Trong phần này, một số tính chất của hàm băm mà liên quan đến độ an toàn của lược đồ chữ ký số EC-Schnorr sẽ được xem xét. Lưu ý rằng, một bài toán được xem là khó nếu xác suất để giải được bài toán đó trong thời gian đa thức là không đáng kể.
Định nghĩa 1.4 [14]. Một hàm băm 𝐻 được gọi là kháng va chạm nếu việc tìm ra hai thông điệp 𝑚1 ≠ 𝑚2 sao cho 𝐻(𝑚1) = 𝐻(𝑚2) là khó.
Định nghĩa 1.5 [24]. Một hàm băm 𝐻 được gọi là kháng tiền ảnh với tiền tố ngẫu nhiên trên miền 𝐷 (rpp[𝐷]) nếu với ℎ là một giá trị được chọn ngẫu nhiên trước bởi kẻ tấn công và 𝑈 là chuỗi bit ngẫu nhiên trong miền 𝐷 được chọn trước bởi người thách thức thì việc kẻ tấn công tìm ra thông điệp 𝑚
thỏa mãn 𝐻(𝑚||𝑈) = ℎ là khó.
Định nghĩa 1.6 [24]. Một hàm băm 𝐻 được gọi là kháng tiền ảnh thứ hai với tiền tố ngẫu nhiên trên miền 𝐷 (rpsp[𝐷]) nếu với 𝑚 là một thông điệp được chọn trước bởi kẻ tấn công và 𝑈 là chuỗi bit ngẫu nhiên trong miền 𝐷 được chọn trước bởi người thách thức thì việc kẻ tấn công tìm ra thông điệp 𝑚′ ≠ 𝑚 thỏa mãn 𝐻(𝑚||𝑈) = 𝐻(𝑚′|| 𝑈) là khó.
Theo [24], nếu hàm băm 𝐻 đạt được tính kháng va chạm thì nó cũng đạt được tính chất kháng tiền ảnh với tiền tố ngẫu nhiên và kháng tiền ảnh thứ hai với tiền tố ngẫu nhiên. Lưu ý rằng kết quả trong [24] đúng cho “tiền tố” (prefix) thì cũng đúng cho “hậu tố” (postfix).
Đối với một số lược đồ chữ ký số như DSA, ECDSA, ECGDSA,… để đạt được tính chất an toàn như trong Định nghĩa 1.2, điều kiện đối với hàm
băm 𝐻 được sử dụng là đạt được tính kháng va chạm. Bởi trong các lược đồ này, các thông điệp được băm trực tiếp bởi hàm băm 𝐻, và sau đó giá trị băm thu được cùng với các khóa bí mật dài hạn (khóa ký) và ngắn hạn được sử dụng để tính ra chữ ký. Do đó, nếu tồn tại hai thông điệp 𝑚1 ≠ 𝑚2 sao cho 𝐻(𝑚1) = 𝐻(𝑚2) thì bất cứ chữ ký (𝑟, 𝑠) nào là hợp lệ với 𝑚1, cũng là hợp lệ với 𝑚2. Do đó, kẻ tấn công dễ dàng tìm ra một giả mạo tồn tại trên các lược đồ chữ ký số này bằng cách yêu cầu người ký ký lên thông điệp 𝑚1 để thu được chữ ký (𝑟, 𝑠) và đưa ra cặp chữ ký - thông điệp hợp lệ là (𝑟, 𝑠) và 𝑚2.
Tuy nhiên, ngay cả khi kẻ tấn công có khả năng tìm ra va chạm của hàm băm, thì anh ta vẫn gặp khó khăn trong việc tìm ra một chữ ký giả mạo trên một thông điệp mới nào đó trong lược đồ chữ ký số EC-Schnorr (nghĩa là, không thể thực hiện việc giả mạo giống như với các lược đồ chữ ký số DSA, ECDSA, ECGDSA,…). Thật vậy, do thông điệp được băm trong lược đồ chữ ký số EC-Schnorr được đưa ra bởi phép nối thông điệp ký với một thành phần được sinh ra trong mỗi lần ký, nên để thực hiện việc giả mạo dựa trên cặp thông điệp “va chạm” tìm được đối với hàm băm 𝐻 thì ít nhất cặp va chạm này cần có các bit cuối giống nhau. Do đó, kẻ tấn công không thể lợi dụng một cặp va chạm bất kỳ của hàm băm 𝐻 để thực hiện việc giả mạo.
Dựa theo hai kết quả trong [24] cho lược đồ chữ ký số Schnorr tổng quát, ta nhận thấy rằng nếu hàm băm 𝐻 được sử dụng không thỏa mãn tính chất rpp[𝐷] hoặc rpsp[𝐷], với 𝐷 = {𝑥𝑅|𝑅 ∈ 𝐸(𝔽𝑝) và có cấp 𝑞}, thì kẻ tấn công có thể dễ dàng tìm ra được giả mạo của lược đồ chữ ký số Schnorr theo kịch bản tấn công lựa chọn thông điệp thích nghi. Dưới đây, ta sẽ phát biểu lại hai kết quả này để phù hợp cho lược đồ chữ ký số EC-Schnorr.
Mệnh đề 1.7 [24]. Nếu hàm băm 𝐻 được sử dụng không thỏa mãn tính chất rpp[𝐷], với 𝐷 = {𝑥𝑅|𝑅 ∈ 𝐸(𝔽𝑝) và có cấp 𝑞} thì lược đồ chữ ký số EC- Schnorr sẽ không an toàn theo Định nghĩa 1.2.
Chứng minh: Gọi 𝒜 là một kẻ tấn công tính chất rpp[𝐷] của hàm băm 𝐻, chúng ta xác định một thuật toán cho ℬ với đầu vào là khóa công khai 𝑝𝑘 = 𝑄 của người ký và điểm 𝑃 ∈ 𝐸(𝔽𝑝) có cấp q, ta đi tìm giả mạo của lược đồ chữ ký số EC-Schnorr như sau:
1. ℬ chạy 𝒜, và đợi 𝒜 trả về giá trị 𝑟.
2. Sau khi nhận được giá trị r, ℬ chọn ngẫu nhiên 𝑠 ∈ ℤ𝑞 và tính 𝑅 = 𝑠𝑃 + 𝑟𝑄, sau đó gửi cho 𝒜 giá trị thách thức 𝑈 = 𝑥𝑅.
3. Sau khi nhận được thông điệp 𝑚 thỏa mãn 𝐻(𝑚||𝑈) = 𝑟 mà 𝒜 trả về, ℬ đưa ra cặp thông điệp 𝑚 và chữ ký trên thông điệp đó là (𝑟, 𝑠).
Hiển nhiên (𝑟, 𝑠) là chữ ký hợp lệ trên thông điệp 𝑚 do 𝑅 = 𝑠𝑃 + 𝑟𝑄 và 𝑟 = 𝐻(𝑚||𝑥𝑅) thỏa mãn phương trình xác minh của lược đồ chữ ký số EC- Schnorr. Và do, ℬ chỉ sử dụng dữ liệu công khai để thực hiện việc giả mạo, nên ℬ được xem là thành công trong việc tìm ra giả mạo trên lược đồ chữ ký số EC-Schnorr. Nói cách khác, lược đồ chữ ký số EC-Schnorr là không an toàn theo Định nghĩa 1.2 nếu hàm băm không thỏa mãn rpp[𝐷].■
Mệnh đề 1.8 [24]. Nếu hàm băm 𝐻 được sử dụng không thỏa mãn tính chất rpsp[𝐷], với 𝐷 = {𝑥𝑅|𝑅 ∈ 𝐸(𝔽𝑝) và có cấp 𝑞} lược đồ chữ ký số EC-Schnorr sẽ không an toàn theo Định nghĩa 1.2.
Chứng minh: Gọi 𝒜 là một kẻ tấn công tính chất rpsp[𝐷] của hàm băm 𝐻, chúng ta xác định một thuật toán cho ℬ tìm giả mạo của lược đồ chữ ký số EC- Schnorr theo kịch bản lựa chọn thông điệp thích nghi (nghĩa là ngoài dữ liệu công khai là khóa công khai 𝑝𝑘 = 𝑄 của người ký và điểm 𝑃 ∈ 𝐸(𝔽𝑝) có cấp q, ℬ còn được phép yêu cầu chữ ký của người ký trên một thông điệp bất kỳ) như sau:
1. ℬ chạy 𝒜, và đợi 𝒜 đưa ra thông điệp 𝑚.
2. Sau khi nhận được 𝑚, ℬ yêu cầu chữ ký (𝑟, 𝑠) của người ký trên thông điệp 𝑚, tính 𝑅 = 𝑠𝑃 + 𝑟𝑄, sau đó gửi cho 𝒜 giá trị thách thức 𝑈 = 𝑥𝑅.
3. Sau khi nhận được thông điệp 𝑚′ ≠ 𝑚 sao cho 𝐻(𝑚||𝑥𝑅) = 𝐻(𝑚′||𝑥𝑅) mà 𝒜 đưa ra, thì ℬ đưa ra cặp thông điệp 𝑚′ và chữ ký trên thông điệp đó là (𝑟, 𝑠).
Do, 𝐻(𝑚||𝑥𝑅) = 𝐻(𝑚′||𝑥𝑅) và (𝑟, 𝑠) là chữ ký hợp lệ trên 𝑚, nên (𝑟, 𝑠) cũng là chữ ký hợp lệ trên 𝑚′. Mặt khác, do ℬ chưa bao giờ yêu cầu chữ ký trên thông điệp 𝑚′, nên ℬ được xem là thành công trong việc tìm ra giả mạo trên lược đồ chữ ký số EC-Schnorr. Nói cách khác, lược đồ chữ ký số EC-Schnorr là không an toàn theo Định nghĩa 1.2 nếu hàm băm không thỏa mãn tính chất rpsp[𝐷].■
Hai kết quả trên cho thấy, để đảm bảo độ an toàn cho lược đồ chữ ký EC-Schnorr, điều kiện cần đối với hàm băm 𝐻 được sử dụng là có tính chất rpp[𝐷] hoặc rpsp[𝐷], với 𝐷 = {𝑥𝑅|𝑅 ∈ 𝐸(𝔽𝑝) và có cấp 𝑞}. Theo [24], một hàm băm có tính chất kháng va chạm sẽ đảm bảo điều kiện cần như vậy.
Lưu ý: Theo khuyến nghị của NIST trong SP 800-57 [53] thì độ dài bit đầu ra của hàm băm được sử dụng trong các lược đồ chữ ký số phải bằng hoặc lớn hơn độ an toàn tính theo độ dài bit của 𝑞 (cấp của điểm cơ sở).