Do đề xuất ở đây là việc sử dụng khóa bí mật tức thời�� = �1(�||�) thay cho� trong quá trình sinh chữ ký, nên lược đồ đề xuất chỉ làm tăng một phép tính hàm băm Do vậy, việc bổ sung này không làm ảnh hưởng nhiều đến hiệu suất của lược đồ Lưu ý rằng, về mặt hình thức hàm băm�1 sẽ phải khác với hàm băm� nhằm phục vụ việc đánh giá độ an toàn lý thuyết của lược đồ EC-Schnorr-M, tuy nhiên trên thực tế khi cài đặt chúng chỉ cần là các thể hiện khác nhau của một hàm băm cụ thể Ví dụ, với hàm băm cụ thể là SHA-3 chúng ta có thể xây dựng hai thể hiện khác nhau của nó là
�( ) =⋅ SHA-3(0, )⋅ và�1( ) =⋅ SHA-3(1, )⋅
2 3 3 Phân tích về khả năng chống tấn công lặp khóa bí mật tức thời củaEC-Schnorr-M EC-Schnorr-M
Đối với lược đồ EC-Schnorr-M, do trong hai lần ký đối với hai thông điệp�1 ≠ �2 ta sử dụng các khóa bí mật tức thời tương ứng có dạng
�1(�||�1) và�1(�||�2), hai khóa này được đảm bảo là khác nhau ngoại trừ xác suất không đáng kể, do tính chất của hàm băm kháng va chạm và do vậy có khả năng kháng tấn công khôi phục khóa ký từ việc dùng lặp lại khóa bí mật tức thời nếu bộ sinh số ngẫu nhiên yếu được sử dụng
Giả sử rằng bộ sinh số giả ngẫu nhiên là “tồi” theo nghĩa không khó để tìm ra một giá trị nonce được sinh ra trong hai lần khác nhau với một xác suất đáng kể Khi đó, lược đồ chữ ký số EC-Schnorr gốc không đảm bảo an toàn trước tấn công khai thác giá trị nonce lặp lại với một xác suất đáng kể Trong khi đó, lược đồ chữ ký số EC-Schnorr-M sẽ chống lại tấn công này ngoại trừ xác suất không đáng kể (xác suất va chạm của hàm băm�1)
Lược đồ chữ ký số EC-Schnorr-M có độ an toàn tương đương với EC- Schnorr gốc (được chứng minh ở phần sau) nhưng có ưu điểm là chống được các bộ sinh số ngẫu nhiên tồi, thường hay gặp khi cài đặt không đúng hoặc bị tấn công có chủ đích đối với bộ sinh số ngẫu nhiên
Một điểm chú ý nữa đối với EC-Schnorr-M, vì là lược đồ chữ ký số xác suất nên các tấn công gây lỗi trên lược đồ chữ ký số EC-Schnorr tất định đã phân tích ở trên khó có thể áp dụng đối lược đồ chữ ký số EC-Schnorr-M
2 3 4 Phân tích về độ an toàn của EC-Schnorr-M trước kiểu tấn công giả mạo sử dụng thông điệp được lựa chọn thích nghi
Tiếp theo, chúng ta sẽ xem xét trường hợp bộ sinh số ngẫu nhiên là “tốt” Như một ví dụ minh họa, NCS chứng minh rằng hai lược đồ EC- Schnorr và EC-Schnorr-M sẽ có độ an toàn tương đương Thuật ngữ “an toàn” mà NCS sử dụng với ý nghĩa là khả năng chống các tấn công nhằm giả mạo chữ ký
Mệnh đề 2 2 Với cùng điều kiện tham số miền, cặp khóa và hàm băm, lược đồ chữ ký số EC-Schnorr-M an toàn tương đương với lược đồ chữ ký số EC- Schnorr gốc dưới tấn công giả mạo chữ ký sử dụng thông điệp được lựa chọn thích nghi
Chứng minh: Chúng ta giả sử rằng lược đồ chữ ký số EC-Schnorr gốc và lược đồ EC-Schnorr-M có chung bộ tham số miền và cặp khóa bí mật, công khai như sau:
- Số nguyên tố p lớn xác định trường hữu hạn��
- Đường cong elliptic�(�, �) ∶� 2 = � 3 + �� + � với A, B��, 4�3 + 27�2 ≠ 0 ����
- Điểm cơ sở� = (�� , �� )�(�, �) có cấp� nguyên tố
- Hai hàm băm H và H1 là các hàm ngẫu nhiên3 kháng va chạm, kháng tiền ảnh, tiền ảnh thứ hai
- Cặp khóa bí mật/công khai của người ký nào đó (a là khóa bí mật của người ký, Q = aP là khóa công khai)
Hàm trả giá trị ngẫu nhiên đối với mỗi đầu vào mới, tuy nhiên nếu một đầu vào được tính hai lần thì chỉ một kết quả duy nhất được đưa ra
Giả sử tồn tại cặp thông điệp, chữ ký giả mạo hợp lệ (trước kiểu tấn công tốt nhất bằng việc sử dụng thông điệp được lựa chọn thích nghi) của EC- Schnorr là (�, (�, �)), thì nó cũng là cặp giả mạo hợp lệ của EC-Schnorr-M do phương trình và các bước xác minh của cả hai lược đồ là giống nhau Do đó, EC-Schnorr “không kém an toàn hơn” EC-Schnorr-M
Ngược lại, nếu ta có thể giả mạo cặp (thông điệp, chữ ký) hợp lệ của EC-Schnorr-M là (�, (�, �)) thì nó cũng là cặp giả mạo hợp lệ của EC- Schnorr Do đó, EC-Schnorr-M cũng “không kém an toàn hơn” EC-Schnorr
Như vậy, chúng ta có thể kết luận rằng EC-Schnorr-M là “an toàn tương đương” với EC-Schnorr gốc ■
Định lý 2 3 [19] Nếu một giả mạo tồn tại của lược đồ chữ ký Schnorr được tìm thấy dưới một tấn công sử dụng thông điệp được lựa chọn thích nghi, có xác suất thành công đáng kể, thì bài toán logarit rời rạc trong các nhóm con có thể được giải trong thời gian đa thức
Kết hợp kết quả của Mệnh đề 2 2 và Định lý 2 3, chúng ta thu được hệ quả sau đối với lược đồ chữ ký số EC-Schnorr-M như sau
Thuật toán ký EC-Schnorr gốc Thuật toán ký EC-Schnorr-M
1 �∈� [1, � − 1] �∈� [1, � − 1],�� = �1(�||�), nếu�� = 0 ���� thì chọn lại� 2 � = �� = (�� , �� ) � = ��� = (�� , �� )
3 � = �(�||�� ), nếu r = 0 mod q thì quay lại bước 1
� = �(�||�� ), nếu� = 0 ���� thì quay lại bước 1
4 s = (� – ��) ����, nếu� = 0 thì quay lại bước 1
� = (�� – ��) ����, nếu� = 0 thì quay lại bước 1 5 Chữ ký của� là (�, �) Chữ ký của� là (�, �)
Thuật toán xác minh của EC-Schnorr gốc
Thuật toán xác minh của EC-Schnorr-M
1 �, � [1, �– 1]? �, � [1, �– 1]?
2 � = �� + �� = (�� , �� ) � = �� + �� = (�� , �� ) 3 � = �(�||�� )? � = �(�||�� )?
Hệ quả 2 4 Lược đồ chữ ký số EC-Schnorr-M an toàn trước kiểu tấn công sử dụng thông điệp được lựa chọn thích nghi
2 4 Chứng minh chi tiết cho lược đồ chữ ký số EC-Schnorr-M
2 4 1 Một số định nghĩa
Định nghĩa 2 5 [22] (Tính không thể giả mạo) Chúng ta nói rằng một lược đồ chữ ký (������, ����, ������) là không thể giả mạo nếu không có kẻ tấn
công nào, mà được nhận khóa công khai� và các chữ ký của � thông điệp
�1, , �� được chọn một cách thích nghi, có thể đưa ra một chữ ký trên một thông điệp mới� với xác suất đáng kể
Định nghĩa 2 6 [22] (Không có đa va chạm) Một hàmℎ được gọi là không có ℓ-va chạm, nếu không tồn tại một bộ (�1, , �ℓ) bao gồm các phần tử đôi một phân biệt sao choℎ(�1) = = ℎ(�ℓ)
Định nghĩa 2 7 [22] (Kháng đa va chạm) Một hàmℎ được gọi là kháng ℓ-va chạm, nếu về mặt tính toán không thể tìm được một bộ (�1, , �ℓ) bao gồm các phần tử đôi một phân biệt sao choℎ(�1) = = ℎ(�ℓ)
Chúng ta có thể thấy, một hàm kháng va chạm cũng là một hàm kháng 2-va chạm