2.2 Аналіз

Автор стверджує, що безпека схеми підпису основана на ППД (процесорі передачі даних), але ми вважаємо це помилкою. Тут ми представляємо простий і націлений його взлом, лише покладаючись на контрольну фазу. Наскільки можлива помилка у всьому описі алгоритму, а також інші можливі взломи, ми насправді не приділяємо уваги.

Спочатку ми дивимось на те, що деяка резервна інформація знаходиться серед даних підпису . Насправді підходящий підпис повинен бути наступним:

Підходяще контрольне рівняння повинно бути наступним:

Потім ми представляємо простий і націлений його взлом.

Універсальна можливість взлому: порушнику лише необхідно вибірково обрати , і обчислити:

де Y загальнодоступний параметр групи, m є дане повідомлення.

Фальшивий підпис групи легко перевірити.

Тепер ми представляємо концепцію фактора призупинення щоб описати помилку, яка виникає у контрольному рівнянні. Наприклад, ID над контрольним рівнянням знаходиться ні в основній позиції, ні в експонентній позиції. Воно знаходиться лише в факторній позиції.

3 Схема чіткого блокування небажаних даних підпису фенга

Підпис, що не дає про себе інформацію був представлений Шаумом в 1982 році. Більш докладно про модель можна дізнатися за посиланнями [5, 6, 7].

Фенг пропонує схему блокування небажаних даних підпису [2]. Автор стверджує, що безпека схеми еквівалентна до схеми, запропонованої Каменішим та іншими – направильна. Нижче ми спочатку покажемо схему, потім вкажемо на деякі помилки в описі. Потім продемонструємо, що зломник з сертифікатом доступу довіреного центру може підробити підпис, що не дає про себе інформацію.

3.1 Огляд схеми чесних підписів, що не дають про себе інформацію

Схема складається з трьох елементів: донощика, запитувача доступу, центру довіри (ЦД).

ЦД вибірково обирає великі прості чила p, q, такі як q|(p – 1), цілі числа , в порядку q. Донощик вибірково обирає секретний ключ x, відкриває його загальнодоступний ключ .

Журнал:

Запитувач доступу ЦД

(request)---->

<----(A₀,Sig_TC(A₀||0)

<----(a_i,Sig_TC(A_i||i)

⁞

<----(a_k,Sig_TC(A_k||k)

Знак:

Запитувач доступу Донощик

<----(A₀,Sig_TC(A₀||0) checkSig_TC(A₀||0)

<----

Z=

<----

---->

<----

Підпис послання m це .

Перевірка:

1) Перевірити .

2) Перевірити . Якщо це правильно прийняти підпис, в противному випадку відхилити його.

3.2 Аналіз

Помилка в фазі установки.

Системний параметр (дивись підкреслену частину (*)) обраний ЦД – це помилка. З пізнішого контрольного рівняння ми знаємо, що A₀ має бути у такому ж порядку з a, як і q.

Оптимізація: ЦД приймає за A₀ в порядку q.

Контрольне рівняння не спрацьовує

left =

=

=

right =

=

=

=

=

=

left

Оптимізація: заміна

Для підкресленої частини (**).

Взлом запитувача доступу

Автор вважає безпеку схеми еквівавалентною до тої, що запропонував Карменіш та інші [6]. Це помилка. В деякій мірі дві схеми підпису мають порівняльність форми. Але нова схема має більше даних z, яка знищує безпеку всього протоколу.

Дане повідомлення m, запитувач доступу U_i може підробити підпис, що не дає про себе інформацію після того, як він отримає A_i з ЦД. Йому лише необхідно:

1) Обрати ,

2) Підрахувати

, ,

Підпис, що не дає про себе інформації про повідомлення m це .

Правильність:

Перевірка для очевидна. Нам лише треба перевірити .

Насправді, .