Nghiên cứu giải pháp xây dựng hạ tầng cơ sở khóa công khai (PKI) an toàn phục vụ xác thực và bảo mật cho các cơ quan đảng, nhà nước, an ninh, quốc phòng (tt)

Trong hệ thống PKI dựa trên mật mã Elliptic, chữ ký số của CA được tạo lập bằng cách sử dụng lược đồ chữ ký số đường cong Elliptic ECDSA.. Vì vậy, Luận án đặt vấn đề cần phải nghiên cứu,

BỘ GIÁO DỤC VÀ ĐÀO TẠO BỘ QUỐC PHÒNG

VIỆN KHOA HỌC VÀ CÔNG NGHỆ QUÂN SỰ

Nguyễn Hữu Hùng

NGHIÊN CỨU GIẢI PHÁP XÂY DỰNG

HẠ TẦNG CƠ SỞ KHÓA CÔNG KHAI (PKI) AN TOÀN PHỤC VỤ XÁC THỰC VÀ BẢO MẬT CHO CÁC

CƠ QUAN ĐẢNG, NHÀ NƯỚC, AN NINH, QUỐC PHÒNG

Chuyên ngành: Cơ sở toán học cho tin học

Mã số: 62 46 01 10

TÓM TẮT LUẬN ÁN TIẾN SĨ TOÁN HỌC

Hà Nội - 2017

VIỆN KHOA HỌC VÀ CÔNG NGHỆ QUÂN SỰ

BỘ QUỐC PHÒNG

Người hướng dẫn khoa học:

1 Tiến sĩ Trần Văn Sơn

2 Tiến sĩ Phạm Việt Trung

Phản biện 1: GS TS Nguyễn Bình

Học viện Công nghệ Bưu chính Viễn thông

Phản biện 2: PGS TS Lê Mỹ Tú

Học viện Kỹ thuật Mật mã

Phản biện 3: PGS TS Bùi Thu Lâm

Học viện Kỹ thuật quân sự

Luận án sẽ được bảo vệ trước Hội đồng chấm luận án cấp Viện họp tại Viện Khoa học và Công nghệ quân sự vào hồi giờ ngày…… tháng năm 2017

Có thể tìm hiểu Luận án tại:

- Thư viện Viện Khoa học và Công nghệ quân sự

- Thư viện Quốc gia Việt Nam

MỞ ĐẦU

1 Tính cấp thiết

Hạ tầng cơ sở khóa công khai (PKI) được coi là giải pháp tốt nhất hiện nay để đảm bảo xác thực, bảo mật các giao dịch điện tử Mỗi thực thể tham gia vào hệ thống PKI sở hữu một khóa bí mật/công khai Khóa công khai của các thực thể kết hợp với danh tính của chủ sở hữu và các thông tin liên quan được Cơ quan chứng thực (CA) chứng nhận thông qua chữ ký số sử dụng khóa bí mật của CA Trong hệ thống PKI dựa trên mật

mã Elliptic, chữ ký số của CA được tạo lập bằng cách sử dụng lược đồ chữ ký số đường cong Elliptic (ECDSA)

Việc đảm bảo an toàn cho hệ thống PKI là hết sức cần thiết Việc nghiên cứu để đảm bảo an toàn cho hệ thống PKI có ý nghĩa to lớn về mặt khoa học cũng như thực tiễn Đối với hệ thống PKI phục vụ các cơ quan Đảng, Nhà nước, Quốc phòng, An ninh (PKI Chính phủ) lại càng phải là

ưu tiên hàng đầu Vì vậy, Luận án đặt vấn đề cần phải nghiên cứu, phân tích, đề xuất mô hình PKI Chính phủ, các thành phần đảm bảo an toàn,

an ninh và an toàn mật mã; đặc biệt thành phần cốt lõi của hệ thống PKI dựa trên mật mã Elliptic là lược đồ chữ ký số ECDSA và an toàn cho khóa

bí mật

2 Đối tượng và phạm vi nghiên cứu

Đối tượng và phạm vi nghiên cứu của Luận án là hệ thống PKI dựa trên mật mã Elliptic Các vấn đề an toàn mật mã và đảm bảo an toàn mật

mã cho hệ thống PKI dựa trên mật mã Elliptic

4 Phương pháp nghiên cứu

Nghiên cứu các công trình, tài liệu trong và ngoài nước về hệ thống PKI nói chung và các vấn đề đảm bảo an toàn cho PKI Nghiên cứu mật

mã Elliptic, phân tích, đánh giá an toàn lược đồ chữ ký số ECDSA, khóa

bí mật, và an toàn cài đặt thuật toán ECDSA đối với các tấn công trên kênh thứ cấp để đề xuất giải pháp đảm bảo an toàn cho các vấn đề trên

5 Ý nghĩa khoa học

Luận án đã đề xuất lược đồ chữ ký ECDSA mới và chứng minh lược

đồ đề xuất là an toàn Đề xuất tiêu chuẩn an toàn cho khóa bí mật sử dụng trong lược đồ chữ ký số ECDSA và phép nhân điểm an toàn trong cài đặt lược đồ ECDSA Đề xuất mô hình triển khai, các thành phần đảm bảo an toàn, an ninh cho hệ thống PKI phục vụ các cơ quan Đảng, Nhà nước, Quốc phòng, An ninh Những đề xuất này sẽ mở ra những hướng nghiên cứu mới về đảm bảo an toàn mật mã cho hệ thống PKI dựa trên mật mã Elliptic

6 Ý nghĩa thực tiễn

Đáp ứng nhu cầu triển khai hệ thống PKI phục vụ xác thực, bảo mật cho các cơ quan Đảng, Nhà nước, Quốc phòng, An ninh Góp phần thúc đẩy ứng dụng CNTT và phát triển Chính phủ điện tử tại Việt nam

7 Bố cục của Luận án

Luận án gồm 03 Chương với các phần mở đầu, kết luận, danh mục các công trình, bài báo khoa học đã được công bố của tác giả, tài liệu tham khảo và phụ lục thực nghiệm kèm theo

Chương 1: Tổng quan về hệ thống PKI dựa trên mật mã Elliptic

Trình bày tổng quan về hệ thống PKI, một số khái niệm cơ bản về mật mã Elliptic, lược đồ chữ ký số ECDSA Các vấn đề an toàn cho hệ thống PKI, an toàn lược đồ ECDSA, an toàn cho khóa bí mật và an toàn

trong phép nhân điểm trong cài đặt thuật toán ECDSA

Chương 2: Nâng cao độ an toàn cho hệ thống PKI dựa trên mật

mã Elliptic

Trình bày các kết quả nghiên cứu mới của Luận án đó là đề xuất lược

đồ chữ ký số ECDSA-IV (lược đồ chữ ký số mới) và đề xuất tiêu chuẩn

an toàn cho khóa bí mật dài hạn và khóa bí mật tức thì sử dụng trong lược

đồ chữ ký số ECDSA; tiêu chuẩn này cũng áp dụng cho lược đồ đề xuất ECDSA-IV Để làm cơ sở đề xuất những kết quả nghiên cứu mới, trong Chương này, Luận án sử dụng phương pháp phân tích, tổng hợp các công trình trên thế giới về an toàn cho lược đồ chữ ký số ECDSA, các hạn chế, tồn tại của lược đồ chữ ký số ECDSA, tấn công lên khóa bí mật dài hạn

và khóa bí mật tức thì sử dụng trong lược đồ chữ ký số ECDSA

Chương 3: Đề xuất mô hình PKI và các thành phần mật mã dựa trên mật mã Elliptic

Trình bày các nội dung liên quan đến đề xuất một mô hình tổng thể

hệ thống PKI Chính phủ Chương này cũng trình bày một kết quả nghiên cứu mới của Luận án về một thuật toán nhân điểm để nâng cao độ an toàn trong cài đặt thuật toán chữ ký số ECDSA, các thành phần đảm bảo an toàn, an ninh mạng cho hệ thống PKI, các thành phần mật mã và đưa ra một số đánh giá thực nghiệm đối với các kết quả nghiên cứu mới của

Luận án

CHƯƠNG 1 TỔNG QUAN VỀ HỆ THỐNG PKI DỰA TRÊN

MẬT MÃ ELLIPTIC

Chương này trình bày tổng quan về hệ thống PKI, một số khái niệm

cơ bản về mật mã Elliptic, lược đồ chữ ký số ECDSA Tổng hợp các nghiên cứu trong và ngoài nước về các vấn đề an toàn hệ thống PKI, an toàn lược đồ chữ ký số ECDSA và các tham số khóa bí mật Phân tích, chỉ ra các vấn đề cần đảm bảo an toàn cho hệ thống PKI nói chung, các vấn đề còn tồn tại của lược đồ chữ ký số ECDSA và các tham số khóa bí mật để đề xuất giải quyết trong Chương 2 và Chương 3

1.2.1 Một số định nghĩa toán học về đường cong Elliptic

1.2.2 Nhóm các điểm đường cong Elliptic trên trường nguyên tố 1.2.3 Các tiêu chuẩn an toàn của hệ mật Elliptic

1.2.4 Các tham số miền và cặp khóa của hệ mật Elliptic

1.1.4 Lược đồ chữ ký số ECDSA

1.1.5 Lược đồ chữ ký số của Nga

1.3 An toàn cho hệ thống PKI dựa trên mật mã Elliptic

1.3.1 An toàn PKI nói chung

a) An toàn khóa bí mật của CA

b) An toàn khóa bí mật của người dùng

c) An toàn của máy tính

d) Vấn đề lộ khóa bí mật và khôi phục hệ thống

e) Vấn đề thẩm quyền CA và an toàn tin cậy trong PKI

f) Vấn đề kết hợp CA với RA

1.3.2 An toàn lược đồ chữ ký số ECDSA

- Lỗi 1 “lỗi chữ ký kép”: Từ hai thông điệp 𝑚1 và 𝑚2 bất kỳ chúng

ta luôn sinh ra được một cặp khóa bí mật và khóa công khai sao cho hai thông điệp này cùng nhận một chữ ký chung

- Lỗi 2: Với chữ ký (𝑟, 𝑠) là chữ ký hợp lệ trên thông điệp 𝑚, chúng

ta dễ dàng suy ra (𝑟, −𝑠) là chữ ký của thông điệp này

1.3.3 An toàn liên quan đến tham số và khóa bí mật ECDSA

a) Tấn công khi sử dụng lặp lại khóa bí mật của mỗi thông điệp b) Tấn công của Vaudenay liên quan đến tham số miền của hệ mật Elliptic

c) Vấn đề lựa chọn khóa cho việc sao chép chữ ký số

d) Các tấn công liên quan đến việc sinh các khóa bí mật dài hạn và tức thì của DSA và ECDSA

Trước đây, việc thám mã khóa bí mật của hệ mật RSA sử dụng công

cụ rút gọn lưới đã được công bố với nhiều phiên bản cải tiến khác nhau Gần đây, bằng cách tiếp cận tương tự, Dimitrios Poulakis đã đưa ra những

kết quả tấn công liên quan đến việc sinh các khóa bí mật dài hạn d và tức thì k của ECDSA Giả sử rằng một chữ ký được sử dụng và mỗi số trong

ít nhất một trong các tập {𝑑, 𝑘−1 𝑚𝑜𝑑 𝑝}, {𝑘, 𝑑−1 𝑚𝑜𝑑 𝑝},{𝑘−1, 𝑑−1 𝑚𝑜𝑑 𝑝}là nhỏ hơn hoặc lớn hơn một cận đã biết nào đó, khi

đó khóa bí mật dài hạn d và khóa bí mật tức thì k có thể được tìm ra Hơn nữa, nếu hai chữ ký với các khóa tức thì k1, k2 được sử dụng và ít nhất có một số trong các tập các số {𝑘1, 𝑘2−1 𝑚𝑜𝑑 𝑝}, {𝑘2, 𝑘1−1 𝑚𝑜𝑑 𝑝},{𝑘1−1 , 𝑘2−1 𝑚𝑜𝑑 𝑝} nhỏ hơn hoặc lớn hơn một cận đã biết nào đó thì k1, k2

và cả d sẽ được tìm ra

1.3.4 An toàn của phép nhân điểm trong thuật toán ECDSA

Phép nhân điểm là một thủ tục thường xuyên phải thực hiện trong mật mã Elliptic Nó đặc biệt nhạy cảm khi thực hiện phép nhân giữa khóa

bí mật với một điểm công khai trên đường cong Elliptic Phép nhân điểm

trong thuật toán chữ ký số ECDSA có dạng: 𝑄 = 𝑑𝑃

Trong đó, P là một điểm công khai trên đường cong Elliptic và d là

khóa bí mật Các cuộc tấn công kênh kề dựa trên việc tiêu thụ năng lượng

và thời gian như đã chỉ ra bởi độ phức tạp tính toán cần thiết để thực hiện phép nhân điểm khi cài đặt thuật toán chữ ký số ECDSA Nếu sử dụng các phép nhân điểm thông thường, phương pháp nhị phân chẳng hạn, các tấn công phân tích năng lượng sẽ phân biệt được các bít 0 và 1 của khóa

bí mật d khi thực hiện phép nhân điểm dẫn đến khả năng tìm ra khóa bí mật d

sử dụng trong lược đồ chữ ký số ECDSA

Từ tính chất và tầm quan trọng trong đảm bảo an toàn cho các giao dịch điện tử trong lãnh đạo, chỉ đạo, điều hành nên vấn đề an toàn đặt ra

ở Chương này đối với hệ thống PKI phục vụ các cơ quan Đảng, Nhà nước, Quốc phòng, An ninh là ưu tiên hàng đầu Các vấn đề an toàn đặt ra ở đây

sẽ được giải quyết trong Chương 2 và Chương 3 của Luận án

CHƯƠNG 2 NÂNG CAO ĐỘ AN TOÀN CHO HỆ THỐNG

PKI DỰA TRÊN MẬT MÃ ELLIPTIC

Trong Chương này, Luận án sẽ đề xuất một lược đồ chữ ký số là một biến thể của thuật toán chữ ký số ECDSA Lược đồ đề xuất sẽ được chứng minh là an toàn trong mô hình nhóm tổng quát (GGM), an toàn trước tấn công không sử dụng thông điệp (NMA) trong mô hình bộ tiên tri ngẫu nhiên (ROM) và lược đồ đề xuất khắc phục được lỗi “chữ ký kép” của ECDSA Liên quan đến an toàn cho khóa bí mật, Luận án đề xuất tiêu

chuẩn an toàn cho khóa bí mật dài hạn d và khóa bí mật tức thì k của lược

đồ chữ ký số ECDSA Các kết quả nghiên cứu của Chương này liên quan đến các công trình công bố số [1], [6], [7] của Nghiên cứu sinh

2.1 Đề xuất một lược đồ chữ ký số nâng cao độ an toàn cho CA

2.1.1 Một số khái niệm an toàn của lược đồ chữ ký số

a) Mô hình nhóm tổng quát GGM

b) Mô hình bộ tiên tri ngẫu nhiên ROM

c) Tấn công không sử dụng thông điệp NMA

d) Tấn công lựa chọn thông điệp thích nghi CMA

2.1.2 Mô hình chữ ký số dựa trên bài toán logarit rời rạc (DLP)

Một lược đồ chữ ký tổng quát dựa trên bài toán logarit rời rạc được xây dựng dựa trên các thành phần sau:

 Một nhóm rời rạc 〈𝐺〉 cấp 𝑞 mà ở đó việc tính logarit rời rạc là khó

 Tập các khóa bí mật có thể tồn tại là 𝒱 ⊂ ℤ𝑞 Nếu khóa bí mật của người ký là 𝑣 ∈ 𝒱, khóa công khai tương ứng là phần tử 𝑉 = 𝐺𝑣 Phụ thuộc vào kiểu chữ ký số, ta có thể cần 𝒱 = ℤ𝑞 hoặc 𝒱 = ℤ𝑞× Tất cả các nhóm sẽ được coi là các nhóm nhân, ngay cả trong trường hợp của các đường cong Elliptic

 Một phép chiếu: là một ánh xạ 𝜌: 〈𝐺〉 → ℛ

 Một hàm băm, là một hàm 𝐻: ℳ × ℛ → ℋ mà ở đó ℳ là tập tất

cả các thông điệp có thể tồn tại

 Một kiểu chữ ký số mà xác định các công thức tường minh cho quá trình thực hiện chữ ký và quá trình xác minh Kiểu chữ ký số định

nghĩa các hàm sau đây: Hàm 𝜙 và 𝜓 : ℋ × ℛ × 𝑆 → ℤ𝑞; hàm 𝜎 : ℐ → 𝑆,

trong đó ℐ ⊂ ℋ × ℛ × 𝒱 × 𝒦 với 𝑆 = ℤ𝑞 hoặc ℤ𝑞× và 𝒦 = ℤ𝑞 hoặc ℤ𝑞× Lược đồ chữ ký số thực hiện như sau:

 Quá trình ký: Để ký thông điệp m người ta lấy một giá trị 𝑘 ngẫu nhiên thuộc 𝒦, tính 𝑅 = 𝐺𝑘, 𝑟 = 𝜌(𝑅), ℎ = 𝐻(𝑚, 𝑟) đến khi

(ℎ, 𝑟, 𝑣, 𝑘) ∈ ℐ và 𝑠 = 𝜎(ℎ, 𝑟, 𝑣, 𝑘) Thông điệp được ký là (𝑚, 𝑟, 𝑠)

 Quá trình xác minh chữ ký: Việc xác minh (𝑚, 𝑟, 𝑠) ∈ ℳ × ℛ ×

S bằng việc tính toán ℎ = 𝐻(𝑚, 𝑟), 𝛼 = 𝜙(ℎ, 𝑟, 𝑠), 𝛽 = 𝜓(ℎ, 𝑟, 𝑠), 𝑅 =

𝐺𝛼𝑉𝛽 và kiểm tra nếu 𝑅 ∈ 𝐺𝒦 và nếu 𝑟 =? 𝜌(𝑅)

2.1.3 Hàm băm của một lược đồ chữ ký số

Đối với lược đồ chữ ký số, hàm băm 𝐻: ℳ × ℛ → ℋ phải là dễ tính

toán, kháng va chạm, có đầu ra ngẫu nhiên đều với 𝑚 ∈𝑅 ℳ Khác với

hàm băm thông thường, hàm băm của một lược đồ chữ ký số còn có một

số tính chất sau

Định nghĩa 2.1: Hàm băm loại I của lược đồ chữ ký số

Hàm băm 𝐻 của một lược đồ chữ ký số được gọi là Loại I nếu ∀ 𝑚 ∈ ℳ; 𝑟, 𝑟 ′ ∈ ℛ: 𝐻(𝑚, 𝑟) = 𝐻(𝑚, 𝑟 ′ )

Định nghĩa 2.2: Hàm băm loại II của lược đồ chữ ký số

Hàm băm 𝐻 của một lược đồ chữ ký số được gọi là Loại II nếu nó không phải là hàm băm loại I

Định nghĩa 2.3: Kháng va chạm cộng

Hàm băm 𝐻 của một lược đồ chữ ký với ℋ ⊂ ℤ𝑞 và ℛ ⊂ ℤ𝑞 được

gọi là kháng va chạm cộng nếu cho trước 𝑟, 𝑟′ ngẫu nhiên thì khó để tìm được 𝑚, 𝑚 ′ sao cho 𝐻(𝑚, 𝑟) + 𝑟 = 𝐻(𝑚′, 𝑟′) + 𝑟′

Định nghĩa 2.4: Kháng va chạm chia

Hàm băm 𝐻 của một lược đồ chữ ký với ℋ ⊂ ℤ𝑞 và ℛ ⊂ ℤ𝑞× được gọi là kháng va chạm chia nếu cho trước 𝑟, 𝑟′ ngẫu nhiên thì khó để tìm được 𝑚, 𝑚 ′ sao cho 𝐻(𝑚, 𝑟)/𝑟 = 𝐻(𝑚′, 𝑟′)/𝑟′

Định nghĩa 2.5: Hàm băm như một bộ tiên tri ngẫu nhiên

Hàm băm H của một lược đồ chữ ký được coi như một bộ tiên tri ngẫu nhiên nếu hiểu biết về cặp đầu vào - đầu ra không làm hạn chế đáng

kể không gian ảnh có thể có cho một đầu vào khác

2.1.4 Phép chiếu của lược đồ chữ ký số

Phép chiếu 𝜌: 〈𝐺〉 → ℛ phải là dễ tính toán bởi người ký, và người xác minh sẽ có khả năng để kiểm tra 𝑟 =? 𝜌(𝑅) với 𝑅 ∈ 〈𝐺〉 và 𝑟 ∈ ℛ

Nếu các phần tử của 〈𝐺〉 là không phân biệt được với các phần tử của một tập lớn hơn, thì 𝜌 được định nghĩa trên toàn bộ tập lớn hơn đó Phép chiếu

có thể có một số tính chất sau đây

Định nghĩa 2.6: 𝜀 −hầu đều

Ánh xạ 𝜌 được gọi là 𝜀 −hầu đều nếu ∀𝑟 ∈ ℛ : | 𝑃𝑟

𝑅∈〈𝐺〉[𝜌(𝑅) = 𝑟] −

1

𝑞| ≤ 𝜀, với 𝑞 là số phần tử của 〈𝐺〉 Khi 𝜀 là đại lượng không đáng kể

theo 𝑙𝑜𝑔( 𝑞) thì 𝜌 được gọi là hầu đều Nói cách khác, hàm 𝜌 là hầu đều

nếu xác suất phân bố của từng phần tử thuộc tập đầu ra là lệch không đáng kể so với phân bố đều

Định nghĩa 2.7: 𝜀 −hầu khả nghịch

Ánh xạ 𝜌 là 𝜀 −hầu khả nghịch nếu tồn tại một thuật toán hiệu quả

để tính hàm ngược 𝜌−1: ℛ → 〈𝐺〉 sao cho:

- ∀𝑅 ∈ 𝜌−1(𝑟): 𝜌(𝑅) = 𝑟

- Ít nhất một tỷ lệ 𝜀 của các tập 𝜌−1(𝑟) là khác rỗng

- Các phần tử được lấy ngẫu nhiên từ các tập 𝜌−1(𝑟) là không

phân biệt được với các phân tử được lấy ngẫu nhiên từ 〈 𝐺〉

Định nghĩa 2.8: 𝑙 + 1 −kháng va chạm

Phép chiếu 𝜌 là 𝑙 + 1 - kháng va chạm nếu với 𝑙 ≥ 1 thì việc tìm

𝑅0, … , 𝑅𝑙 sao cho 𝜌(𝑅0) = 𝜌(𝑅1) = ⋯ = 𝜌(𝑅𝑙) là khó

Định nghĩa 2.9: phép chiếu như là một bộ tiên tri ngẫu nhiên

Phép chiếu 𝜌 là phù hợp như một bộ tiên tri ngẫu nhiên nếu hiểu biết

về các cặp đầu vào-đầu ra không hạn chế đáng kể không gian ảnh có thể

có cho một đầu vào khác Một hàm hầu khả nghịch có thể là phù hợp như một bộ tiên tri ngẫu nhiên

2.1.5 Một số tính chất và các kiểu chữ ký số

Một kiểu chữ ký số được mô tả bởi các tập 𝒱 ⊂ ℤ𝑞, 𝑆 ⊂ ℤ𝑞 và ℛ, với hai hàm 𝜙, 𝜓 : ℋ × ℛ × 𝑆 → ℤ𝑞 và một tập ℐ ⊂ ℋ × ℛ × 𝒱 × 𝒦 Tuy nhiên, có thể sử dụng bổ sung thêm một số hàm khác như sau: Các hàm bổ sung: Gọi 𝒜 là tập các đầu ra có thể có đối với 𝜙 và ℬ

là tập các đầu ra có thể có đối với 𝜓

Năm hàm bổ sung có thể được định nghĩa như sau:

Các tính chất bổ sung cho độ an toàn với hàm lý tưởng 𝝆:

Tính chất (p1): Với ( ℎ, 𝑟, 𝑣) cố định và 𝑘 đều sao cho:

( ℎ, 𝑟, 𝑣, 𝑘) ∈ ℐ, giá trị 𝜎(ℎ, 𝑟, 𝑣, 𝑘) là đều trong 𝑆

Tính chất (p2): Với ℎ ∈ ℋ và 𝑣 ∈ 𝒱 cố định và giá trị ngẫu nhiên

đều 𝑠 ∈ 𝑆 và 𝑟 ∈ ℛ thì 𝑘 = 𝜙(ℎ, 𝑟, 𝑠) + 𝑣 ⋅ 𝜓(ℎ, 𝑟, 𝑠) là ngẫu nhiên đều trong 𝒦

Tính chất (p3): Cho trước 𝑟 và 𝑟 ′ ngẫu nhiên, việc tìm ( 𝛼, 𝛽) và các

thông điệp 𝑚 và 𝑚 ′ nào đó sao cho : 𝜆ℎ(𝛼, 𝛽, 𝑟) = 𝐻(𝑚, 𝑟) và

𝜆ℎ(𝛼, 𝛽, 𝑟′) = 𝐻(𝑚′, 𝑟′ ) là khó

Các tính chất bổ sung cho độ an toàn với hàm lý tưởng 𝑯:

Tính chất (h1): Nếu ℎ = 𝜆ℎ(𝛼, 𝛽, 𝑟) và 𝑠 = 𝜆𝑠(𝛼, 𝛽, 𝑟) thì 𝛼 = 𝜙(ℎ, 𝑟, 𝑠) và 𝛽 = 𝜓(ℎ, 𝑟, 𝑠)