Bài viết đề xuất lược đồ chữ ký số R-EdDSA, là một biến thể ngẫu nhiên hóa của lược đồ EdDSA. Với giả thiết hàm băm H được mô hình hóa như một bộ tiên tri ngẫu nhiên và bài toán khó logarit rời rạc trên đường cong elliptic.
Cơng nghệ thơng tin & Cơ sở tốn học cho tin học MỘT BIẾN THỂ AN TOÀN CHỨNG MINH ĐƯỢC CỦA LƯỢC ĐỒ CHỮ KÝ SỐ EdDSA Đinh Tiến Thành1*, Võ Tùng Linh2 Tóm tắt: Bài báo đề xuất lược đồ chữ ký số R-EdDSA, biến thể ngẫu nhiên hóa lược đồ EdDSA Với giả thiết hàm băm H mơ hình hóa tiên tri ngẫu nhiên tốn khó logarit rời rạc đường cong elliptic Bài báo chứng minh rằng, lược đồ chữ ký số R-EdDSA bị giả mạo tồn công lựa chọn thông điệp thích nghi Từ khóa: Lược đồ chữ ký số EdDSA; Lược đồ R-EdDSA; Phép biến đổi Fiat-Shamir; An toàn chứng minh được; Đường cong Edwards xoắn GIỚI THIỆU Một phương pháp hiệu để xây dựng lược đồ chữ ký số an toàn sử dụng kỹ thuật biến đổi từ lược đồ định danh có tính chất mật mã tốt Phương pháp giới thiệu lần đầu Amos Fiat Adi Shamir [3] gọi phép biến đổi Fiat-Shamir, dần trở thành phương pháp phổ biến, công cụ để nhận lược đồ chữ ký số an tồn Ý tưởng đằng sau phép biến đổi Fiat-Shamir người chứng minh lược đồ định danh chạy lược đồ để sinh giá trị thách thức cách áp dụng hàm băm lên thơng điệp đầu tiên, sau tính giá trị phúc đáp thích hợp Nếu hàm băm mơ hình hóa tiên tri ngẫu nhiên thách thức sinh hàm băm “ngẫu nhiên thực sự”, đó, khiến kẻ cơng (khơng biết giá trị bí mật) khó khăn việc tìm kiếm ghi chấp nhận muốn mạo danh người chứng minh lần thực thi trung thực lược đồ Bằng việc đưa thông điệp vào đầu vào hàm băm, ghi chấp nhận góp phần tạo nên chữ ký thơng điệp Ta cụ thể hóa ý tưởng phần sau Lược đồ chữ ký EdDSA giới thiệu lần đầu vào năm 2012 tài liệu [1] xây dựng đường cong ký hiệu Curve25519, đường cong Edwards xoắn với a 1, d 121665 / 121666 định nghĩa đường hữu hạn q với q 2255 19 , biến thể lược đồ chữ ký số Schnorr Sau đó, tác giả cơng bố tài liệu [2], mở rộng việc mô tả lược đồ EdDSA cho đường cong elliptic dạng Edwards xoắn với tham số hợp lý Đến năm 2017, lược đồ chữ ký số EdDSA ban hành chuẩn Internet [4] Mặc dù lược đồ chữ ký số EdDSA, theo [4] đánh giá lược đồ chữ ký số an tồn, có hiệu suất thực cao nhiều tảng khác nhau, có lợi kháng lại công kênh kề… Tuy nhiên, chưa có chứng minh lý thuyết độ an tồn chứng minh lược đồ chữ ký số EdDSA Với mục tiêu xây dựng lược đồ chữ ký số mà giữ nguyên “hầu hết” ưu điểm lược đồ EdDSA, đồng thời độ an tồn chứng minh được, báo trình bày biến thể lược đồ EdDSA cách ngẫu nhiên hóa qua trình sinh chữ ký (lược đồ chữ ký số R-EdDSA) tính an tồn chứng minh lược đồ biến thể mơ hình tiên tri ngẫu nhiên CƠ SỞ TOÁN HỌC 2.1 Lược đồ định danh Một lược đồ định danh định nghĩa cách hình thức sau: Định nghĩa ([5, Định nghĩa 8.1]) Một lược đồ định danh bao gồm ba thuật toán thời gian đa thức, xác suất (Gen, P, V) cho: 182 Đ T Thành, V T Linh, “Một biến thể an toàn chứng minh … lược đồ chữ ký số EdDSA.” Nghiên cứu khoa học cơng nghệ Thuật tốn sinh khóa ngẫu nhiên Gen nhận đầu vào tham số san toàn trả cặp khóa (pk, sk), đó, pk gọi khóa cơng khai sk gọi khóa bí mật P V thuật toán tương tác với Thuật toán chứng minh P nhận đầu vào khóa bí mật sk thuật toán xác minh V nhận đầu vào khóa cơng khai pk Kết thúc q trình tương tác, V đưa bit b’ với b ' có nghĩa “chấp nhận” b ' có nghĩa “bác bỏ” Các thuật tốn (Gen, P, V) phải thỏa mãn yêu cầu là, với với đầu (pk, sk) Gen(1 ) : Pr[ P ( sk ),V ( pk ) 1] Cặp thuật toán (P, V) với hoạt động tương tác chúng gọi giao thức định danh Rõ ràng, lược đồ định danh phương thức để người tham gia P (gọi người chứng minh) thuyết phục người tham gia khác, ký hiệu V (gọi người xác minh), P khẳng định Một lược đồ định danh gọi an tồn kháng lại cơng bị động kẻ cơng khó mạo danh P kể có khả nghe trộm nhiều lần thực thi trình tương tác P người xác minh trung thực V Trước định nghĩa thức khái niệm an tồn này, giới thiệu tiên tri Transsk,pk(.) mà không cần đầu vào, trả ghi (tức tất thông điệp gửi nhận) lần thực thi trung thực P ( sk ),V ( pk ) lược đồ định danh Ta mơ hình hóa nỗ lực nghe trộm kẻ công truy vấn đến tiên tri Chú ý rằng, P, V ngẫu nhiên hóa Trans ngẫu nhiên hóa vậy, lần gọi trả ghi (có thể) khác so với lần trước Cũng cần lưu ý thêm rằng, ta giả thiết Trans trả thông điệp mà kẻ nghe trộm thu nhập được, hay cụ thể hơn, trạng thái bên tham gia không chứa thông tin trả Trans Định nghĩa ([5, Định nghĩa 8.2]) Một lược đồ định danh (Gen, P, V) an toàn kháng lại cơng bị động, hay gọi an toàn cách bị động, xác suất không đáng kể với kẻ công PPT (thời gian đa thức, xác suất) (1 , 2 ) ( pk ) Gen(1 ) Pr : 2 ( state),V ( pk ) Transk , pk (.) state ( p k ) Cần ý thêm rằng, độ an toàn bị động khái niệm an toàn yếu Với định nghĩa độ an tồn này, lược đồ định danh khơng bảo vệ kháng lại kẻ cơng mà đóng vai trò người xác minh (và tương tác với P lần thực thi lược đồ) hành động cách khơng trung thực người xác minh cần phải làm, sau cố mạo danh P trước người xác minh (trung thực) Tiếp theo, chúng tơi trình bày định nghĩa lớp lược đồ định danh 3-pha với số tính chất đặc trưng, gọi lược đồ định danh tắc Định nghĩa (Lược đồ định danh tắc, [5]) Một lược đồ định danh thỏa mãn phát biểu gọi lược đồ định danh tắc: Giao thức định danh (P, V) giao thức 3-pha, tức lần thực thi giao thức bao gồm thông điệp khởi tạo I gửi P, “thách thức” cha gửi V, phúc đáp cuối res gửi P Tạp chí Nghiên cứu KH&CN quân sự, Số 66, - 2020 183 Cơng nghệ thơng tin & Cơ sở tốn học cho tin học Ta giả thiết thách thức cha chọn từ tập (nói chung, { K } phụ thuộc vào tham số an tồn , phụ thuộc vào khóa cơng khai pk) Điều hàm ý rằng, cho ghi lần thực thi giao thức (cùng với khóa cơng khai pk P) xác định hiệu xem liệu V chấp nhận sau lần thực thi hay chưa Ta nói ( pk , I , cha, res ) ghi chấp nhận V chấp nhận lần thực thi giao thức mà cho kết ghi (khi khơng lo có mập mờ pk, ta viết ( I , cha, res ) ghi chấp nhận) Ta giả thiết rằng, thông điệp giao thức “không suy biến” theo nghĩa: với khóa bí mật sk thơng điệp cố định Ỵ bất kỳ, xác suất để P(sk) đưa I Ỵ thơng điệp không đáng kể Cụ thể hơn, điều có nghĩa xác suất để thơng điệp I lặp lại đa thức lần thức lần thực thi giao thức không đáng kể Chú ý rằng, yêu cầu dễ dàng thỏa mãn lược đồ định danh 3-pha cách cho P gửi thêm chuỗi ngẫu nhiên k-bit (mà bỏ qua V) phần thông điệp Một lược đồ định danh tắc minh họa hình V ( pk ) P( sk ) Sinh I I (một cách xác suất) cha cha tính phúc đáp res res Sử dụng pk, cha, res để xác minh Hình Lược đồ định danh tắc 2.2 Phép biến đổi Fiat-Shamir Trong [3], tác giả Amos Fiat Adi Shamir đề xuất phương pháp xây dựng lược đồ chữ ký số từ lược đồ định danh, gọi Phép biến đổi Fiat-Shamir Chi tiết phương pháp mô tả sau: Phép biến đổi Fiat-Shamir ([5, Const.8.1]) Cho (Gen, P , V ) lược đồ định danh tắc, đó, thách thức người xác minh chọn từ Ω Gọi H :{0,1}* hàm băm Sinh khóa: Chạy Gen(1 ) để sinh cặp khóa cơng khai/bí mật tương ứng (pk, sk) Sinh chữ ký: Để ký thơng điệp M với khóa bí mật sk, ta thực hoạt động sau: Chạy thuật toán chứng minh P(sk) để sinh thơng điệp khởi tạo ; Tính cha = H(I, M); Tính câu phúc đáp thích hợp res cho “thách thức” cha với việc sử dụng P(sk); Đưa chữ ký (I, res) Xác minh chữ ký: Để xác minh chữ ký (I, res) thông điệp M ứng với khóa cơng khai pk, ta thực hiện: Tính cha = H(I, M); Chấp nhận chữ ký (pk, I, cha, res) ghi chấp nhận 2.3 Mối liên hệ độ an toàn lược đồ định danh lược đồ chữ ký số Ký hiệu = (Gen, P, V) lược đồ định danh tắc ' lược đồ chữ ký số nhận qua việc áp dụng Phép biến đổi Fiat-Shamir lên Một câu hỏi tự nhiên là, để lược đồ chữ ký số ' an toàn cơng sử dụng thơng điệp lựa chọn thích nghi lược đồ định danh tắc phải thỏa mãn điều kiện Định lý 184 Đ T Thành, V T Linh, “Một biến thể an toàn chứng minh … lược đồ chữ ký số EdDSA.” Nghiên cứu khoa học công nghệ trả lời câu hỏi Định lý ([5, Định lý 8.1]) Cho = (Gen, P, V) lược đồ định danh tắc mà an tồn kháng lại cơng bị động Khi đó, hàm băm H mơ hình hóa tiên tri ngẫu nhiên lược đồ chữ ký số ' nhận từ việc áp dụng phép biến đổi Fiat-Shamir lên bị giả mạo tồn công sử dụng thông điệp lựa chọn thích nghi Bây giờ, chúng tơi nhắc lại hai tiêu chuẩn mà điều kiện đủ để lược đồ định danh đạt độ an toàn bị động Đó tiêu chuẩn khơng lộ tri thức cho người xác minh trung thực tiêu chuẩn mạnh đặc biệt Cụ thể, tiêu chuẩn định nghĩa sau Định nghĩa ([5, Định nghĩa 8.3]) Một lược đồ định danh không lộ tri thức cho người xác minh trung thực tồn thuật toán PPT Sim cho phân bố sau khơng thể phân biệt mặt tính tốn: {( pk , sk ) Gen(1k ) : ( sk , pk , Sim( pk ))} {( pk , sk ) Gen(1k ) : ( sk , pk ,Trans sk , pk )} Nếu phân bố đồng nhất, ta nói khơng lộ tri thức cho người xác minh trung thực hoàn hảo ghi chấp nhận Định nghĩa ([5, Định nghĩa 8.4]) Một lược đồ định danh thỏa mãn tính chất mạnh đặc biệt xác suất sau không đáng kể thuật toán PPT A: c1 ≠2 (pk,sk)←Gen 1K Pr : (pk,I,c ,r 1 ),(pk,I,c2 ,r2 ) (I,c1 ,r1 ,c2 ,r2 )←A(pk) ghi chấp nhận Định lý sau hai tiêu chuẩn điều kiện đủ đảm bảo cho độ an tồn bị động lược đồ định danh tăc Định lý ([5, Định lý 8.2]) Giả sử lược đồ định danh tắc khơng lộ tri thức cho người xác minh trung thực thỏa mãn tính chất mạnh đặc biệt Khi đó, với kẻ cơng A = ( , ), ta có: -1 (pk,sk)←Gen 1k Pr :⟨A2 (state), V(pk)⟩=1 − k ≤μ(k) Transsk,pk(.) state←A1 (pk) với hàm không đáng kể (.) Cụ thể hơn, | | ( poly ( )) an tồn kháng lại công bị động Từ định lý định lý 2, ta có hệ sau đây: Hệ Cho (Gen, P, V ) lược đồ định danh tắc thỏa mãn tiêu chuẩn định lý Khi hàm băm H mơ hình hóa tiên tri ngẫu nhiên lược đồ chữ ký số ' nhận từ việc áp dụng phép biến đổi FiatShamir lên bị giả mạo tồn công sử dụng thơng điệp lựa chọn thích nghi Chứng minh Khẳng định hiển nhiên từ định lý định lý □ BIẾN THỂ CỦA LƯỢC ĐỒ CHỮ KÝ SỐ EDDSA 3.1 Lược đồ chữ ký số R-EdDSA Trong mục mô tả phiên ngẫu nhiên hóa lược đồ chữ ký số EdDSA, gọi lược đồ chữ ký số R-EdDSA Thực tế, việc “ngẫu nhiên hóa” lược đồ chữ ký số EdDSA ngẫu nhiên hóa q trình sinh chữ ký cách thêm thành phần ngẫu nhiên vào trình sinh khóa bí mật tức thời cho lần ký Tạp chí Nghiên cứu KH&CN quân sự, Số 66, - 2020 185 Công nghệ thông tin & Cơ sở toán học cho tin học Các tham số miền quy tắc ghi mã lược đồ R-EdDSA Lược đồ chữ ký số R-EdDSA sử dụng tham số miền quy tắc ghi mã thỏa mãn yêu cầu giống lược đồ chữ ký số EdDSA [4] Cụ thể sau: Một số nguyên tố mạnh p lược đồ R-EdDSA sử dụng đường cong elliptic trường hữu hạn p ; Một số nguyên dương b thỏa mãn 2b-1 > p Khóa cơng khai R-EdDSA cố độ lớn xác b bit, chữ ký R-EdDSA có độ lớn xác 2b bit; Một quy tắc ghi mã (b-1)-bit phần tử trường mã hữu hạn p ; Một hàm băm mật mã H với đầu có độ lớn 2b bit; Một số nguyên dương c 2,3 giá trị vơ hướng bí mật lược đồ R-EdDSA bội 2c ; Một số nguyên dương n thỏa mãn c n b Các giá trị vơ hướng bí mật lược đồ R-EdDSA có độ lớn xác (n+1) bit với bit cao (vị trí n ) ln thiết lập c bit thấp thiết lập 0; Một phần tử a p thỏa mãn a a số phương p ; Một phần tử d p thỏa mãn d số phương p ; Một điểm B (0,1) E ( p ) {( x, y ), p p : ax y dx y } gồm điểm xác định trường hữu hạn p đường cong Edwards xoắn E : ax y dx y ; 10 Một số nguyên tố lẻ l thỏa mãn lB 2c l # E (p ) ; 11 Một số nguyên S {0,1, , l 1) ghi mã thành xâu có độ lớn b bit, ký hiệu S; 12 Mỗi điểm P ( x, y ) E (p ) ghi mã thành xâu có độ lớn b bit, ký hiệu P, cách nối xâu kết ghi mã (b-1) bit giá trị tọa độ y với bit tọa độ x âm, ngược lại nối với bit Dưới chúng tơi mơ tả thuật tốn sinh khóa, sinh chữ ký xác minh chữ ký lược đồ chữ ký số R-EdDSA Thuật tốn sinh khóa R-EdDSA Sinh ngẫu nhiên khóa bí mật (dài hạn) R-EdDSA số ngun k có độ lớn b bit Tính H ( k ) ( h0 , h1 , , h2b 1 ) Tính s n 2i hi c i n Tính A sB đường cong elliptic E Khóa cơng khai (dài hạn) R-EdDSA kết ghi mã A điểm A Thuật toán sinh chữ ký R-EdDSA Để ký thơng điệp M với khóa bí mật k, ta thực sau: Sinh ngẫu nhiên giá trị m l Tính r H (m, hb , , h2b 1 , M ) {0,1, 22b 1} Ở đây, r xem số nguyên thuộc {0,1, 2b 1} Tính R rB đường cong elliptic E ghi mã điểm R thành R 186 Đ T Thành, V T Linh, “Một biến thể an toàn chứng minh … lược đồ chữ ký số EdDSA.” Nghiên cứu khoa học cơng nghệ Tính h = H(R, A, M) Tính S = (r + hs) mod l ghi mã giá trị dạng S Đưa chữ ký thông điệp M với khóa bí mật k xâu (R, S) có độ lớn 2b bit Thuật tốn xác minh chữ ký R-EdDSA Để xác minh chữ ký (R, S) tạo thơng điệp M với khóa bí mật k, người xác minh sử dụng khóa cơng khai A tương ứng thực sau: Khôi phục kiểm tra điểm A, R thuộc đường cong elliptic E từ A, R số nguyên S {0,1, l 1} từ S Tính h = H(R, A, M) Kiểm tra hệ thức 2c SB 2c R 2c hA đường cong elliptic E Nếu “chấp nhận” chữ ký, ngược lại “khơng chấp nhận” chữ ký Rõ ràng, với chữ ký sinh cách đắn theo thuật toán sinh chữ ký REdDSA, từ lB đường cong elliptic E h = H(R, A, M) mod l, ta có 2c R 2c hA 2c (rB ) 2c (hs ) B 2c ((r hs ) mod l ) B 2c SB 3.2 So sánh lược đồ R-EdDSA với số biến thể khác lược đồ EdDSA Trong tài liệu [6], tác giả Trevor Perrin đưa hai biến thể lược đồ chữ ký số EdDSA, ký hiệu VEdDSA VXEdDSA Điểm tương đồng lược đồ chữ ký số mô tả [6] lược đồ R-EdDSA chúng tôi, việc nghiên cứu độc lập với nhau, đưa thêm yếu tố ngẫu nhiên vào việc tính khóa bí mật tức thời mồi lần ký Tuy nhiên, với lược đồ VEdDSA VXEdDSA, thành phần ngẫu nhiên liệu ngẫu nhiên an tồn có độ lớn 64 byte, lược đồ R-EdDSA lựa chọn giá trị ngẫu nhiên số ngẫu nhiên có độ lớn b-bit theo tham số b sử dụng Hơn nữa, tính giá trị bí mật tức thời, lược đồ [6] đưa giá trị vơ hướng bí mật s vào hàm băm, khác với việc sử dụng phần chuỗi băm đầu khóa bí mật k lược đồ EdDSA R-EdDSA Một điều quan trọng là, xây dựng biến thể ngẫu nhiên hóa lược đồ chữ ký số EdDSA tác giả [6] không độ an toàn chứng minh biến thể Còn với lược đồ R-EdDSA, phần tiếp theo, chúng tơi lược đồ an tồn chứng minh mơ hình tiên tri ngẫu nhiên ĐỘ AN TOÀN CHỨNG MINH ĐƯỢC CỦA LƯỢC ĐỒ CHỮ KÝ SỐ R-EDDSA TRONG MƠ HÌNH BỘ TIÊN TRI NGẪU NHIÊN Mục tiêu phần chúng tơi độ an tồn chứng minh lược đồ REdDSA mơ hình tiên tri ngẫu nhiên (ROM) Ý tưởng xây dựng lược đồ định danh tắc mà từ ta nhận lược đồ chữ ký số R-EdDSA qua việc áp dụng phép biến đổi Fiat-Shamir Sau lược đồ định danh tắc xây dựng thỏa mãn điều kiện định lý Trước tiên, xây dựng lược đồ định danh mô tả Các tham số sử dụng lược đồ định danh giống tham số lược đồ R-EdDSA Lược đồ định danh = (Gen, P, V) Sinh khóa Gen: Sinh ngẫu nhiên khóa bí mật k có độ lớn b-bit, tính H ( k ) ( h0 , h1 , , h2 b 1 ) s 2n c i n 2i hi Tính A sB đường cong elliptic E ghi mã thành A Cặp khóa bí mật/cơng khai (k, A) Tạp chí Nghiên cứu KH&CN quân sự, Số 66, - 2020 187 Công nghệ thông tin & Cơ sở tốn học cho tin học Thơng điệp khởi tạo người chúng minh P: Chọn ngẫu nhiên m l , tính r H ( m, hb , h2 b 1 , text ), sau gửi thơng điệp khởi tạo I = (R, A) đến người xác minh V, đó, R kết ghi mã điểm R = rB đường cong elliptic E Ở text thơng tin tùy chọn, thông điệp M, định danh người chứng minh, số thứ tự, v.v Thách thức người xác minh V: Chọn ngẫu nhiên T {0,1, ,22b 1} gửi T tới người chứng minh P giá trị thách thức Phúc đáp người chứng minh P: Tính S ( r Ts ) mod với s 2n c i n 2i hi , ghi mã thành S gửi S tới người xác minh V phúc đáp thách thức T Tiêu chuẩn chấp nhận: Người xác minh V khôi phục R, S, A từ R, A, S chấp nhận ((R, A), T, S) ghi tương ứng với khóa cơng khai A R, A điểm đường cong elliptic E, T, S 2c SB 2c TA 2c R đường cong elliptic E Dễ thấy, lược đồ định danh = (Gen, P, V) lược đồ định danh tắc Nhận xét Dễ thấy rằng, cách áp dụng phép biến đổi Fiat-Shamir lên lược đồ định danh tắc , ta nhận lược đồ chữ ký số R-EdDSA Định lý lược đồ định danh tắc = (Gen, P, V) thỏa mãn tiêu chuẩn không lộ tri thức cho người xác minh trung thực tính mạnh đặc biệt Định lý Giả sử hàm H mơ hình hóa tiên tri ngẫu nhiên Lược đồ định danh tắc = (Gen, P, V) thỏa mãn tiêu chuẩn không lộ tri thức cho người xác minh trung thực Hơn nữa, toán logarit rời rạc đường cong elliptic E giả thiết khó lược đồ thỏa mãn tiêu chuẩn mạnh đặc biệt Chứng minh Trước tiên chứng minh rằng, với hàm băm H mơ hình hóa tiên tri ngẫu nhiên, lược đồ định danh tắc thỏa mãn tiêu chuẩn không lộ tri thức cho người xác minh trug thực Để thực điều này, chúng tơi xây dựng thuật tốn Sim với mơ tả sau: Thuật toán Sim: Thuật toán cho trước hàm băm H (như tiên tri ngẫu nhiên), khóa cơng khai A với A=sB thách thức T chọn ngẫu nhiên từ {0,1,….,22b-1} Chọn ngẫu nhiên t tính S H (t ) mod Tính R SB TA đường cong elliptic E Đưa ghi (I, T, S) với I = (R, A) Ta chứng minh thuật tốn Sim thỏa mãn yêu cầu định nghĩa Để có điều này, ta thuật tốn Sim mơ tả cách hồn hảo lần thực thi thật lược đồ định danh tắc ứng với khóa cơng khai A cho (tương ứng với 2b khóa bí mật k) thách thức T R {0,1, , 1} Thật vậy, lần thực thi thực lược đồ định danh với cặp khóa bí mật/cơng khai (k, A) ta có: R ( H ( m, hb , , h2 b 1 , text ) mod ) B S H (m, hb , , h2b 1 , text ) T (2n 2i hi ) mod c i n đó, giá trị hi xác định từ H ( k ) ( h0 , h1 , , h2b 1 ) , m chọn ngẫu nhiên 188 Đ T Thành, V T Linh, “Một biến thể an toàn chứng minh … lược đồ chữ ký số EdDSA.” Nghiên cứu khoa học công nghệ , T chọn ngẫu nhiên từ {0,1,…, 22b-1} text thành phần tùy chọn Để so sánh, ta xét giá trị tương ứng lần thực thi thuật toán Sim R ( H (t ) mod ) B TA (vì A = sB) (( H (t ) Ts ) mod ) B S H (t ) mod l với t chọn ngẫu nhiên từ l Khi đó, với giả thiết hàm băm H mơ hình hóa tiên tri ngẫu nhiên, T chọn nhẫu nhiên {0,1,…, 22b-1} điểm B, A=sB cố định trước đường cong eliptic E, ta suy phân bố xác suất (R, S) hai trường hợp phân biệt mặt tính tốn Nói cách khác, ta khơng thể phân biệt (R, S) nhận từ thuật toán Sim hay từ lần thực thi thật lược đồ định danh Điều kéo theo phân phân bố xác suất ghi (( R, A), T , S ) phân biệt mặt tính tốn trường hợp thuật toán Sim lần thực thi thực lược đồ định danh Để lập luận đúng, cách cụ thể ta ước lượng phân bố xác suất đầu (R, S) thuật toán Sim lần thực thi thực lược đồ định danh Đối với đại lượng R, lược đồ định danh tính theo công thức R H m, hb , , h2b 1 , text mod l B, thuật tốn Sim tính R theo cơng thức R H (t ) mod l B TA ( H (t ) Ts mod l ) B, T chọn ngẫu nhiên từ {0,1,…, 22b-1} độc lập với hàm băm H, t R l s giá trị cho trước Do điểm B cố định trước nên để so sánh phân bố R đưa hai thuật toán trên, ta cần ước lượng xác suất để H m, hb , , h2b 1 , text mod l H (t ) Ts mod l cho giá trị l 2 b u.l v, Đặt với u v l Do H (.) 0,1, , 2 b 1 , ta dễ dàng được: Với i v , pi Pr H (m, hb , , h2b 1,text ) mod l i u 1 22b Với v j l , u p j Pr H m, hb , , h2b 1,text mod l j 2b Trong đó, với z l ta có Pz Pr H t Ts , mod l z l 1 Pr H t mod l w Pr Ts mod l z w mod l w0 v 1 Pr H t mod l w Pr Ts mod l z w mod l w0 l 1 Pr H t mod l w Pr Ts mod l z w mod l wv u v 1 u Pr Ts mod l z w mod l 2b 2b w0 Tạp chí Nghiên cứu KH&CN quân sự, Số 66, - 2020 l 1 Pr Ts mod l z w mod l wv 189 Cơng nghệ thơng tin & Cơ sở tốn học cho tin học u v 1 2b Pr Ts mod l z w mod l 2b 2 w0 Lấy hiệu xác suất trên, ta nhận hai loại gái trị sai khác thuật toán Sim lần thực thi lược đồ đưa đầu R Với i v 1 v 1 si | pz pi | 2b Pr Ts mod l i w mod l w0 22b l 1 Pr Ts mod l i w mod l , wv Với v j l , v 1 Pr Ts mod l j w mod l 22b w0 Dễ thấy rằng, với tham số b, l lược đồ R-EdDSA lựa chọn đủ lớn theo tiêu chuẩn an tồn tham số đường cong eliptic hai loại sai khác xác suất không đáng kể so với xác suất pi , p j pz Điều ra, mặt tính tốn s j | pz p j | phân bố xác suất đầu R trường hợp thuật toán Sim lầm thực thi thật sựi lược đồ phân biệt Chứng minh tương tự ta nhận kết luận đầu S, thu khẳng định rằng, phân bố xác suất ghi (( R, A), T , S ) phân biệt mặt tính tốn hai trường hợp thuật tốn Sim lần thực thi thật lược đồ định danh tắc Như vậy, lược đồ định danh tắc thỏa mãn tiêu chuẩn khơng lộ tri thức cho người xác minh trung thực Để chứng minh thỏa mãn tiêu chuẩn mạnh đặc biệt, với giả thiết tốn ECDLP khó giải, ta suy từ điểm A khôi phục lại từ khóa cơng khai A điểm sơ B, ta khơng thể tính giá trị s thỏa mãn A sB đường cong elliptic E Bây giờ, giả thiết phản chứng rằng, lược đồ định danh tắc П không thỏa mãn tiêu chuẩn mạnh đặc biệt Điều có nghĩa tồn hai ghi chấp nhận (( R, A), T1 , S1 ) (( R, A), T2 , S ) với T1 T2 R {0,1, , 22b 1} Khi đó, từ tiêu chuẩn chấp nhận lược đồ định danh П, ta có 2c S1 B 2c T1 A 2c R 2c S B 2c T2 A Với A sB , ta nhận (S1 S ) B s (T1 T2 ) B Vì T1 T2 , T1 , T2 {0,1, , 22b 1} nên xác suất để T1 mod l T2 mod l không đáng kể, đó, ta tính 1 s S1 S T1 T2 mod l Điều mâu thuẫn với giả thiết toán ECDLP khó, vậy, lược đồ П phải thỏa mãn tiêu chuẩn mạnh đặc biệt Từ đây, ta có hệ sau tính an tồn lược đồ chữ ký số R-EdDSA Hệ Với hàm băm H mơ hình hóa tiên tri ngẫu nhiên giả thiết toán logarit rời rạc đường cong elliptic khó lược đồ chữ ký số REdDSA bị giả mạo tồn công lựa chọn thông điệp thích nghi 190 Đ T Thành, V T Linh, “Một biến thể an toàn chứng minh … lược đồ chữ ký số EdDSA.” Nghiên cứu khoa học công nghệ Chứng minh Theo nhận xét 1, ta có lược đồ chữ ký số R-EdDSA lược đồ chữ ký số nhận cách áp dụng phép biến đổi Fiat-Shamir lên lược đồ định danh tắc П Từ định lý giả thiết hàm băm H tốn ECDLP, ta có lược đồ định danh tắc П thỏa mãn tiêu chuẩn khơng bị lộ tri thức cho người xác minh trung thực tiêu chuẩn mạnh đặc biệt Áp dụng định lý suy lược đồ định danh tắc П an tồn kháng lại cơng bị động Cuối cùng, áp dụng định lý hệ ta nhận khẳng định lược đồ chữ ký số R-EdDSA bị giả mạo tồn cơng lựa chọn thơng điệp thích nghi □ KẾT LUẬN Bài báo đề xuất lược đồ chữ ký số biến thể ngẫu nhiên hóa lược đồ chữ ký số EdDSA, gọi lược đồ R-EdDSA phân tích độ an tồn lược đồ đề xuất Các kết ra, với giả thiết hàm băm H mơ hình hóa tiên tri ngẫu nhiên giả thuyết tốn khó logarit rời rạc đường cong elliptic lược đồ chữ ký số R-EdDSA an toàn chứng minh mơ hình tiên tri ngẫu nhiên Ngồi ra, với tham số an toàn lựa chọn lược đồ chữ ký số EdDSA lược đồ R-EdDSA đạt tính chất an tồn tương tự TÀI LIỆU THAM KHẢO [1] Daniel J Bernstein, Niels Duif, Tanja Lange, Peter Schwabe, and Bo- Yin Yang “Highspeedhigh-security signatures” Journal of Cryptographic Engineering, 2(2):77-89, 2012 [2] Daniel J Bernstein, Simon Josefsson, Tanja Lange, Peter Schwabe, and Bo- Yin Yang “Eddsa for more curves” Cryptology ePrint Archive, 2015 [3] Amos Fiat and Adi Shamir “How to prove yourself: Practical solutions to identification and signature problems” In Advances in Crytology-CRYPTO’86, page 186-194 Springer, 1986 [4] Simon Josefsson and Ilari Liusvaara “Edwards-curve digital signature algorithm (EdDSA)” Technical report, 2017 [5] Jonathan Katz “Digital signatures” Springer Science & Business Media, 2010 [6] Trevor Perrin “The XEdDSA and VXEdDSA signature schemes” Specification 2016 ABSTRACT A PROVABLE SECURE VARIANT OF THE EDDSA DIGITAL SIGNATURE SCHEME This paper proposes a digital signature scheme, called R-EdDSA scheme, which is a randomized variant of the EdDSA scheme Assuming the hash function H is modelled as a random oracle and the elliptic curve discrete logarithm problem is hard, we prove that the R-EdDSA digital signature scheme is existentially unforgeable under an adaptive chosen message attacks Keywords: EdDSA digital signature schemes; R-EdDSA schemes; Fiat-Shamir transform; Provable security; Twisted Edwards curves Nhận ngày 08 tháng 01năm 2020 Hoàn thiện ngày 20 tháng 02 năm 2020 Chấp nhận đăng ngày 10 tháng năm 2020 Địa chỉ: 1Học viện Kỹ thuật Mật mã; Viện Khoa học – Công nghệ mật mã *Email: thanhhvkt@yahoo.com Tạp chí Nghiên cứu KH&CN quân sự, Số 66, - 2020 191 ... nghi Chứng minh Khẳng định hiển nhiên từ định lý định lý □ BIẾN THỂ CỦA LƯỢC ĐỒ CHỮ KÝ SỐ EDDSA 3.1 Lược đồ chữ ký số R -EdDSA Trong mục mô tả phiên ngẫu nhiên hóa lược đồ chữ ký số EdDSA, gọi lược. .. thể khác lược đồ EdDSA Trong tài liệu [6], tác giả Trevor Perrin đưa hai biến thể lược đồ chữ ký số EdDSA, ký hiệu VEdDSA VXEdDSA Điểm tương đồng lược đồ chữ ký số mô tả [6] lược đồ R -EdDSA chúng... điều quan trọng là, xây dựng biến thể ngẫu nhiên hóa lược đồ chữ ký số EdDSA tác giả [6] không độ an toàn chứng minh biến thể Còn với lược đồ R -EdDSA, phần tiếp theo, lược đồ an tồn chứng minh