γ 1≡ αa1βa2 (mod p)
7.2. HÀM HASH KHÔNG VA CHẠM
Chúng ta cần chú ý rằng,việc dùng hàm hash h không làm giảm sự an toàn của sơ đồ chữ kí vì nó là bản tóm lược thông báo được chữ kí không phải là bức điện. Điều cần thiết đối với h là cần thoả mãn một số tính chất nào đó để tranh sự giả mạo.
Kiểu tấn công thông thường nhất là Oscar bắt đầu bằng một bức diện được kí hợp lệ (x, y), y =sigK(h (x)),(Cặp (x, y) là bức điện bất kì được Bob kí trước đó). Sau đó anh ta tính z = h(x) và thử tìm x ≠ x’ sao cho h(x’) = h(x). Nếu Oscar làm được như vậy, (x’, y) sẽ là bức điện kí hợp lệ, tức một bức điện giả mạo. Để tránh kiểu tấn công này, h cần thoả mãn tính không va chạm như sau:
Định nghĩa 7.1
Hàm hash h là hàm không va chạm yếu nếu khi cho trước một bức điện x, không thể tiến hành về mặt tính toán để tìm một bức điện x ≠ x’ sao cho h (x’) = h(x).
Một tấn công kiểu khác như sau: Trước hết Oscar tìm hai bức điện x ≠ x’ sao cho h(x) =h(x’). Sau đó Oscar đưa x cho Bob và thyết phục Bob kí bản tóm lược thông báo h(x) để nhận được y. Khi đố (x’,y) là thông báo (bức điện ) giả mạo hợp lệ.
Đây là lí do đưa ra một tính chất không va chạm khác. Định nghĩa 7.2.
Hàm Hash h là không va chạm mạnh nếu không có khả năng tính toán để tìm ra bức điênk x và x’ sao cho x ≠ x’ và h(x) = h(x’).
Nhận xét rằng: không va chạm mạnh bao hàm va chạm yếu.
Còn đây là kiểu tấn công thứ 3: Như đã nói ở phần 6.2 việc giả mạo các chữ kí trên bản tóm lược thông báo z ngẫu nhiên thường xảy ra với sơ đồ chữ kí. Giả sử Oscar tính chữ kí trên bản tóm lược thông báo z ngẫu nhiên như vậy. Sau đó anh ta tìm x sao cho z= h(x). Nếu làm được như vậy thì (x,y) là bức điện giả mạo hợp lệ. Để tránh được tấn công này, h cần thoả mãn tính chất một chiều (như trong hệ mã khoá công khai và sơ đồ Lamport).
Định nghĩa 7.3.
Hàm Hash h là một chiều nếu khi cho trước một bản tóm lược thông báo z, không thể thực hiện về mặt tính toán để tìm bức điện x sao cho h(x) = z. Bây giờ ta sẽ chứng minh rằng, tính chất không va chạm mạnh bao hàm tính một chiều bằng phản chứng. Đặc biệt ta sẽ chứng minh rằng, có thể dùng thuật toán đảo với hàm Hash như một chương trình con (giả định ) trong thuật toán xác suất Las Vegas để tìm các va chạm.
Sự rút gọn này có thể thực hiện với một giả thiết yếu về kích thước tương đối của vùng và miền (domain and range) của hàm Hash. Ta cũng sẽ giả thiết tiếp là hàm Hash h: X→Z, X,Z là các tập hữu hạn và X≥ 2Z. Đây là giả thiết hợp lí :Nếu xem một phần tử của X được mã như một xâu bít có độ dài log2X và phần tử của Z được mã hoá như một xâu bít có độ dài log2X
(ta sẽ quan tâm đến tình huống vùng X là vô hạn vì khi đó có thể xem xét các bức điện dài tuỳ ý. Lập luận đó của ta cũng áp dụng cho tình huống này). Tiếp tục giả thiết là ta có một thuật toán đảo đối với h, nghĩa là có một thuật toán A chấp nhận như đầu vào bản tóm lược thông báo z∈Z và tìm một phần tử A(z) ∈ X sao cho h(A(z)) = z.
Ta sẽ chứng minh địng lí dưới đây:
Định lí 7.1:
Giả sử h: X→Z là hàm Hash, trong đó XvàZ hữu hạn và X≥
2Z. Cho A là thuật toán đảo đối với h. Khi đó tồn tại một thuật toán Las Vagas xác suất tìm được một va chạm đối với h với xác suất ít nhất là1/2.
Chứng minh :
Xét thuật toán B đưa ra trong hình 7.2. Rõ ràng B là một thuật toán xác suất kiểu Las Vegas vì nó hoạc tìm thấy một va chạm, hoặc cho câu trả lời không. Vấn đề còn lại là ta phải tịnh xac suất thành công, Với x bất kỳ thuộc X, định nghĩa x ∼ x1 nếu h(x) = h(x1). Dễ thấy rằng, ∼ là quan hệ tương đương. Ta định nghĩa:
[x] = {x1∈X: x ∼x1}
Mỗi lớp tương đương [x] chứa ảnh đảo của một phần tử thuộc Z nên số các lớp tương đương nhiều nhất là Z. Kí hiệu tập các lớp tương đương là C. Bây giờ giả sử, x là phần tử ∈X được chọn trong bước 1. Với giá trị x này, sẽ có[x]giá trị x1 có thể cho phép trở lại bước 3. [x]-1 các giá trị x1 này khác với x và như vậy bước 4 thành công. (Chú ý rằng thuật thoán A không biết biểu diễn các lớp tương đương [x] đã chon trong bước 1). Như vậy, khi cho trước lựa chọn cụ thể x∈X, xác suất thành công là
([x)-1/[x].
1.chọn một ssó ngẫu nhiên x ∈X 2.Tính z=h(x) 3.Tinh x1= A(Z) 4. if x1 ≠ x then x và x1 va chạm dưới h (thành công) else Quit (sai)
Xác suất thành công của thuật toán B bằng trung bình cộng tất cả các lựa chon x có thể: P(thành công) = (1/X)∑x∈X([x]-1)/[x] = (1/X) ∑c∈C∑x∈C(c-1)/c = 1/X∑c∈C(c-1) = (1/X) ∑c∈Cc - ∑ c∈C1 >= (X -Z) / X >= ((X -Z)/2) /X= ẵ
Như vậy, ta đã xây dựng thuật toán Las Vegas có xác suất thành công ít nhất bằng 1/2.
Vì thế, đó là điều kiện đủ để hàm Hash thoả mãn tính chất không va chạm mạnh vì nó bao hàm hai tính chất khác.Phần còn lại của chương này ta chỉ quan tâm đến các hàm Hash không va chạm mạnh.
7.3 TẤN CÔNG NGÀY SINH NHẬT(birthday)
Trong phần này, ta sẽ xác định điều kiện an toàn cần thít ch hàm Hash và điều kiện này chỉ phụ thuộc vào lực lượng của tập Z (tương đương về kích thước của bảng thông báo ).Điều kiện cần thiết nà rút ra tư phương pháp tìm kiếm đơn giản ác va chạm mà người ta đã biết đến dưới cái tên tấn công ngày sinh nhật (birthday phương pháparradox), trong bài toán:một nhóm 23 người ngẫu nhiên, có ít nhất 2 người có ngày sinh trùng nhau với xác suất ít nhất là1/2.(Dĩ nhiên, đây chưa phải là nghịch lí,song đó là trực giác đối lập có thể xảy ra). Còn lí do của thuật ngữ “tấn công ngày sinh nhật ” sẽ rõ ràng khi ta tiếp tuch trình bày.
Như trước đây, ta hãy giả sử rằng :h:X→Z là hàm Hash, X,Z hữu hạn và X >=2Z.Địng nghĩa X = m vàZ = n.Không khó khăn nhận thấy
rằng, có ít nhất n va chạm và vấn đề đằt ra là cách tìm chúng. Biện pháp đơn sơ nhất là chọn k phần tử ngẫu nhiên phân biệt x1,x2…..xk ∈X, tính z1 = h(x1),1<= i <= k và sau đó xác định xem liệu có xảy ra va chạm nào không (bằng cách, chẳng hạn như sáp xếp lại các zi).
Quá trình này tương tự với việc ném k quả bóng vào thùng và sau đó kiểm tra xem liệu có thùng nào chứa ít nhất hai quả hay không (k qủa bóng tương đương với k giá trị xi ngẫu nhiên và n thùng tương ứng với n phần tử có thể trong Z).
Ta sẽ giới hạn dưới của xác suất tìm thấy một va chạm theo phương pháp này.Do chỉ quan tâm đến giới hạn dưới về xác suất va chạm nên ta sẽ giả sử rằng h-1 (z)≈ m/n với mọi z ∈Z. (đây là giả thiết hợp lí :Nếu các ảnh đảo không xấp xỉ bằng nhau thì xác suất tìm thấy một va chạm sẽ tăng lên ).
Vì các ảnh đảo đều có kích thước bằng nhau và các xi được chọn một cách ngẫu nhiên nên các z i nhận được có thể xem như các phần tử ngẫu nhiên của Z. Song việc tính toán xác suất để các phần tử ngẫu nhiên z1, z2,.... zk ∈Z là riêng biệt khá đơn giản.Xét các zi theo thứ tự z1, …,zk. Phép chọn z1 đầu tiên là tuỳ ý. Xác suất để z2≠z1 là 1-1/n; xác suất để z3 ≠ z1 và z2 là 1- 2/n. vv… Vì thế ta ước lượng xác suất để không có va chạm nào là:
(1-1/n)(1-2/n)… (1-(k-1/n)) = (1-1/n)
Nếu x là số thực nhỏ thì 1- x ≈ e-x. Ước lượng này nhận dược từ hai số hạng đầu tiên của cá chuỗi khai triển.
e-x = 1 - x + x2/2! - x3/3! ... Khi đó xác suất không có va chạm nào là :
∏− ∏ = − = ≈ − 1 k 1 i 1 k 1 i ) n i 1 ( e-1/n = e -k(k-1)/n
Vì thế ta ước lượng xác suất để có ít nhất một va chạm là 1-e-k(k-1)/n
Nếu kí hiệu xác suất này là ε thì có thể giải phương trình đối với k (như một hàm của n và ε) 1-e-k(k-1)/n≈ 1 -ε -k(k-1)/n ≈ ln(1-ε) k2 - k ≈ nln 1/(1-ε) Nếu bỏ qua số hạng k thì : k= ε 1− 1 ln n
Nếu lấy ε = 0.5 thì k ≈1.17 n
Điều này nói lên rằng, việc chặt (băm) trên nphần tử ngẫu nhiên của X sẽ tạo ra một va chạm với xác suấtt 50%. Chú ý rằng, cách chọn ε khác sẽ dẫn đến hệ số hằng số khác song k vẫn tỷ lên với n.
Nếu X là tập người,Y là tập gồm 365 ngỳ trong năm (không nhuận tức tháng 2 có 29 ngày) còn h(x) là ngày sinh nhật của x, khi đó ta sẽ giả guyết bằng nhgịch lý ngày sinh nhật. Lấy n = 365, ta nhận được k ≈ 22,3. Vì vậy, như đã nêu ở trên, sẽ có ít nhất 2 người có ngày sinh nhật trùng nhau trong 23 người ngẫu nhiên với xác suất ít nhất bằng 1/2.
Tấn công ngày sonh nhật đặt giới hạn cho các kích thước các bản tóm lược thông báo. bản tóm lược thông báo 40 bit sẽ không an toàn vì có thể tìm thấy một va chạm với xác suất 1/2 trên 220 (khoảng1.000.000)đoạn chặt ngẫu nhiên. Từ đây cho thấy rằng, kích thước tối thiểu chấp nhận được của bản tóm lược thông báo là 128 bit (tấn công ngày sinh nhật cần trên 264 đoạn chặt trong trường hợp này). Đó chính là lý do chọn bản tóm lược thông báo dài 160 bit trong sơ đồ DSS.
Hình7.3. Hàm hash chaum-Van heyst-Plitzmann.