Giả mạo chữ ký (không tính trực tiếp khóa bí mật)

Một phần của tài liệu Nghiên cứu một số loại tấn công chữ ký (Trang 47 - 49)

1/. Trường hợp 1: Giả mạo chữ ký không cùng với tài liệu được ký.

+ H cố gắng giả mạo chữ ký trên x, mà không biết khóa bí mật a. Như vậy, H phải tính được γ và δ.

* Nếu chọn trước γ, H phải tính δ qua đẳng thức hγ *γδ ≡gxmodp (E2) Tức là γδ ≡gxh−γ modp hay δ ≡logγ gxh−γ modp.

* Nếu chọn trước δ, H phải tính γ qua phương trình: hγ *γδ ≡gxmodp.

Hiện nay chưa có cách hữu hiệu 2 trường hợp trên, nhưng phỏng đoán là khó hơn bài toán logarit rời rạc.

Có thể có cách tính γ, δ đồng thời với (γ, δ) là chữ ký? Chưa có trả lời rõ! * Nếu chọn trước γ, δ, sau đó tính x, H phải đối dấu với bài toán logarit rời rạc. Ta có hγ *γδ ≡gxmodp (E2).

Như vậy x log g logghγ *γδ

x

g

H có thể ký trên tài liệu ngẫu nhiên bằng cách chọn trước đồng thời x, γ, δ.

Cách 1

* Chọn x, γ, δ thỏa mãn điều kiện kiểm thử như sau:

Chọn các số nguyên i, j sao cho 0 ≤ i, j ≤ p-2, (j, p-1) = 1 và tính:

p h gi jmod = γ , δ=−γj−1mod(p−1), x=−γij−1mod(p−1) .

Trong đó j−1 được tính theo mod (p-1) (nghĩa là j nguyên tố với p-1). * Chứng minh (γ, δ) là chữ ký trên x, bằng cách kiểm tra điều kiện kiểm thử:

p g p h g h p h g h

hγγδ ≡ γ( i j)−γ.j−1mod ≡ γ −i.γ.j−1 −γ mod ≡ xmod

Cách 2

* Nếu (γ, δ) là chữ ký trên tài liệu x có từ trước, thì có thể giả mạo chữ ký trên tài liệu x’ khác.

+ Chọn số ngẫu nhiên k, i, j thỏa mãn 0 ≤ k, i, j ≤ p-2, (k γ - j δ, p-1) = 1 và tính:

p h gi j k mod γ λ= , µ=δλ(kγ − jδ)−1mod(p−1), ) 1 mod( ) )( ( '= kx+i kj −1 px λ δ γ δ

* (λ, µ) là chữ ký trên x’, và thỏa mãn điều kiện kiểm thử:

p g

hλλµ ≡ x'mod

Chú ý

Cả hai cách giả mạo nói trên đều cho chữ ký đúng trên tài liệu tương đương, nhưng đó không phải là tài liệu được chọn theo ý của người giả mạo. Tài liệu đó đều được tính sau khi tính chữ ký, vì vậy giả mạo loại này trong thực tế cũng không có ý nghĩa nhiều.

Một phần của tài liệu Nghiên cứu một số loại tấn công chữ ký (Trang 47 - 49)

Tải bản đầy đủ (DOC)

(54 trang)
w