3.4.3.1. Tấn công khóa bí mật
Mức độ an toàn của lược đồ chữ ký IFP-DLP tập thể ở đây được thiết lập dựa trên mức độ an toàn của lược đồ IFP-DLP cơ sở II đã đề xuất ở mục 3.3.3. Do vậy, về cơ bản mức độ an toàn của lược đồ chữ ký IFP-DLP tập thể cũng được quyết định bởi mức độ khó của việc giải đồng thời hai bài toán IFP và DLP.
Ngoài ra, lược đồ IFP-DLP tập thể có khả năng chống lại các cuộc tấn công khóa bí mật dựa vào lộ khóa phiên hoặc trùng khóa phiên.
Theo “nghịch lý ngày sinh” thì việc có thể lộ khóa phiên hoặc trùng khóa phiên là có thể xảy ra. Tuy nhiên, do cấp của phần tử sinh g là tham số m được giữ bí mật nên nếu xảy ra tình huống lộ khóa phiên hoặc trùng khóa phiên thì kẻ tấn công cũng khó có thể tính được khóa bí mật. Cụ thể các trường hợp như sau:
- Trường hợp tấn công khóa ngắn hạn k (khóa phiên) bị lộ:
Giả sử khi khóa phiên bị lộ trong một lần thực hiện việc ký trên thông điệp M nào đó thì khóa bí mật xca2 được tính từ công thức:
2 mod ca ca u S x k S m, trong đó kca H x( ca1||M) Suy ra: 1 2 mod ca ca u x S k S m
Do m được giữ bí mật nên kẻ tấn công sẽ khó xác định được xca2. - Trường hợp tấn công khóa ngắn hạn k (khóa phiên) bị trùng lặp:
Khi khóa phiên bị trùng lặp, giả sử thông điệp M và M’ dùng cùng một khóa phiên, khi đó khóa bí mật xca2 sẽ được tính bởi công thức:
2 mod ca ca u S x k S m ↔ 1 2 ( ( ) ) mod ca ca u k S x S m (3.40a) ' ' 2 mod ca ca u S x k S m ↔ ' 1 ' 2 ( ( ) ) mod ca ca u k S x S m (3.40b)
Trong đó, thông điệp M, M’ và giá trị Su tính được từ các bước 3÷7 trong thuật toán 3.5.
Từ (3.40a) và (3.40b) ta có đẳng thức sau: 1 ' 1 ' 2 2 (S(xca ) Su) modm(S (xca ) Su) modm Từ đó ta có: ' ' 1 2 ( ) ( ) mod ca u u x SS S S m
Do m được giữ bí mật nên không thể xác định được xca2.
Như vậy, trong các tình huống lộ khóa phiên hoặc trùng khóa phiên thì lược đồ chữ ký vẫn an toàn với điều kiện g đủ lớn để chống tấn công bằng thuật toán trong [18].
3.4.3.2. Tấn công giả mạo chữ ký
Mức độ an toàn của lược đồ IFP-DLP tập thể khi bị tấn công giả mạo chữ ký cũng được chứng minh tương tự như ở lược đồ IFP-DLP cơ sở II.
Từ điều kiện của thuật toán kiểm tra chữ ký, một cặp ( , )E S bất kỳ sẽ được coi là chữ ký hợp lệ của đối tượng sở hữu các tham số công khai ( , , )n g y
lên bản tin M nếu thỏa mãn:
.
|| ( S yca E) mod
EH M g y n (3.41)
Theo như (3.41) cho thấy, việc tìm cặp ( , )E S bằng cách chọn trước một trong hai giá trị, sau đó tính giá trị còn lại đều khó hơn việc giải DLP(n,g). Ngoài ra, để nâng cao độ an toàn cho thuật toán thì có thể chọn hàm băm có độ an toàn cao như SHA-256, SHA-512,... Khi đó, việc chọn ngẫu nhiên cặp ( , )E S thỏa mãn (3.41) hoàn toàn không khả thi trong các ứng dụng thực tế.
Ngoài ra, với các lược đồ chữ ký bội nói chung và lược đồ chữ ký tập thể đề xuất ở đây luôn tiềm ẩn nguy cơ tấn công giả mạo từ bên trong hệ thống. Trong lược đồ IFP-DLP tập thể thì chữ ký tập thể ở đây được tạo ra từ nhiều chữ ký cá nhân của các thành viên. Do đó, có thể xảy ra khả năng tấn công giả mạo chữ ký cá nhân của các đối tượng ký trong quá trình hình thành chữ ký tập thể. Để giải quyết vấn đề này, trong thuật toán 3.5 ở bước 7.1, CA sẽ thực hiện kiểm tra tính hợp pháp của các thành viên nhóm ký theo điều kiện kiểm tra:
Nếu Si E mod
i i
thành viên đó không thuộc hệ thống.
Trên đây là một số tình huống tấn công giả mạo từ bên trong hệ thống. Trong quá trình triển khai, ứng dụng vào thực tế, cần tiếp tục nghiên cứu và giải quyết các tình huống giả mạo khác có thể xảy ra.