Chúng ta cần xây dựng một bộ mô phỏng mà đưa ra các chữ ký của một thông điệp cho trước trong thời gian đa thức hợp lý mà không thể phân biệt được với bộ ký thực sự. Do đó, nếu kẻ tấn công có thể xây dựng thành công một tấn công lựa chọn thông điệp thích nghi bằng cách sử dụng bộ ký hợp lệ, thì anh ta cũng có thể thực hiện công việc tương tự chỉ với bộ mô phỏng. Khi đó chúng ta có thể sử dụng Bổ đề Forking cải tiến như một công cụ để tính logarit rời rạc của khóa công khai, vì vậy giải quyết được bài toán ECDLP.
Trong [22] Bổ đề Forking cải tiến được sử dụng để chứng minh cho các
lược đồ chữ ký kiểu ElGamal tin cậy TEGTSS. Trong trường hợp sử dụng nhóm điểm đường cong elliptic, Bổ đề Forking cải tiến có thể áp dụng cho các
lược đồ dạng EC-TEGTSS [31]. Cụ thể, các công trình [31] và [57] đã sử
dụng Bổ đề Forking cải tiến để phân tích độ an toàn cho các biến thể của lược đồ chữ ký ECDSA và GOST R 34.10-2012 mà có dạng EC-TEGTSS. Do vậy, để sử dụng kỹ thuật tương tự nhằm đánh giá EC-Schnorr, trước tiên chúng ta nhắc lại khái niệm về lược đồ dạng này.
Một lược đồ là EC-TEGTSS nếu nó có các tính chất sau:
(i) -Nhóm cơ sở là một đường cong elliptic ( ) có cấp là ⋅ trong đó là số nguyên tố còn là thừa số nhỏ, nghĩa là # ( ) = ⋅ . Một điểm cơ sở ∈ ( ) có cấp .
(ii) - Lược đồ sử dụng hai hàm và , với miền giá trị tương ứng là ℋ và . Trong đó, độ an toàn được xét với được lập mô hình như một bộ tiên tri ngẫu nhiên và yêu cầu một số tính chất là ℓ-kháng va chạm hoặc không có -va chạm, với số nguyên ℓ ≥ 2 nào đó. Ở đây, có tính kháng ℓ-va chạm nếu việc tìm ℓ điểm1, … ,ℓ sao cho ( 1) = ( 2) = ⋯ = ( ℓ) là khó.
TIEU LUAN MOI download : skknchat@gmail.com 56 (iii) - Tồn tại ba hàm số: 1(ℤ ,ℤ , ,ℋ) → ℤ , 2(ℤ , ,ℋ) → ℤ , 3(ℤ , ,ℋ) → ℤ , thỏa mãn với ∀( , , , ℎ) ∈ (ℤ , ℤ , , ℋ), 2( 1( , , , ℎ), , ℎ) + ⋅3( 1( , , , ℎ), , ℎ) = .
(iv) - Mỗi user có một khóa cá nhân và khóa công khai = .
(v) - Để ký một thông điệp , đầu tiên chọn ∈ ℤ∗ , tính = và
= ( ). Tiếp theo tính ℎ = ( || ) và =1( , , , ℎ). Chữ ký của là ( , , ℎ), mặc dù trong thực tế ( , ) là đủ vì ℎ có thể được tính từ và .
(vi) - Để xác minh chữ ký ( , , ℎ) có là hợp lệ với thông điệp hay
không, đầu tiên tính=2( , , ℎ)
+ . Cuối cùng kiểm tra
( , , , , ℎ) được xác định như trên và thỏa mãn phương trình xác minh sẽ được gọi là một bộ giá trị xác minh.)
(vii) - Các hàm2 và3 phải thỏa mãn các điều kiện một – một sau: cho trước , và , tồn tại duy nhất một cặp (ℎ, ) sao cho: =2( , , ℎ), =
3( , , ℎ). Hơn nữa, cặp này phải dễ được tính.
Về cơ bản, một lược đồ chữ ký có dạng EC-TEGTSS [31] chính là
phiên bản Elliptic lược đồ chữ ký dạng TEGTSS-II được mô tả trong [22] và
điều này cũng đã được khẳng định trong [31]. Bổ đề Forking cải tiến cho các
lược đồ chữ ký dạng TEGTSS-II được phát biểu trong [22] như sau:
Bổ đề 2.8[22] (Bổ đề Forking cải tiến). Chúng ta xem xét một máy Turing thời gian đa thức xác suất (được gọi là kẻ tấn công) và một bộ mô phỏng xác suất thời gian đa thức ℬ. Nếu có thể tìm được một bộ giá trị xác minh ( , , , , )
TIEU LUAN MOI download : skknchat@gmail.com
57
một thông điệp mới và một được xác định trực tiếp bởi , thì với xác suất hằng số 1/96, sau (1 + 24 ℓ (2ℓ))/ lần lặp lại của và ℬ
với các bộ tiên tri ngẫu nhiên khác nhau, sẽ đưa ra ℓ + 1bộ xác minh sao cho đôi một khác nhau, mọi bằng nhau
đối với các lược đồ TEGTSS-I; trong khi đó các ( , )bằng nhau đối với các lược đồ TEGTSS-II.
Chú ý. Bổ đề trên giả thiết về việc kẻ tấn công có thể tìm được một “bộ giá trị xác minh” ( , , , , ) mà được tuân theo việc mô tả của các lược đồ dạng TEGTSS trong [22]. Tuy nhiên, do ký hiệu sử dụng mô tả của TEGTSS (mà cụ thể là TEGTSS-II) trong [22] là khác bộ ký hiệu cho EC-TEGTSS trong [31], do đó để thuận tiện, bộ ( , , , , ) được hiểu như sau:
• là thông điệp ký trong [22] và là ký hiệu trong [31].
• cơ bản là giống nhau trong 2 mô tả.
• =1( , , , ℎ) = ; = ( ) = ; = ( || ) = ( || ) = ℎ.
Bổ đề 2.9. Lược đồ chữ ký EC-Schnorr có dạng EC-TEGTSS (phiên bản Elliptic của lược đồ chữ ký dạng TEGTSS-II).
Chứng minh: Lược đồ chữ ký EC-Schnorr thỏa mãn các yêu cầu từ (i) đến
(vii) của một lược đồ chữ ký dạng EC-TEGTSS. Thật vậy,
(i) - Nhóm cơ sở của EC-Schnorr từ một đường cong elliptic ( ) mà có cấp là ⋅ trong đó là số nguyên tố, và một điểm cơ sở ∈ ( ) có cấp . Như vậy EC-Schnorr thỏa mãn yêu cầu (i).
(ii) - EC-Schnorr sử dụng hàm băm và hàm ( ) = (với ∈ ( )). Trong mô hình bộ tiên tri ngẫu nhiên, được
lý tưởng hóa như bộ tiên tri ngẫu nhiên. Tiếp theo, chúng ta chỉ ra rằng thỏa mãn tính chất không có 3-va chạm. Thật vậy,
vì với mỗi ∈ có nhiều nhất hai điểm phân biệt thuộc ( ) nhận làm hoành độ. Do đó chúng ta không thể tìm
( , , , , )
TIEU LUAN MOI download : skknchat@gmail.com
58
được ba điểm phân biệt1,2,3 ∈ ( ) sao cho ( 1) = ( 2) = ( 3), hay là thực sự là hàm thỏa mãn tính chất không có 3-va chạm. Như
vậy EC-Schnorr thỏa mãn yêu cầu (ii).
(iii) - EC-Schnorr thỏa mãn yêu cầu (iii). Thật vậy, xét
1( , , , ℎ) = − ℎ,2( , , ℎ) = ,3( , , ℎ) = ℎ. Ta có, 2( 1( , , , ℎ), , ℎ) + ⋅ 3( 1( , , , ℎ), , ℎ) = 1( , , , ℎ) + ℎ = ( − ℎ) + ℎ =.
Do đó EC-Schnorr thỏa mãn yêu cầu (iii).
Dễ dàng nhận ra EC-Schnorr thỏa mãn các yêu cầu (iv) đến (vii) nhờ mô tả của lược đồ này và định nghĩa của các hàm1,2 và3.■
Tiếp theo ta xem xét bộ mô phỏng ℬ đối với lược đồ EC-Schnorr.
Bổ đề 2.10. Giả sử là một hàm băm ngẫu nhiên với đầu ra trong khoảng 0 đến |ℋ| − 1. Khi đó tồn tại một bộ mô phỏng ℬmà tạo ra các bộ xác minh sau lần, xác suất mà bộ mô phỏng có thể bị phân biệt với một bộ ký EC-Schnorr là nhỏ hơn 2/2 .
Chứng minh: Dựa trên phân tích của Bổ đề 13 trong [22], bộ mô phỏng ℬ của lược đồ chữ ký EC-Schnorr có thể được xây dựng như sau: Với
một thông điệp cần được ký, ℬ sinh các bộ bằng cách chọn các và ℎ ngẫu nhiên, đều thuộc ℤ . Sau đó nó tính = + ℎ và = ( ) = . Nhờ tính
chất một - một của2,3 chúng ta nhận được cặp ( , ) duy nhất tương ứng với cặp ( , ℎ) được chọn, cụ thể = và = ℎ. Khi đó, ( , ) được
định nghĩa bằng .
Có thể thấy rằng, một bộ ( , , , , ) được xây dựng như trên bởi bộ mô phỏng ℬ sẽ thỏa mãn phương trình xác minh (và do đó
TIEU LUAN MOI download : skknchat@gmail.com
59
xác minh”) và kẻ tấn công sẽ không phân biệt nó được sinh ra bởi bộ mô phỏng hay bộ ký, trừ khi bộ mô phỏng tính một truy vấn ( , ) mà ở đó ( , ) đã được định nghĩa hoặc bộ mô phỏng đã tạo một chữ ký ứng với ( , ) trước đó. Gọi là số truy vấn mà đã được thực hiện đến bộ tiên tri . Xác suất mà một trong những sự kiện này xảy ra (trong b bộ (Mi,Ti) có 2 bộ
trùng nhau) là nhỏ hơn 1 − −
Hơn nữa, theo bất đẳng thức: 1 − − ≤ (với mọi ), chúng ta có:
1 − −
Do đó, thu được điều phải chứng minh. ■
Áp dụng Bổ đề 2.8, 2.9 và 2.10, ta thu được kết quả an toàn sau đối với lược đồ chữ ký EC-Schnorr trước tấn công lựa chọn thông điệp thích nghi nhằm tìm kiếm khả năng giả mạo trong mô hình bộ tiên tri ngẫu nhiên.
Mệnh đề 2.11. Giả sử rằng tồn tại một kẻ tấn công thành công trong việc giả mạo chữ ký của lược đồ EC-Schnorr với xác suất thành công là >4sau truy vấn tới bộ tiên tri ngẫu nhiên , thì ta có thể giải bài toán logarit rời rạc trong ( )
bằng cách sử dụng (1 + 96 )/ lần lặp của với xác suất 1/96.
Chứng minh: Theo Bổ đề 2.9, EC-Schnorr tương đương với loại EC-TEGTSS, và do đó cũng thuộc loại TEGTSS-II. Sử dụng Bổ đề Forking cải tiến 2.8, và áp dụng với các tham số gồm: thông điệp , = , = ( ) = , = ( || ) = ℎ, = = ( − ) (với là cấp của , và ∈ [1, … , − 1]), và
ℓ = 2. Khi đó, với số lần lặp lại của là:
1 + 48 log 4= 1 + 96
sẽ đưa ra 3 bộ chữ ký hợp lệ khác nhau ( , , , , ) =1,…,3 sao cho đôi một phân biệt và ( , ) = ( , ), với xác suất bằng
TIEU LUAN MOI download : skknchat@gmail.com
60
chữ ký này tương ứng với 3 điểm1 =1 ,2 =2 ,3 =3 , nên ta có ( 1) = ⋯ = ( 3) = . Tuy nhiên, vì là không có 3-va chạm nên phải
tồn tại 2 trong 3 điểm đó trùng nhau. Không mất tính tổng quát, ta giả sử 1 ≡2, nghĩa là giá trị1 và2 tương ứng với hai điểm này cũng bằng
nhau.
1=2 ⟺1+ 1=2+2
⟺ = ( 1 −2)( 2 −1)−1 .
Như vậy ta sẽ thu được khóa bí mật của người ký, tức là giải được bài toán ECDLP.■
Hệ quả 2.12.Giả sử rằng tồn tại một kẻ tấn công thành công trong việc giả mạo chữ ký của lược đồ EC- Schnorr-M với xác suất thành công là > 4 sau truy vấn tới bộ tiên tri ngẫu nhiên , thì người ta có thể giải bài toán logarit rời rạc trong ( )bằng cách sử dụng (1 + 96 )/ lần lặp của với xác suất 1/96.
Chứng minh: Kết hợp Mệnh đề 2.2 và 2.11 chúng ta thu được điều phải
chứng minh.■
Hệ quả trên chỉ ra rằng độ an toàn của lược đồ EC-Schnorr-M có độ an toàn tương đương với độ an toàn của lược đồ EC-Schnorr gốc dưới tấn công giả mạo chữ ký sử dụng thông điệp được lựa chọn thích nghi. Nhắc lại rằng,
trong [14] đã chứng minh lược đồ chữ ký số kiểu Schnorr là an toàn trong mô
hình bộ tiên tri ngẫu nhiên. Như vậy, có thể khẳng định lược đồ đề xuất EC- Schnorr-M là an toàn trong mô hình bộ tiên tri ngẫu nhiên, dưới tấn công giả mạo chữ ký sử dụng thông điệp được lựa chọn thích nghi.
Như vậy ta có thể kết luận rằng, lược đồ chữ ký số EC-Schnorr-M có ưu điểm hơn lược đồ chữ ký số EC-Schnorr gốc ở khả năng chống lại tấn công sử dụng các bộ sinh số giả ngẫu nhiên “tồi”, điều mà thường gặp trong thực tế liên quan đến lỗi cài đặt hoặc bị tấn công có chủ đích.
TIEU LUAN MOI download : skknchat@gmail.com
61