Chúng ta có thể mở rộng lƣợc đồ RSA-PSS để thêm vào chức năng khôi phục thông điệp. Chúng ta định nghĩa một lƣợc đồ ký RSA-GENPSS-R có đầu vào là một phần thông điệp MR có khả năng khôi phục lại và một phần thông điệp MNR không thể khôi phục đƣợc nhƣ dƣới đây. Thao tác mã hóa GENPSS-R-ENCODE nhận xâu H có độ dài kh làm đầu vào, phần thông điệp khôi phục đƣợc MR và độ dài muối thỏa mãn k0 đƣợc chọn từ tập Ksig. Chúng ta yêu cầu rằng |MR| kmr – k0, trong đó kmr là một số nguyên cố định nhỏ hơn kg. Ở đây: : {0, 1}kmrk0 × {0, 1}kh × {0, 1}Ksig Kver * } 1 , 0 { là một hàm thỏa mãn bộ ba (MR, H, r) dễ dàng tính đƣợc từ (MR,H,r). Cụ thể ) , , (MR H r
= (|MR|)64 ||MR||H||r) trong đó (i)64 là biểu diễn 64 bit thấp của số nguyên i. đƣợc định nghĩa nhƣ trong các lƣợc đồ trƣớc, ngoại trừ chúng ta cho phép bất kỳ đầu vào có độ dài bit lên tới kmr. Nhƣ đã nói ở mục trƣớc x dễ dàng tính đƣợc từ (x). Cụ thể (x) = 0kg-|x|-1
|| 1 || x. ( trong trƣờng hợp này giá trị kmr = kg -1 )
Với mỗi một xâu MR và r dễ dàng trích ra từ (MR,H,r), chỉ có phép nối của các xâu có thể xác định từ (MR||r). Còn độ dài muối là một đầu vào đối với thao tác xác minh, điều này có nghĩa là các xâu tách biệt có thể suy ra từ phép nối.
GENPSS-R-ENCODE(MR,H,k0) (1) rR {0,1}k0 (2) w h((MR,H,r)) (3) r* g(w)(MR ||r) (4) Return y = 0 ||r*||w||E
Thủ tục xác minh khôi phục MR từ thông điệp đƣợc mã hóa nhƣ sau: Cho k0 là một số nguyên thuộc tập Kver.
Định nghĩa sơ đồ rút gọn RSA-GENPSS-R-REDUCED(Ksig, Kver) nhƣ sau. Thao tác ký có đầu vào H kh } 1 , 0 { , MR n } 1 , 0
{ , và một độ dài muốik0 Kver. Quá trình thực thi nhƣ sau:
Thao tác khôi phục có đầu vào là thông điệp H{0, 1}kh, chữ ký x, độ dài muối k0
Kver
và đƣợc thực thi nhƣ sau: GENPSS-R-RECOVER(H,y,k0) (1) Viết y dƣới dạng
y= b || r*||w ||E’ (|b| = 1,|r*|=kg , |w|=kh , |E’| = kE)
(2) Nếu b = 1 hoặc E # E’ cho ra là 0 và dừng kết thúc quá trình xác minh
(3) Nếu có thể thì viết g(w)r* = (r) với |MR| kmr – k0 và |r| = k0 ,nếu không trả về “lỗi” và thoát ra.
(4) Nếu h((MR,H,r))w thì trả về xâu MR, ngƣợc lại thông báo “lỗi”
RSA-GENPSS-R-REDUCED-SIGN(MR,H,k0) (4) y GENPSS-R-ENCODE(MR,H,k0) (5) x f-1(y) (6) return x. RSA-GENPSS-R-REDUCED-RECOVER(H,x,k0) (1) y f (x) (2) MR GENPSS-R-RECOVER(H,y,k0)
Thao tác ký và khôi phục chính của lƣợc đồ RSA-GENPSS-R-SIGN và RSA- GENPSS-R-RECOVER nhận xâu MNR có độ dài tùy ý làm đầu vào thay vì xâu H có độ dài kh.
6.3 Các mô hình an toàn của lƣợc đồ ký RSA-PSS với việc khôi phục thông điệp
Các mô hình an toàn đối với sơ đồ RSA-GENPSS-R và RSA-GENPSS-R-REDUCED tƣơng tự các mô hình của RSA-GENPSS và RSA-GENPSS-REDUCED với một vài điều chỉnh nhỏ:
1 Mục tiêu của ngƣời giả mạo trong lƣợc đồ RSA-GENPSS-R là phải tìm ra một cặp (MNR, x) mà x là chữ ký hợp lệ của (MR, MNR) đối với MR nào đó.
2 Mục tiêu của ngƣời giả mạo trong lƣợc đồ RSA-GENPSS-R- REDUCED là phải tìm ra một cặp (MNR, H, x) mà x là chữ ký hợp lệ của (M , H) đối với M nào đó.
RSA-GENPSS-R-SIGN(MR,MNR, k0) (1) H h(MNR) (2) x RSA-GENPSS-R-REDUCED-SIGN(MR,H,k0) (3) Trả về x RSA-GENPSS-R-RECOVER(MNR,x,k0) (1) H h(MNR) (2) MR RSA-GENPSS-R-REDUCED-RECOVER(H,x,k0)
3 Các yêu cầu của oracle h đƣợc chấp nhận trong lƣợc đồ rút gọn là các xâu x thỏa mãn x = (MR,H,r) đối với |H| = kh, |r| Ksig Kver và |MR|+|r| kmr.
Cũng nhƣ ở phần trƣớc, chúng ta giả thiết rằng oracle g và oracle h trong lƣợc đồ rút gọn là độc lập. Chúng ta cũng dễ dàng thấy đƣợc bổ đề 1 cũng đúng đối với lƣợc đồ GENPSS-R.
Định lý 2
Cho hệ thống ký hiệu nhƣ ở định lý 1. Giả thiết rằng phép tính nghịch đảo RSA là (t’, ’ )-khó. Khi đó với bất kỳ qsig và qhash lƣợc đồ RSA-GENPSS-R(Ksig, Kver) là (t, qsig,
qhash, )-an toàn, trong đó
t(k) = t’(k) - h E k tot k q 2 1 2 1 . 2 ) ( 2 ) ( 2 ln q k q k kh hash sig .O(Tf(k)) và (k) = ) , , ( 1 sig q p . ’(k) + c(qtot, kh) + 2-kh (7) Nếu Ksig Kver = thì (k) = ’(k) + c(qtot, kh) + 2-kh
Chứng minh
Việc chứng minh hoàn toàn giống nhƣ định lý 1. Thuận toán yêu cầu oracle giống chính xác nhƣ ở định lý 1, ngoại trừ H, Hivà Hj đƣợc thay thế bằng (M, H), (Mi, Hi) và (Mj, Hj) ở những nơi thích hợp. Ví dụ, chúng ta cần một tập R(M, H, k0) cho mỗi (M, H) và k0 thay vì một tập R(H, k0) cho mỗi H và k0. Ngoài ra (r) phải đƣợc thay thế bằng (M||r) ở bƣớc H7 và S8.
Lƣu ý
Điều quan trọng là mỗi một xâu MR, H và r có thể đƣợc trích ra theo một cách duy nhất từ (MR,H,r). Ví dụ (MR,H,r)=H||MR||r sẽ là một lựa chọn tồi bởi vì chữ ký của (MR, MNR) với muối r cũng sẽ là một chữ ký của (M’R, MNR) với muối r’ khi mà
KẾT LUẬN
Trong các năm gần đây có một xu hƣớng hƣớng tới các kỹ thuật mật mã đƣợc gọi là “an toàn chứng minh đƣợc”. Nếu một lƣợc đồ chữ ký không có chứng minh an toàn, thì có thể về mặt lý thuyết các chữ ký dễ bị giả mạo, trong khi bài toán nằm dƣới vẫn là khó giải. Một cách lý tƣởng, ngƣời ta mong muốn có sự đảm bảo rằng các bài toán là cùng cần một lƣợng thời gian xử lý nhƣ nhau. Mặc dù theo lý thuyết độ phức tạp không cho phép chúng ta chứng minh rằng bài toán cơ sở, tức là RSA, là chắc chắn khó giải, chúng ta sẽ có một sự tin tƣởng rằng nếu bài toán đó là thực sự khó giải, thì các chữ ký cũng khó giả mạo nhƣ vậy.
RSA-PSS mang lại lợi ích lâu dài là sự tin cậy cao độ vào việc thu gọn khoảng cách giữa giả thuyết đƣợc duy trì rộng rãi rằng bài toán RSA là khó giải và khẳng định rằng các chữ ký là khó giả mạo. Thực ra, RSA-PSS có một trong những khoảng cách nhỏ nhất nhƣ vậy trong số các kỹ thuật “an toàn chứng minh đƣợc” hiện thời; theo cách nói thông thƣờng, phép chứng minh cho độ an toàn của RSA-PSS là rất “chặt”. Việc ngẫu nhiên hoá trong lƣợc đồ chữ ký đóng một vai trò quan trọng trong việc đạt đƣợc tính chặt và là một trong những đóng góp cơ bản từ lƣợc đồ PSS của Bellare và Rogaway. Không có một kẻ hở nào đƣợc tìm thấy trong chứng minh độ an toàn, nó cho một suy dẫn hiệu quả. RSA-PSS dựa vào bài toán RSA đã đƣợc nghiên cứu kỹ và cho phép kiểm tra chữ ký nhanh. Nó đã đƣợc lựa chọn.
Kết quả chính của luận văn gồm có:
1. Tìm hiểu, nghiên cứu các đặc điểm, tính chất, tính hiệu quả và cách sử dụng của lƣợc đồ ký dựa vào phƣơng pháp xác suất, đặc biệt là các chuẩn chữ ký số.
2. Nghiên cứu những bằng chứng an toàn tối ƣu cho lƣợc đồ ký dựa vào phƣơng pháp PSS.
3. Chứng minh tính an toàn chặt của lƣợc đồ ký RSA-PSS. Hƣớng phát triển của luận văn
Quan nội dung nghiên cứu của luận văn, rút ra kết luận sau
1. Hiện chữ ký số RSA-PSS an toàn cả về mặt lý thuyết và thực hành.
2. Hệ chữ ký số này đã đƣợc chuẩn hóa của nhiều tổ chức chuan hóa c ó uy tín của thế giới nhƣ: ISO,PKCS.
3. Hệ chữ ký RSA đã đƣợc sử dụng rộng rãi nhất trên thế giới
Tuy vậy hiện nay ngoài hệ chữ ký RSA-PSS còn nhiều hệ chữ ký khác đáng tin cậy. Trong số đó nổi lên là hệ chữ ký số dựa trên đƣờng hệ mật dựa vào đƣờng cong Elliptic. Theo quan điểm nghiên cứu ứng dụng thì chúng ta cần nghiên cứu ứng dụng của nhiều hệ chữ ký số tin cậy để có thể sử dụng thích hợp trong từng điều kiện cụ thể.
TÀI LIỆU THAM KHẢO
[1] Bùi Văn Phát, Phạm Huy Điển Viện Toán học, viện Khoa học và Công nghệ Việt Nam, Về độ an toàn của một số lược đồ tạo chữ ký điện tử
[2] Phan Đình Diệu, Lý thuyết mật mã và An toàn thông tin.
[3] A. Menezes, P. van, Oorschot, and S. Vanstone, CRC Press 1996. Handbook of Applied Cryptography
[4] D.StinSon, Cryptography: Theory and Practice
[5] Jakob Jonsson, Security Proofs for the RSA-PSS Signature Scheme and Its Variants- Draft 1.1
[6] Jean-Sébastien Coron, Optimal security proofs for PSS and other signature schemes
[7] RSA Laboratories, June 14, 2002.PKCS #1 v2.1: RSA Cryptography Standard
[8] Jean-Sébastien, Advances in Cryptology-CRYPTO 2000, pp. 229-235 Springer- Verlag On the Exa Security of Full Domain
[9] Wenbo Mao, Modern Cryptography : Theory and Practice.
[10] Raising the Standard for RSA Signatures: RSA-PSS của Burt Kaliski đăng trên trang web http://www.rsasecurity.com/rsalabs/
[11]http://www.rsasecurity.com/rsalabs/node.koasp?id=2125,
PKCS#1:RSACryptography Standard
[12] Bellare và P. Rogaway. The exact Security of Digital Signatures-How to sign with RSA and Rabin M. Proceedings
PDF Merger
Thank you for evaluating AnyBizSoft PDF Merger! To remove this page, please
register your program!
Go to Purchase Now>>
Merge multiple PDF files into one
Select page range of PDF to merge
Select specific page(s) to merge
Extract page(s) from different PDF