Đang tải... (xem toàn văn)
Trong bài viết này, theo các kết quả nghiên cứu chính từ các tài liệu sẽ chỉ ra một cách chi tiết về các điều kiện cần thiết đối với lược đồ định danh sao cho đảm bảo được tính an toàn của lược đồ chữ ký số xây dựng lên từ nó chống lại các tấn công lựa chọn thông điệp.
Nghiên cứu Khoa học Công nghệ lĩnh vực An tồn thơng tin Xây dựng lƣợc đồ chữ ký số an toàn từ lƣợc đồ định danh Võ Tùng Linh Tóm tắt— Trong tài liệu [3], trình bày phương pháp xây dựng lược đồ chữ ký số dựa lược đồ định danh tắc nhờ phép biến đổi Fiat-Shamir, tác giả “điều kiện đủ” để nhận lược đồ chữ ký số an tồn cơng sử dụng thơng điệp lựa chọn thích nghi lược đồ định danh tắc phải an tồn cơng bị động Tuy nhiên, tác giả [3] chưa “điều kiện cần” lược đồ định danh tắc nhằm đảm bảo tính an tồn cho lược đồ chữ ký số xây dựng Do đó, báo này, chúng tơi hồn thiện kết [3] việc điều kiện đủ điều kiện cần Abstract— In [3], the author shows that, in order to the digital signature scheme Π' resulting from the Fiat-Shamir transform applied to a canonical identification scheme Π is existentially unforgeable under chosen-message attack then a “sufficient” condition is that the scheme Π has to be secure against a passive attack However, the author of [3] has not shown the “necessary” conditions for the canonical identification schemes to ensure security of the digital signature scheme Π' In this paper, we complete this result by showing that sufficient condition is also necessary Từ khóa: Lược đồ định danh; lược đồ chữ ký số; phép biến đổi Fiat-Shamir Keywords: Identification scheme; signature scheme; Fiat-Shamir transform I GIỚI THIỆU Một phƣơng pháp hiệu để xây dựng lƣợc đồ chữ ký số an toàn sử dụng kỹ thuật biến đổi từ lƣợc đồ định danh có tính chất mật mã tốt Phƣơng pháp đƣợc giới thiệu lần đầu Amos Fiat Adi Shamir [2] nên phép biến đổi đƣợc gọi Phép biến đổi FiatShamir, dần trở thành phƣơng pháp phổ biến, công cụ để nhận đƣợc lƣợc đồ chữ ký số an tồn Ý tƣởng đằng sau phép biến đổi Fiat-Shamir ngƣời ta Bài báo đƣợc nhận ngày 1/12/2018 Bài báo đƣợc nhận xét phản biện thứ vào ngày 11/12/2018 đƣợc chấp nhận đăng vào ngày 18/12/2018 Bài báo đƣợc nhận xét phản biện thứ hai vào ngày 14/12/2018 đƣợc chấp nhận đăng vào ngày 28/12/2018 chứng minh lƣợc đồ định danh chạy lƣợc đồ để sinh giá trị thách thức cách áp dụng hàm băm lên thơng điệp đầu tiên, sau tính giá trị phúc đáp thích hợp Nếu hàm băm đƣợc mơ hình hóa nhƣ tiên tri ngẫu nhiên thách thức đƣợc sinh hàm băm ―ngẫu nhiên thực sự‖, khiến kẻ cơng (khơng biết giá trị bí mật) khó khăn việc tìm kiếm ghi chấp nhận đƣợc muốn mạo danh ngƣời chứng minh lần thực thi trung thực lƣợc đồ Bằng việc đƣa thông điệp vào đầu vào hàm băm, ghi chấp nhận đƣợc góp phần tạo nên chữ ký thông điệp Ta cụ thể hóa ý tƣởng phần sau Với việc xây dựng lƣợc đồ chữ ký số từ lƣợc đồ định danh sử dụng phép biến đổi FiatShamir, câu hỏi đặt là: ―Lƣợc đồ định danh cần thỏa mãn điều kiện (tối thiểu) để đảm bảo tính an toàn cho lƣợc đồ chữ ký số đƣợc xây dựng‖ Trong báo này, theo kết nghiên cứu từ tài liệu [1, 3] chúng tơi cách chi tiết điều kiện cần thiết lƣợc đồ định danh cho đảm bảo đƣợc tính an tồn lƣợc đồ chữ ký số xây dựng lên từ chống lại cơng lựa chọn thơng điệp Đóng góp nhóm tác giả: Trong tài liệu [3], tác giả rằng, để lƣợc đồ chữ ký số nhận đƣợc từ lƣợc đồ định danh qua phép biến đổi Fiat-Shamir bị giả mạo tồn dƣới cơng sử dụng thơng điệp đƣợc lựa chọn thích nghi ―điều kiện đủ‖ lƣợc đồ phải an tồn dƣới cơng bị động Trong báo này, với Mệnh đề 1, chúng tơi hồn thiện kết cách điều kiện ―điều kiện cần‖ để đảm bảo cho lƣợc đồ chữ ký số an toàn Mặc dù kết luận tƣơng tự đƣợc [1], nhiên kỹ thuật chứng minh sử dụng thống với cách trình bày tài liệu [3], khác với kỹ thuật sử dụng [1] Số 2.CS (08) 2018 25 Journal of Science and Technology on Information Security Bố cục báo: Mục II chúng tơi trình bày định nghĩa lƣợc đồ định danh với độ an tồn hình thức chúng dƣới cơng bị động Mục III trình bày phƣơng pháp xây dựng lƣợc đồ chữ ký số từ lƣợc đồ định danh tắc qua phép biến đổi Fiat-Shamir với kết điều kiện cần đủ để lƣợc đồ chữ ký số thu đƣợc an toàn Cuối Mục Kết luận II ĐỊNH NGHĨA LƢỢC ĐỒ ĐỊNH DANH VÀ ĐỘ AN TOÀN Trƣớc định nghĩa lƣợc đồ định danh gì, ta xét kịch mà ngƣời tham gia (gọi người chứng minh) muốn thuyết phục ngƣời tham gia khác, ký hiệu (gọi người xác minh), nhƣ khẳng định Cụ thể hơn, ta thấy tình nảy sinh trƣờng hợp chẳng hạn nhƣ chƣa gặp trƣớc đó, liên lạc qua kênh truyền thông (nhƣng không mặt-đối-mặt với nhau) muốn đảm bảo liên lạc với kẻ mạo danh Để cho đảm bảo có ý nghĩa rõ ràng phải có số thơng tin để phân biệt với ngƣời khác, khơng giả mạo Một giải pháp để thuyết phục ngƣời xác minh tiềm là, thiết lập khóa cơng khai mà tất ngƣời xác minh (tiềm năng) đƣợc biết, sau sử dụng khóa bí mật tƣơng ứng với khóa cơng khai này, chạy trƣờng hợp cụ thể lƣợc đồ mà đƣợc gọi lược đồ định danh để thuyết phục ngƣời xác minh tin ngƣời mà đƣợc đại diện khóa cơng khai Định nghĩa ([3, Định nghĩa 8.1]) Một lược đồ định danh bao gồm ba thuật toán thời ) cho gian đa thức, xác suất ( Thuật tốn sinh khóa ngẫu nhiên nhận đầu vào tham số an toàn trả ), cặp khóa ( gọi khóa cơng khai gọi khóa bí mật thuật toán tương tác với Thuật tốn chứng minh nhận đầu vào khóa bí mật thuật tốn xác minh nhận đầu vào khóa cơng khai Kết thúc q trình tương tác, đưa 26 Số 2.CS (08) 2018 bit với có nghĩa “chấp nhận” có nghĩa “bác bỏ” ) phải thỏa mãn yêu Các thuật toán ( ) cầu là, với với đầu ( ( ): ,〈 ( ) ( )〉 ) với hoạt động Cặp thuật toán ( tương tác chúng gọi giao thức định danh Một lƣợc đồ định danh đƣợc nói an tồn kháng lại cơng bị động kẻ cơng khó mạo danh đƣợc kể có khả nghe trộm nhiều lần thực thi trình tƣơng tác ngƣời xác minh trung thực Trƣớc định nghĩa thức khái niệm an tồn này, chúng tơi giới thiệu ( ) mà không cần đầu vào, tiên tri trả ghi (tức tất thông điệp đƣợc gửi nhận) lần thực thi trung thực 〈 ( ) ( )〉 lƣợc đồ định danh Ta mơ hình hóa nỗ lực nghe trộm kẻ cơng truy vấn đến tiên tri Chú ý đƣợc ngẫu nhiên hóa đƣợc ngẫu nhiên hóa lần gọi trả ghi (có thể) khác so với lần trƣớc Cũng cần lƣu ý thêm rằng, ta giả thiết trả thông điệp mà kẻ nghe trộm thu thập đƣợc, hay cụ thể hơn, trạng thái bên tham gia không đƣợc chứa thông tin trả Định nghĩa ([3, Định nghĩa 8.2]) Một ) an toàn kháng lược đồ định danh ( lại cơng bị động, hay cịn gọi an toàn cách bị động, xác suất không đáng kể với kẻ công PPT (thời ( ): gian đa thức, xác suất) ( ) ( ) 〈 ( ) ( )〉 [ () ( ) ] Để hiểu rõ Định nghĩa 2, ta hình dung kẻ cơng định nghĩa thực công theo hai ―giai đoạn‖: giai đoạn đầu tiên, kẻ công nghe trộm nhiều lần thực thi lƣợc đồ, tức đƣợc truy cập vào tiên tri , đƣa thông tin trạng thái đó; giai Nghiên cứu Khoa học Cơng nghệ lĩnh vực An tồn thơng tin đoạn thứ hai, kẻ công sử dụng mạo danh để cố gắng Bây ta xét trƣờng hợp mà giai đoạn hai, kẻ công - ký hiệu tƣơng ứng , đƣợc phép truy cập đến tiên tri nỗ lực để mạo danh (vậy nên, lƣợc đồ định danh giao thức 3-pha định truy vấn tới tiên tri pha thứ hai pha thứ ba) Để độ an toàn trƣờng hợp đƣợc suy từ độ an toàn Định nghĩa 2, ta giả sử chiến lƣợc công mà việc truy vấn tới tiên tri đƣợc thực trƣớc trình tƣơng tác kẻ cơng với (tức khơng có phân chia q trình công thành hai giai đoạn phân biệt), tồn chiến lƣợc công ( ) mà đạt đƣợc thành công với xác suất giống nhƣ nhƣng không truy vấn đến tiên tri suốt giai đoạn ( ) biên (đa thứ hai Gọi thức) số lƣợng truy vấn đƣợc thực tới tiên tri Khi ta cho hoạt động nhƣ sau: thực truy vấn tới để nhận đƣợc dãy ghi Đầu Trong giai đoạn thứ hai, cần chạy chuyển tiếp thông điệp đến/đi từ ; thực truy vấn thứ tới truy vấn đƣợc trả lời với ghi mà nhận đƣợc Rõ ràng không thực việc truy vấn tới nhƣng thành công việc giả mạo với xác suất nhƣ thực Cần ý thêm độ an toàn bị động khái niệm an toàn yếu Với định nghĩa độ an toàn này, lƣợc đồ định danh không đƣợc bảo vệ kháng lại kẻ cơng mà đóng vai trị nhƣ ngƣời xác minh (và tƣơng tác với lần thực thi lƣợc đồ) hành động cách không trung thực nhƣ ngƣời xác minh cần phải làm, sau chúng cố mạo danh trƣớc ngƣời xác minh (trung thực) Để kết thúc mục này, chúng tơi trình bày định nghĩa lớp lƣợc đồ định danh 3pha với số tính chất đặc trƣng, gọi lược đồ định danh tắc Định nghĩa (Lƣợc đồ định danh tắc, [3]) Một lược đồ định danh thỏa mãn phát biểu gọi lược đồ định danh tắc: ) giao Giao thức định danh ( thức 3-pha, tức lần thực thi giao thức bao gồm thông điệp khởi tạo gửi , “thách thức” gửi , phúc đáp cuối gửi Ta giả thiết thách thức chọn từ tập (Nói chung, phụ thuộc vào tham số an tồn , phụ thuộc vào khóa cơng khai ) Điều hàm ý cho ghi lần thực thi giao thức (cùng với khóa cơng khai ) xác định cách hiệu xem liệu chấp nhận sau ) lần thực thi hay chưa Ta nói ( ghi chấp nhận chấp nhận lần thực thi giao thức mà cho kết ghi (Khi khơng lo có mập mờ ) ghi chấp , ta viết ( nhận.) Ta giả thiết thông điệp giao thức “không suy biến” theo nghĩa: với khóa bí mật thông điệp cố ̂ định ̂ bất kỳ, xác suất để ( ) đưa thông điệp khơng đáng kể Cụ thể hơn, điều có nghĩa xác suất để thông điệp lặp lại đa thức lần thực thi giao thức không đáng kể (Chú ý yêu cầu dễ dàng thỏa mãn lược đồ định danh 3-pha cách cho gửi thêm chuỗi ngẫu nhiên -bit (mà bỏ qua ) phần thơng điệp nó.) Một lƣợc đồ định danh tắc đƣợc mơ tả nhƣ Hình Số 2.CS (08) 2018 27 Journal of Science and Technology on Information Security Hình Lƣợc đồ định danh tắc III XÂY DỰNG LƢỢC ĐỒ CHỮ KÝ SỐ TỪ CÁC LƢỢC ĐỒ ĐỊNH DANH SỬ DỤNG PHÉP BIẾN ĐỔI FIAT-SHAMIR Từ đây, đề cập tới lƣợc đồ định danh tắc nên để đơn giản, khơng có giải thích thêm thuật ngữ ―lƣợc đồ định danh‖ đƣợc hiểu ―lƣợc đồ định danh tắc‖ A Phép biến đổi Fiat-Shamir Trong [2], Amos Fiat Adi Shamir đề xuất phƣơng pháp xây dựng lƣợc đồ chữ ký số từ lƣợc đồ định danh nhƣ sau: Phép xây dựng 1: Phép biến đổi Fiat-Shamir ( ) lƣợc đồ định danh, Cho thách thức ngƣời xác minh * + đƣợc chọn từ Gọi hàm băm ( ) để sinh cặp khóa Sinh khóa: Chạy ) cơng khai/bí mật tƣơng ứng ( Sinh chữ ký: Để ký thông điệp với khóa bí mật , ta thực hoạt động sau: Chạy thuật toán chứng minh ( ) để sinh thông điệp khởi tạo ( ) Tính Tính câu phúc đáp thích hợp cho ―thách thức‖ với việc sử dụng ( ) Đƣa chữ ký ( ) Xác minh chữ ký: Để xác minh chữ ký ( ) thông điệp ứng với khóa cơng khai , ta thực hiện: ( ) Tính Chấp nhận chữ ký ( ) ghi chấp nhận 28 Số 2.CS (08) 2018 Tính đắn lƣợc đồ chữ ký số đƣợc xây dựng qua phép biến đổi Fiat-Shamir dễ dàng suy từ tính đắn lƣợc đồ định danh ban đầu Bây giờ, giả sử lƣợc đồ định danh có thêm tính chất dựa vào khóa cơng khai , thách thức tùy ý , phúc đáp tùy ý, việc tính cách tất định (trong thời gian đa thức) ) thông điệp khởi tạo cho ( ghi chấp nhận hồn tồn Khi đó, với tính chất ta có biến thể phép biến đổi Fiat-Shamir để xây dựng lƣợc đồ chữ ký số từ nhƣ sau ([3, Phép xây dựng 8.2]): Phép xây dựng 2: Một biến thể phép biến đổi Fiat-Shamir ( ) để sinh cặp khóa Sinh khóa: Chạy ( ) cơng khai/bí mật Sinh chữ ký: Để ký thông điệp với việc sử dụng khóa bí mật , thực nhƣ sau: Chạy thuật tốn chứng minh ( ) để sinh thơng điệp khởi tạo ( ) Tính Tính câu phúc đáp thích hợp để trả lời ―thách thức‖ cách sử dụng ( ) Đƣa chữ ký ( ) Xác minh chữ ký: Để kiểm tra chữ ký ( ) thông điệp sử dụng khóa cơng khai , thực nhƣ sau: Tính cách tất định cho ( ) ghi chấp nhận Nếu không tồn nhƣ bác bỏ chữ ký ( ) Chấp nhận chữ ký Mối quan hệ hai Phép xây dựng trình bày đƣợc thể qua nhận xét dƣới Nhận xét Giả sử ta nhận đƣợc chữ ký ( ) từ Phép xây dựng Khi đó, dễ thấy ta chuyển đổi chữ ký thành chữ ký nhận đƣợc qua Phép xây dựng cách ( ), dễ thấy đƣa chữ ký ( ) với chữ ký vƣợt qua đƣợc thuật toán xác minh Phép xây dựng cách lấy Ngƣợc lại, giả sử ta nhận đƣợc chữ ký hợp lệ ( ) qua Phép xây dựng thứ Khi sử dụng thuật tốn xác minh chữ ký ta tính đƣợc ) ghi chấp nhận cho ( Nghiên cứu Khoa học Công nghệ lĩnh vực An tồn thơng tin ( ) Đƣa chữ ký ( ), rõ ràng chữ ký vƣợt qua đƣợc thuật toán xác minh Phép xây dựng 1, nên đƣợc chấp nhận chữ ký đƣợc tính nhờ Phép xây dựng Do chữ ký nhận đƣợc từ hai Phép xây dựng chuyển đổi lẫn nên suy lƣợc đồ chữ ký số nhận đƣợc từ Phép xây dựng đạt đƣợc tính chất an toàn nhƣ lƣợc đồ chữ ký số nhận đƣợc từ Phép xây dựng B Điều kiện cần đủ cho độ an toàn lược đồ chữ ký số xây dựng từ lược đồ định danh ( ) lƣợc đồ định Ký hiệu danh lƣợc đồ chữ ký số nhận đƣợc qua việc áp dụng Phép biến đổi Fiat-Shamir lên Một câu hỏi tự nhiên là, để lƣợc đồ chữ ký số an tồn dƣới cơng sử dụng thơng điệp đƣợc lựa chọn thích nghi lƣợc đồ định danh phải thỏa mãn điều kiện Định lý dƣới trả lời cho câu hỏi Định lý ([3, Định lý 8.1]) Cho ( ) lược đồ định danh mà an toàn kháng lại cơng bị động Khi đó, hàm băm mơ hình hóa tiên tri ngẫu nhiên lược đồ chữ ký số nhận từ việc áp dụng phép biến đổi FiatShamir lên bị giả mạo tồn công sử dụng thơng điệp lựa chọn thích nghi Chứng minh Ý tƣởng chứng minh là, ta sử dụng kẻ công lƣợc đồ chữ ký số để xây dựng kẻ công công vào lƣợc đồ định danh Kẻ cơng đƣợc cho khóa công khai nhƣ đƣợc phép truy cập đến tiên tri , tƣơng tác với ngƣời xác minh trung thực Chú ý rằng, nhƣ lập luận trình bày phía dƣới Định nghĩa 2, để khơng tính tổng qt, ta giả thiết cho phép đƣợc truy cập đến tiên tri trình tƣơng tác với Bây giờ, giả sử kẻ công PPT lƣợc đồ Ta đƣa vài giả thiết đơn giản mà khơng làm tính tổng quát Trƣớc tiên, ta giả thiết thực truy vấn giá trị băm cho lần Để đơn giản, đƣợc cho chữ ký ( ) thơng điệp đồng thời ), ta giả thiết đƣợc cho giá trị ( ) sau không truy vấn ( nhận đƣợc chữ ký ( ) Ta yêu cầu, đƣa chữ ký giả mạo ( ) thơng điệp , u cầu trƣớc ) Ta gọi truy vấn băm truy vấn băm ( truy vấn băm đặc biệt Ký hiệu biên đa thức cho số lƣợng truy vấn băm đƣợc thực Tiếp theo ta mô tả kẻ công PPT lên lƣợc đồ Kẻ công đƣợc cho đầu vào khóa cơng khai , đƣợc phép truy cập đến tiên tri , có tƣơng tác với ngƣời xác minh Hoạt động thực * + Chỉ đoán số ngẫu nhiên số đóng vai trị đốn cho số truy vấn băm đặc biệt (nếu có) đƣợc thực Sau đó, kẻ công chạy ( ), trả lời truy vấn nhƣ sau: ): Có hai trƣờng hợp: Truy vấn băm ( Nếu truy vấn thứ đến , đƣa đốn truy vấn truy vấn băm đặc biệt gửi tới ngƣời xác minh trung thực mà đƣợc phép tƣơng tác, nhận giá trị trả thách thức Sau gửi cho nhƣ câu phúc đáp ứng với truy vấn băm Ta gọi truy vấn băm trƣờng hợp truy vấn đốn Nếu khơng phải truy vấn thứ chọn ngẫu nhiên giá trị gửi để phúc đáp truy vấn Rõ ràng, hai trƣờng hợp giá trị trả mà nhận đƣợc có phân bố ( ): Truy vấn ký truy vấn tới tiên tri nhận đƣợc ghi ( ) Nếu giá trị băm ( ) đƣợc xác định trƣớc bỏ dở Ngƣợc lại, gửi trả chữ ký ( ) cho (cùng với giá trị băm ( ) ) Nếu đƣa chữ ký hợp lệ ( ̂ ̂ ) thơng điệp ̂, kiểm tra xem truy vấn ) có truy vấn đặc biệt đốn ( ( ̂ ̂ ) hay không Nếu chúng không nhau, kết luận bỏ dở Ngƣợc lại, gửi ̂ tới ngƣời xác minh Chú ý rằng, với điều kiện không bỏ dở thực thi đốn truy Số 2.CS (08) 2018 29 Journal of Science and Technology on Information Security vấn đặc biệt đúng, thành cơng việc giả mạo ngƣời chứng minh trung thực Lý vì: Khi truy vấn đốn với truy vấn đặc biệt, tức gửi ̂ tới ngƣời xác minh, nhận thách thức ( ̂ ̂) ( ̂ ̂ ) chữ ký hợp lệ ̂ (̂ ̂ ) xác ghi chấp nhận bỏ dở nếu, q trình trả lời truy vấn ký cho thơng điệp , nhận đƣợc ghi ( ) mà với truy vấn băm ( ) đƣợc thực Vì lƣợc đồ định danh đƣợc giả thiết tắc (và thơng điệp không suy biến) nên xác suất để xảy trƣờng hợp không đáng kể Giả sử không bỏ dở q trình thực thi, giả lập hoàn hảo cho Hơn nữa, đoán truy vấn đặc biệt với xác suất (và biến cố độc lập với biến cố đƣa chữ ký giả mạo hợp lệ) Nếu thành công việc đƣa chữ ký hợp lệ với xác suất thành cơng việc giả mạo với xác suất ( )) ( với ( ) hàm mà khơng đáng kể theo Do lƣợc đồ định danh an toàn bị động, nên suy ta nhận đƣợc khẳng định cần chứng minh Định lý cung cấp cho ta ―điều kiện đủ‖ để nhận đƣợc lƣợc đồ chữ ký số bị giả mạo tồn dƣới công sử dụng thông điệp đƣợc lựa chọn thích nghi từ việc áp dụng phép biến đổi Fiat-Shamir lên lƣợc đồ định danh, ―lƣợc đồ định danh phải an toàn kháng lại công bị động hàm băm phải đƣợc mô hình hóa nhƣ tiên tri ngẫu nhiên‖ Tuy nhiên, khơng có vậy, với mệnh đề dƣới đây, ―điều kiện đủ‖ đƣa Định lý ―điều kiện cần‖ ( ) lược Mệnh đề Cho đồ định danh Giả sử hàm băm mơ hình hóa tiên tri ngẫu nhiên Khi đó, lược đồ chữ ký số nhận từ việc áp dụng phép biến đổi Fiat-Shamir lên lược đồ bị giả mạo tồn công sử dụng thơng điệp lựa chọn thích nghi lược đồ an toàn tức kháng lại công bị động 30 Số 2.CS (08) 2018 Chứng minh Ta sử dụng phƣơng pháp phản chứng để điều cần chứng minh Giả sử ngƣợc lại lƣợc đồ chữ ký số bị giả mạo tồn dƣới công sử dụng thông điệp đƣợc lựa chọn thích nghi, nhƣng lƣợc đồ định danh khơng an tồn dƣới cơng bị động Khi đó, tồn kẻ cơng mà dựa vào khóa cơng khai mạo danh ngƣời chứng minh với xác suất đáng kể Tất nhiên đƣợc phép truy vấn số lƣợng hữu hạn (đa thức) đến tiên tri để nhận đƣợc ghi chấp nhận Mục tiêu ta xây dựng kẻ công đƣợc phép truy cập đến tiên tri ký mà sử dụng nhƣ thủ tục để giả mạo thành công chữ ký lƣợc đồ với xác suất đáng kể Kẻ công đƣợc xây dựng cách đơn giản nhƣ sau: Để đƣa chữ ký giả mạo thông điệp , trƣớc tiên chạy để sinh ( ) thông điệp tính giá trị gửi trả nhƣ giá trị thách thức Do đƣợc mơ hình hóa nhƣ tiên tri ngẫu nhiên nên giá trị thách thức mà nhận đƣợc đƣợc phân bố nhƣ giá trị thách thức khác ngƣời xác minh chọn ngẫu nhiên từ Có thể lặp lại hoạt động số hữu hạn (đa thức) lần đƣa câu phúc đáp tƣơng ứng với ) thông điệp Theo giả thiết ( ghi chấp nhận vƣợt qua đƣợc bƣớc kiểm tra ngƣời xác minh với xác suất đáng kể ( ) nhƣ chữ ký giả Cuối cùng, đƣa mạo thông điệp Rõ ràng, ngoại trừ với xác suất nhỏ không đáng kể nhƣ dƣới đây, ( ) chữ ký hợp lệ thông điệp nhận đƣợc từ ghi chấp nhận ( ) Nhƣ tạo đƣợc chữ ký hợp lệ ( ) thông điệp với xác suất đáng kể mà khơng cần biết khóa bí mật Cần lƣu ý rằng, q trình cơng để mạo danh , trƣớc đƣa phúc đáp tƣơng ứng với thách thức thơng điệp , kẻ cơng thực số lƣợng hữu hạn (đa thức) truy vấn đến tiên tri Do ta cần mơ tả xác cách mà giả lập việc truy vấn đến tiên tri Cụ thể thực nhƣ sau: Đối với truy vấn thứ đến , sinh ngẫu nhiên thông điệp , sau thực truy vấn ký đến tiên tri ký Kết Nghiên cứu Khoa học Cơng nghệ lĩnh vực An tồn thơng tin việc truy vấn ký nhận đƣợc chữ ký ( ) thơng điệp Khi đó, , xuất truy vấn trƣớc ) ( ) đó, ( bỏ dở Ngƣợc lại, gửi trả cho ghi chấp ) với ( ) nhƣ nhận ( phúc đáp lời truy vấn thứ tới tiên tri Và sử dụng ghi nỗ lực mạo danh ngƣời chứng minh Rõ ràng, thông điệp đƣợc chọn ngẫu nhiên, theo giả thiết hàm băm đƣợc mơ hình hóa nhƣ tiên tri ngẫu nhiên nên từ cách xây dựng , ta thấy xác suất để bỏ dở hoạt động khơng đáng kể Do suy ra, xác suất đƣa chữ ký hợp lệ thông điệp mà khơng cần đến khóa bí mật xấp xỉ xác suất thành công kẻ công trừ lƣợng không đáng kể Ta mô tả kẻ công đƣợc xây dựng từ kẻ công dƣới dạng thuật tốn nhƣ sau: Kẻ cơng : Kẻ cơng đƣợc cho khóa cơng khai đƣợc phép truy cập đến tiên tri ký Sinh ngẫu nhiên thông điệp Chạy ( ) thực nhƣ sau: ( ) gửi cho Tính nhƣ giá trị thách thức ngƣời xác minh Khi thực truy vấn thứ đến tiên tri , trả lời nhƣ sau: sinh ngẫu nhiên thông điệp thực truy vấn ký đến tiên tri ký , nhận chữ ký hợp lệ ( ) - Nếu , xuất truy vấn trƣớc đó, ( ) ( ) bỏ dở Ngƣợc lại, gửi cho ghi chấp ) với ( ) nhận ( Sau đƣa ghi chấp nhận ( ) đƣa ( ) nhƣ chữ ký thông điệp Tất lập luận cho thấy, sử dụng kẻ công lƣợc đồ định danh nhƣ thủ tục con, ta xây dựng đƣợc kẻ cơng mà giả mạo chữ ký lƣợc đồ chữ ký số với xác suất đáng kể Điều trái với giả thiết lƣợc đồ chữ ký số bị giả mạo tồn dƣới cơng sử dụng thơng điệp đƣợc lựa chọn thích nghi Do suy ra, lƣợc đồ định danh phải an tồn kháng lại cơng bị động C Điều kiện đủ cho tính an tồn bị động lược đồ định danh Trong mục trƣớc, với Định lý Mệnh đề 1, ta lƣợc đồ chữ ký số nhận đƣợc qua việc áp dụng Phép biến đổi Fiat-Shamir lên lƣợc đồ định danh bị giả mạo tồn dƣới cơng sử dụng thơng điệp đƣợc lựa chọn thích nghi an toàn bị động Trong mục này, chúng tơi trình bày hai tiêu chuẩn mà điều kiện đủ để lƣợc đồ định danh đạt đƣợc độ an tồn bị động Đó tiêu chuẩn không lộ tri thức cho người xác minh trung thực (HVKZ) tiêu chuẩn mạnh đặc biệt Cụ thể tiêu chuẩn đƣợc định nghĩa thức nhƣ dƣới Định nghĩa ([3, Định nghĩa 8.3]) Một lược đồ định danh không lộ tri thức cho người xác minh trung thực (HVZK) tồn thuật toán PPT cho phân bố sau khơng thể phân biệt mặt tính toán: ) ( ) ( ( ))} {( {( ) ( ) ( )} Nếu phân bố đồng nhất, ta nói khơng lộ tri thức cho người xác minh trung thực hoàn hảo Định nghĩa ([3, Định nghĩa 8.4]) Một lược đồ định danh thỏa mãn tính chất mạnh đặc biệt xác suất sau không đáng kể thuật toán PPT : [ ( ( ) ( ) ) ( ) ( )( ) ] ghi chấp nhận Số 2.CS (08) 2018 31 Journal of Science and Technology on Information Security Định lý sau hai tiêu chuẩn điều kiện đủ đảm bảo cho độ an toàn bị động lƣợc đồ định danh Định lý ([3, Định lý 8.2]) Giả sử lược đồ định danh không lộ tri thức cho người xác minh trung thực thỏa mãn tính chất mạnh đặc biệt Khi với kẻ cơng ( ) ta có: ( ) ( ) [ () ( ) 〈 ( ) ( ) 〉] | | ( ) với hàm không đáng kể ( ) Cụ thể hơn, ( )) an tồn kháng | | ( lại công bị động Chứng minh Chi tiết xem tài liệu dẫn Từ Định lý Định lý ta có hệ sau ( ) lược Hệ Cho đồ định danh thỏa mãn tiêu chuẩn Định lý Khi hàm băm mơ hình hóa tiên tri ngẫu nhiên lược đồ chữ ký số nhận từ việc áp dụng phép biến đổi Fiat-Shamir lên bị giả mạo tồn công sử dụng thông điệp lựa chọn thích nghi Chứng minh Khẳng định hiển nhiên từ Định lý IV KẾT LUẬN Trong báo trình bày nội dung phƣơng pháp xây dựng lƣợc đồ chữ ký số từ lƣợc đồ định danh với việc sử dụng phép biến đổi Fiat-Shamir Ngồi định nghĩa kết đƣợc trích dẫn từ tài liệu tham khảo [2], đóng góp chúng tơi qua báo gồm có: Phát biểu chứng minh Mệnh đề điều kiện cần lƣợc đồ định danh để đảm bảo cho lƣợc đồ chữ ký xây dựng từ an tồn Chúng đƣa Hệ nhƣ tổng kết số ―điều kiện đủ‖ cho lƣợc đồ định danh để đảm bảo tính an toàn cho lƣợc đồ chữ ký số đƣợc xây dựng từ 32 Số 2.CS (08) 2018 Đồng thời, báo, đƣa Nhận xét để tƣơng đồng Phép biến đổi Fiat-Shamir biến thể Hướng nghiên cứu tiếp theo: Việc xây dựng lƣợc đồ chữ ký số từ lƣợc đồ định danh số phƣơng pháp quan trọng, bao hàm nhiều khía cạnh tinh tế mật mã đại Trong khuôn khổ báo chƣa đủ khả nhƣ thời gian để trình bày cách đầy đủ, chi tiết, sâu sắc tất khía cạnh mật mã phƣơng pháp xây dựng này, chẳng hạn nhƣ điều kiện cho lƣợc đồ định danh để có lƣợc đồ chữ ký số đạt tính chất an tồn phía trƣớc nhƣ lƣợc đồ định danh cụ thể với tính chất an toàn tốt, tiêu biểu lƣợc đồ FiatShamir, lƣợc đồ Schnorr, lƣợc đồ GuillouQuisquater,… Ngoài ra, việc so sánh tính chất an tồn lƣợc đồ chữ ký số nhận đƣợc từ lƣợc đồ định danh qua phép biến đổi Fiat-Shamir với lƣợc đồ chữ ký số không đƣợc xây dựng dựa phép biến đổi này, (chẳng hạn nhƣ lƣợc đồ RSA, ECDSA) chƣa đƣợc đề cập đến báo Do vấn đề cần đƣợc tiếp tục nghiên cứu sâu Nghiên cứu Khoa học Công nghệ lĩnh vực An tồn thơng tin TÀI LIỆU THAM KHẢO [1] Michel Abdalla, Jee Hea An, Mihir Bellare, and Chanathip Namprempre ―From identification to signatures via the Fiat-Shamir transform: Necessary and sufficient conditions for security and forward-security‖ IEEE Transactions on Information Theory, 54(8): pp.3631-3646, 2008 [2] Amos Fiat and Adi Shamir ―How to prove yourself: Practical solutions to identification and signature problems‖ In Advances in Cryptology - CRYPTO’86, pp 186-194, Springer, 1986 [3] Jonathan Katz ―Digital signatures‖ Springer Science & Business Media, 2010 SƠ LƢỢC VỀ TÁC GIẢ ThS Võ Tùng Linh Đơn vị công tác: Viện Khoa học – Cơng nghệ mật mã, Ban Cơ yếu Chính phủ Email: vtlinh@gmail.com Q trình đào tạo: nhận Cử nhân tốn học năm 2005 Thạc sỹ toán học năm 2014 Lĩnh vực nghiên cứu nay: mật mã khóa công khai, mật mã đƣờng cong elliptic Số 2.CS (08) 2018 33 ... chất an tồn nhƣ lƣợc đồ chữ ký số nhận đƣợc từ Phép xây dựng B Điều kiện cần đủ cho độ an toàn lược đồ chữ ký số xây dựng từ lược đồ định danh ( ) lƣợc đồ định Ký hiệu danh lƣợc đồ chữ ký số nhận... lớp lƣợc đồ định danh 3pha với số tính chất đặc trƣng, gọi lược đồ định danh tắc Định nghĩa (Lƣợc đồ định danh tắc, [3]) Một lược đồ định danh thỏa mãn phát biểu gọi lược đồ định danh tắc: ) giao... lƣợc đồ định danh để đảm bảo cho lƣợc đồ chữ ký xây dựng từ an tồn Chúng tơi đƣa Hệ nhƣ tổng kết số ―điều kiện đủ‖ cho lƣợc đồ định danh để đảm bảo tính an tồn cho lƣợc đồ chữ ký số đƣợc xây dựng