основе которого лежит предположение, что вероятность правильных "ветвящихся ответов на вопросы фальсификатора" не является пренебрежимо малой величиной. Иначе говоря, множеству вопросов, поступающих от фальсификатора, могут соответствовать два множества совершенно разных ответов, имеющих корректное распределение (равномерное). Поскольку фальсификатором, задающим вопросы, является полиномиальный алгоритм, его интересует только корректность распределения, а не содержание ответов. Следовательно, несмотря на то, что на один и тот же вопрос поступают разные ответы, ветвящийся фальсификатор можно использовать для редукции атаки к решению трудноразрешимой задачи — вычислению дискретного логарифма. В качестве альтернативного метода доказательства приведена модель "тяжелых строк". Несмотря на то что оба метода являются строго формальными, редукционные алгоритмы не очень эффективны. Следовательно, доказательство имеет смысл только при больших значениях параметров безопасности.
Предыдущая << 1 .. 248 249 250 251 252 253 < 254 > 255 256 257 258 259 260 .. 311 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed