3.2 Định nghĩa lược đồ ký PSS2000
3.2.7 Phân tích cấu trúc hàm băm
Trong lƣợc đồ RSA-PSS2000 thông điệp M đƣợc băm qua hai bƣớc để đƣa ra kết quả w. Bƣớc đầu tiên M đƣợc băm một mình cho kết quả là h(M), bƣớc thứ hai
h(M) đƣợc băm cùng với muối và một padding nào đó nữa. Ở lƣợc đồ RSA-PSS96 chỉ thực hiện một lần băm. Điều này dẫn đến sự khác nhau về tính an toàn của hai lƣợc đồ. Và điều này cũng tƣơng đƣơng với việc nghiên cứu sự khác nhau tƣơng ứng giữa hai lƣợc đồ RSA-GENPSS và RSA-GENPSS-REDUCED.
Sử dụng hệ thống ký hiệu đƣợc nêu trong phần đầu của tài liệu. Ký hiệu biểu thị số lƣợng chuỗi y sao cho h(y) phụ thuộc vào g(w) với mỗi w đã cho. Chúng ta giả sử rằng đối với mọi giá trị w thì giống nhau. Chúng ta giả sử rằng nếu h(y) phụ thuộc vào
g(w) thì toàn bộ giá trị h(y) đƣợc trích trực tiếp từ g(w). (Ví dụ h(y) là một chuỗi con của g(w)). Nếu g đƣợc định nghĩa nhƣ ở (1), thì = [(k-1- kh – ke)/kh] (nếu g và h độc lập với nhau thì = 0). Nhƣ đã nói ở trên đặt 0(w), …, , 1(w) biểu thị các chuỗi
thỏa mãn h(i(w)) đƣợc trích trực tiếp từ g(w). Giả sử rằng w đƣợc trích từ i(w) dễ dàng. Điều này đúng với lƣợc đồ RSA-PSS2000 vì i(w) = w||(i)32.
Bổ đề 1
Cho một phép giả mạo F trong mô hình an toàn của lƣợc đồ RSA-GENPSS với tối đa
qsig lần yêu cầu ký và qhash lần yêu cầu tiên đoán h và g, chúng ta định nghĩa một phép giả mạo Fred trong mô hình an toàn RSA-GENPSS-REDUCED với tối đa qsig lần yêu cầu ký và qhash+qsig lần yêu cầu tiên đoán h và g. Fred thành công nếu F thành công trừ phi có va chạm của h trong số các giá trị thu đƣợc qua các yêu cầu tiên đoán h của F. Số các giá trị nhƣ vậy nhiều nhất là
qtot= max{ , 1}.qhash + ( +2).qsign (2)
Nhận xét
1. Trong trƣờng hợp qhash lớn hơn qsig thì qtot xấp xỉ bằng max{, 1}.qhash
2. Thời gian thực hiện phép giả mạo Fred lớn hơn nhiều thời gian thực hiện phép giả mạo F cộng với thời gian cần thiết để thực hiện qsig lần yêu cầu băm..
Chứng minh
Cho F là phép giả mạo với mục đích đƣa ra một chữ ký trong mô hình an toàn RSA- GENPSS. Chúng ta muốn định nghĩa một phép giả mạo Fred trong mô hình an toàn RSA-GENPSS-REDUCED theo thuật ngữ của F. Để thỏa mãn điều đó Fred phải mô phỏng các tiên đoán của F.
g-Oralce dễ mô phỏng bởi vì các g-oralce trong lƣợc đồ RSA-GENPSS và RSA- GENPSS-REDUCED giống nhau. Oracle ký cũng dễ dàng mô phỏng. Khi F gửi một yêu cầu Q tới oracle-ký, Fred giả mạo h- oracle của F theo cách đƣợc mô tả dƣới đây đối với đầu vào Q, gửi chuỗi kết quả H tới oralce ký của mình và nhận đƣợc chữ ký x.
1. Trƣờng hợp Q có dạng Q = i(w) = (w) || (i)32, với | w| = kh và i{0, …, -1} Khi đó, w là một yêu cầu thƣờng gặp của g-oracle trong mô hình thu gọn. Do đó ta chỉ việc lấy giá trị của g (trong lƣợc đồ thu gọn) tại điểm w, và từ xâu kết quả nhận đƣợc g(w) có dạng (1), ta lấy đƣợc giá trị h(Q)=H chính là xâu con thứ i – 1 (có độ dài kh). Trong trƣờng hợp này việc lấy giá trị h băm trong lƣợc đồ tổng quát tƣơng ứng với việc lấy g băm trong lƣợc đồ thu gọn..
2. Q = (H’, r) , trong đó | H’| = kh và r Ksig Kver. Khi đó, Q là một yêu cầu cụ thể của h-oracle trong mô hình thu gọn. Trong trƣờng hợp này Fred gửi Q tới
h-oralce của nó và nhận giá trị trả về H = h(Q).
3. Nếu Q không có dạng nhƣ hai trƣờng hợp trên thì sinh ra một chuỗi ngẫu nhiên
H và H = h(Q) đã đƣợc định nghĩa.
Fred trả về chuỗi H cho F .Quay lại trƣờng hợp 1 và 2 với giả thiết độ dài của các yêu cầu khác nhau, tức là cả 3 trƣờng hợp bị loại bỏ.
Việc mô phỏng các oralce ký có thể yêu cầu thêm qsig lần yêu cầu h-oracle trong lƣợc đồ RSA-GENPSS, tƣơng ứng với nhiều nhất số các yêu cầu h-oralce hoặc g-oracle trong lƣợc đồ thu gọn là qsìg. Trong các lƣợc đồ lớn số lƣợng yêu cầu từ F đến h- oracle(trực tiếp hoặc gián tiếp qua g-oracle) tối đa là max{ , 1}.qhash. Ngoài ra có tối đa ( +2).qsign yêu cầu từ oracle ký tới h-oracle.
Cuối cùng F kết thúc quá trình giả mạo và đƣa ra kết quả (M, x). Fred trả về (H, x), trong đó H = h(M). (H, x) là một chữ ký hợp lệ của lƣợc đồ thu gọn nếu và chỉ nếu (M, x) là chữ ký hợp lệ của lƣợc đồ tổng quát RSA-GENPSS. Fred sẽ thất bại nếu và chỉ nếu ngƣời ta yêu cầu đúng chữ ký của H hoặc F thất bại. Trƣờng hợp đầu chỉ có thể nếu và chỉ nếu F yêu cầu chữ ký của một thông điệp M’ thỏa mãn h(M) = h(M’). Điều này chỉ xảy ra khi tồn tại va chạm của h.