DSA
DSA — elektron imzo yaratish uchun shaxsiy kalitdan kriptografik algoritm, lekin shifrlash uchun emas . Imzo yashirincha (maxfiy kalit bilan) yaratiladi, lekin uni ommaviy ravishda tekshirish mumkin (ommaviy kalit bilan). Bu shuni anglatadiki, faqat bitta sub’ekt xabar imzosini yaratishi mumkin, ammo har kim uning toʻgʻriligini tekshirishi mumkin. Algoritm chekli sohalarda logarifmlarni olishning hisoblash murakkabligiga asoslangan. Algoritm 1991-yil avgust oyida Milliy standartlar va texnologiyalar instituti (AQSh) tomonidan taklif qilingan va patentlangan [1] , NIST ushbu patentni royaltisiz foydalanish uchun taqdim etgan. DSA <b id="mwGg">DSS</b> ning bir qismidir Raqamli imzo standarti – birinchi marta 1998 yil 15 dekabrda nashr etilgan raqamli imzo standarti. Standart bir necha marta yangilangan [2] [3], eng oxirgi versiyasi FIPS-186-4 [4] . (2013 yil iyul).
Algoritmning tavsifi
tahrirDSA ikkita algoritmni (S, V) oʻz ichiga oladi: xabar imzosini yaratish (S) va uni tekshirish uchun (V) iborat. Yana bir qancha qoʻshimchalar mavjud. Ikkala algoritm ham birinchi navbatda kriptografik hash funktsiyasidan foydalangan holda xabarning xeshini hisoblab chiqadi. Algoritm S imzo yaratish uchun xesh va shaxsiy kalitdan foydalanadi, V algoritmi imzoni tekshirish uchun xabar xeshi, imzo va ochiq kalitdan foydalanadi. Yaʼni barchasi umumlashgan holda ishlaydi. Shuni taʼkidlash kerakki, aslida imzolangan xabar emas, balki uning xeshi (160 – 256 bit), shuning uchun toʻqnashuvlar muqarrar va bitta imzo, umuman olganda, bir xil xeshli bir nechta xabarlar uchun amal qiladi. . Shuning uchun, etarlicha „yaxshi“ hash funktsiyasini tanlash butun tizim uchun juda muhimdir. Standartning birinchi versiyasida SHA-1 xesh funktsiyasi ishlatilgan [5] [6] , soʻnggi versiyada siz SHA-2 oilasining istalgan algoritmidan ham foydalanishingiz mumkin [5] [4] . 2015 yil avgust oyida yangi SHA-3 xesh funksiyasini tavsiflovchi FIPS-202 [7] nashr etildi. Tizim ishlashi uchun muallifning haqiqiy maʼlumotlari (bu jismoniy shaxs yoki tashkilot boʻlishi mumkin) va ochiq kalitlar, shuningdek elektron raqamli imzo sxemasining barcha kerakli parametrlari .
Raqamli imzo sxemasi imkoniyatlari
tahrirElektron raqamli imzo tizimini yaratish uchun siz quyidagi bosqichlarni bajarishingiz kerak. Albatta ketma ketlikda:
- H(x) kriptografik xesh funksiyasini tanlash.
- Bitlardagi N oʻlchami H(x) xesh funktsiyasining bitlardagi oʻlchamiga toʻgʻri keladigan q tub sonini tanlash.
- (p-1) q ga boʻlinadigan p tub sonni tanlash. p ning bit uzunligi L bilan belgilanadi.
- g raqamini tanlash ( ) shundayki, uning koʻpaytma tartibi moduli p q ga teng. Uni hisoblash uchun siz formuladan foydalanishingiz mumkin , bu yerda h – ixtiyoriy son, shu kabi . Aksariyat hollarda h = 2 qiymati bu talabni qondiradi. [4]
Yuqorida aytib oʻtilganidek, raqamli imzo sxemasining birinchi parametri kriptografik xesh funktsiyasidan foydalaniladi, bu xabar matnini imzo hisoblangan raqamga aylantirish uchun zarurdir. DSS standartining birinchi versiyasi SHA-1 funksiyasini [6] tavsiya qildi va shunga mos ravishda imzolangan raqamning bit uzunligi 160 bit [8] [9] . Standart L va N raqamlari uchun quyidagi mumkin boʻlgan qiymat juftlarini belgilaydi:
- L = 1024, N = 160
- L = 2048, N = 224
- L = 2048, N = 256
- L = 3072, N = 256
Ushbu standart SHA-2 xesh funktsiyalari oilasini tavsiya qiladi. AQSh hukumati tashkilotlari dastlabki uchta variantdan birini qoʻllashi kerak; CAlar abonentlar ishlatadigan juftlikka teng yoki undan yuqori boʻlgan juftlikdan foydalanishlari kerak [4] . Tizim dizayneri istalgan yaroqli xesh funksiyasini tanlashi mumkin. DSA-ga asoslangan kriptotizimning kuchi ishlatiladigan xesh funktsiyasining kuchidan va juftlikning (L, N) kuchidan oshmaydi, ularning kuchi alohida raqamlarning har birining kuchidan katta emas. Hozirgi vaqtda 2010 yilgacha (2030 yilgacha) chidamli boʻlishi kerak boʻlgan tizimlar uchun tavsiya etilgan uzunlik 2048 (3072) bitni tashkil qiladi. [4] [10]
Umumiy va shaxsiy kalitlar
tahrir- Yashirin kalit – bu raqam
- Ochiq kalit formuladan foydalanib hisoblanadi
Umumiy parametrlar raqamlardir (p, q, g, y) . Faqat bitta shaxsiy parametr mavjud – x raqami. Bunday holda, raqamlar (p, q, g) foydalanuvchilar guruhi uchun umumiy boʻlishi mumkin va x va y raqamlari mos ravishda maʼlum bir foydalanuvchining shaxsiy va ochiq kalitlari hisoblanadi. Xabarga imzo qoʻyishda x va k maxfiy raqamlari qoʻllanadi. (p, q, g) bir nechta foydalanuvchilar uchun ishlatilishi mumkinligi sababli, baʼzi bir mezonlarga koʻra bir xil (p, q, g) guruhlarga boʻlinadi.
Xabar imzosi
tahrirXabar quyidagi algoritm [4] yordamida imzolanadi :
- Tasodifiy raqamni tanlash
- Hisoblash
- Agar boshqa k ni tanlash
- Hisoblash
- Agar boshqa k ni tanlash
- Imzo juftlikdir umumiy uzunligi
Hisoblash jihatidan murakkab operatsiyalar koʻrsatkich moduli (hisoblash ), ular uchun tezkor algoritmlar mavjud, xeshni hisoblash , bu yerda murakkablik tanlangan xesh algoritmiga va kirish xabarining oʻlchamiga va teskari elementni topishga bogʻliq.
Imzoni tekshirish
tahrirImzoni tekshirish algoritmga muvofiq amalga oshiriladi [4] :
1 Funksiyani hisoblashda formulada 2 Funksiyani Hisoblashda formulada 3 Funksiyani Hisoblashda formulada 4 Funksiyani Hisoblash formuladan ko`pincha foydalaniladi. 5 Imzo to'g'ri bo'lsa
Hisoblab chiqish jihatidan murakkab funksiyalarni tekshirganda, bu ikkita eksponentatsiya , xeshni hisoblash va teskari qismni topish . Bu funksiyalar oʻzi muhim.
Sxemaning toʻgʻriligi
tahrirUshbu elektron raqamli imzo sxemasi shu darajada toʻgʻri boʻladiki, imzoning haqiqiyligini tekshirishni istagan har bir kishi haqiqiylik holatida har doim ijobiy natija oladi. Bunda chiqishi mumkin emas. Chunki bular shaxsiydir. Keling, buni koʻrsatamiz:Birinchidan, agar , . g >1 va q tub son ekan, u holda g q moduli p ning koʻpaytma tartibida. Xabar imzosi uchun u hisoblanadi
Shuning uchun
g q tartibli boʻlgani uchun biz olamiz
Nihoyat, DSA sxemasining toʻgʻriligi shundan kelib chiqadi
Ishga misol
tahrirXesh qiymati bizning xabarimizning funktsiyasi boʻlsin .
Parametrlarni yaratish
tahrir- hash uzunligi , bu siz tanlashingiz mumkin degan maʼnoni anglatadi
- tanlaylik , chunki
- tanlaylik
Kalitlarni yaratish
tahrir- maxfiy kalit sifatida biz tanlaymiz
- keyin umumiy kalit
Xabar imzosi
tahrir- tanlaylik
- Keyin
- , davom etishga ruxsat
- , bu hisobga olinadi
- , davom etishga ruxsat
- imzo juft raqamlardan iborat
- tushundim , keyin imzo toʻgʻri.
Analoglar
tahrirDSA algoritmi diskret logarifmlarni hisoblash qiyinligiga asoslanadi va klassik El-Gamal sxemasining [11] modifikatsiyasi boʻlib, bu yerda xabar xeshlash qoʻshiladi va barcha logarifmlar quyidagi tarzda hisoblanadi. , bu sizga analoglarga nisbatan imzoni qisqartirish imkonini beradi . U GOST R 34.10-2012 standarti bilan almashtirildi [13], bu elliptik egri nuqtalar guruhidan foydalanadi. Shunga oʻxshash modifikatsiya, yaʼni. Koʻpaytma guruhi modulidan tub sondan elliptik egri chiziqning nuqtalar guruhiga oʻtish DSA – ECDSA [12] uchun ham mavjud . U, masalan, bitcoin kriptovalyutasida tranzaktsiyalarni tasdiqlash uchun ishlatiladi. Ushbu tarjima xavfsizlikni buzmasdan kalitlarning hajmini qisqartirish imkonini beradi – bitkoin tizimida shaxsiy kalitning oʻlchami 256 bit, mos keladigan ochiq kalit esa 512 bit. Yana bir umumiy ochiq kalit algoritmi, RSA (mualliflar nomi bilan atalgan: Rivest, Shamir, Adleman) katta raqamlarni faktoring qilish qiyinligiga asoslangan.
Kriptografik kuch
tahrirAlgoritmga qilingan har qanday hujumni quyidagicha taʼriflash mumkin: buzgʻunchi barcha ochiq imzo parametrlarini va maʼlum bir juftlik toʻplamini oladi va ushbu toʻplamdan foydalanib, yangi imzo yaratishga urinadi. Ushbu hujumlarni ikki guruhga boʻlish mumkin – birinchidan, tajovuzkor maxfiy kalitni tiklashga harakat qilishi mumkin , va keyin u darhol istalgan xabarni imzolash imkoniyatini qoʻlga kiritadi, ikkinchidan, u maxfiy kalitni toʻgʻridan-toʻgʻri tiklamasdan yangi xabar uchun haqiqiy imzo yaratishga harakat qilishi mumkin. Bu havfsizlik parametrlarini buzadi. Imzonoi buzib kirish imkoni paydo boʻladi.
Tasodifiy parametrni bashorat qilish
tahrirtizim xavfsizligi uchun juda muhim. Agar bir nechta ketma-ket parametr bitlari maʼlum boʻlsa bir qator imzolar uchun, keyin maxfiy kalit yuqori koeffitsiyent bilan tiklanishi mumkin. [13] Kalit yoʻqolgan taqdirda tiklash imkonini beradi. Ikkita xabar uchun parametrni takrorlash tizimni oddiy buzishga olib keladi. Android uchun bitcoin tizimining baʼzi ilovalarida tajovuzkor hamyonga kirish huquqiga ega boʻlishi mumkin. [14] [15] Ikkala misolda ham ECDSA tizimi [12] ishlatilgan. Agar ikkita xabar uchun Xuddi shu parametr ishlatilgan , keyin ularning imzolari xuddi shunday boʻladi , lekin boshqacha , keling, ularni chaqiramiz . Algaritmlarda toʻgʻri foydalana bilish kerak. Uning s1 , s2 funksidan foydalanish
uchun ifodasidan umumiy ifodalanishi mumkin :
.
Va umumiy miqdorni tenglashtiring turli xabarlar uchun:
Bu yerdan maxfiy kalitni ifodalash oson :
Ekzistensial soxtalashtirish
tahrirBaʼzi raqamli imzo algoritmlari mavjud soxtalik bilan hujum qilishi mumkin. Gap shundaki, imzo uchun faqat umumiy parametrlardan foydalangan holda toʻgʻri xabarni yaratish mumkin (ammo bu odatda mantiqiy emas). DSA sxemasi imzosi uchun , har qanday vaqtda xash bilan xabar uchun toʻgʻri . Mos kelishi mumkin. Agar xesh funktsiyasi toʻgʻri tanlangan boʻlsa, DSA algoritmi ushbu hujumdan himoyalangan, chunki kriptografik xesh funktsiyasi teskari topish shu kabi ) hisoblash jihatidan murakkab masala. [16]
Kalitni tiklash
tahrirImzoning amal qilish sharti boshqa shaklda qayta yozilishi mumkin bu tenglama ekvivalent
Bu shuni anglatadiki, kalitni tiklash uchun buzuvchi shakldagi tenglamalar tizimini hal qilishi kerak deb taxmin qilishimiz mumkin. lekin bu tizimda nomaʼlum va tamom , yaʼni nomaʼlumlar soni tenglamalardan bitta koʻp va har qanday uchun boʻladi , tizimni qondirish. q katta tub son boʻlgani uchun tiklash uchun eksponensial sonli juftlik (xabar, imzo) talab qilinadi. [1] Juftliklar boʻlmagan taqdirda tizimga kirish uchun qayta tiklash parametrlari mos kelmaydi. Shuning uchun bularga katta eʼtibor qaratish kerak.
Imzoni qalbakilashtirish
tahrirSiz maxfiy kalitni bilmasdan imzo soxtalashtirishga harakat qilishingiz mumkin. nisbatan Va . Har bir oʻzgarmas uchun tenglama diskret logarifmni hisoblashga teng. [1] Huddi s kabi hisoblash.
Algoritmni amalga oshirishni tekshirish tizimi
tahrirLitsenziya shartlari algoritmni dasturiy va apparat vositalarida amalga oshirish imkonini beradi. NIST DSAVS ni yaratdi [17]. DSAVS har bir tizim komponentini boshqalardan mustaqil ravishda tekshiradigan bir nechta muvofiqlik test modullaridan iborat. Sinov qilingan amalga oshirish komponentlari:
- Domen parametrlarini yaratish
- Domen parametrlari tekshirilmoqda
- Ommaviy-xususiy kalitlar juftligini yaratish
- Imzo yaratish
- Imzoni tekshirish
Amalga oshirishni tekshirish uchun ishlab chiquvchi CMT laboratoriyasida uning bajarilishini sinab koʻrish uchun ariza topshirishi kerak .
Bosh sonlarni hosil qilish
tahrirDSA algoritmi ikkita tub sonni talab qiladi (𝑝 Va 𝑞), shuning uchun tub yoki psevdo tub sonlar generatori kerak.tub sonlarni hosil qilish uchun Shou-Teylor algoritmidan foydalaniladi [18] . Psevdoprimalar xesh funksiyasi yordamida yaratiladi va birlamchilikni tekshirish uchun Miller-Rabin probabilistik testidan foydalaniladi. [4] Kerakli takrorlashlar soni ishlatilgan raqamlarning uzunligiga va tekshirish algoritmiga bogʻliq [4] . Yaʼni barcha algoritmlar bir biriga bogʻliq:
variantlari | Faqat M-R testi | MR testi + Luka testi |
---|---|---|
p: 1024 bit
q: 160 bit xatolik ehtimoli |
40 | p: 3
s: 19 |
p: 2048 bit
q: 224 bit xatolik ehtimoli |
56 | p: 3
s: 24 |
p: 2048 bit
q: 256 bit xatolik ehtimoli |
56 | p: 3
s: 27 |
p: 3072 bit
q: 256 bit xatolik ehtimoli |
64 | p: 2
s: 27 |
Tasodifiy raqamlarni yaratish
tahrirAlgoritm tasodifiy yoki psevdo-tasodifiy raqamlar generatorini ham talab qiladi. Ushbu generator shaxsiy foydalanuvchi kalitini yaratish uchun kerak boʻladi x va s . Standart blokli shifrlar yoki xesh funksiyalari yordamida psevdor tasodifiy raqamlarni yaratishning turli usullarini taklif qiladi. [4] [19] Har bir usul universal boʻlishi mumkin.
Eslatmalar
tahrir- ↑ 1,0 1,1 1,2 Patent US 5231668 A.
- ↑ FIPS 186-2.
- ↑ FIPS 186-3.
- ↑ 4,00 4,01 4,02 4,03 4,04 4,05 4,06 4,07 4,08 4,09 4,10 FIPS 186-4.
- ↑ 5,0 5,1 FIPS 180-4.
- ↑ 6,0 6,1 FIPS 186-1.
- ↑ FIPS 202.
- ↑ Finding Collisions in the Full SHA-1.
- ↑ Freestart collision for full SHA-1.
- ↑ NIST Special Publication 800-57.
- ↑ Elgamal 1985.
- ↑ 12,0 12,1 The Elliptic Curve Digital Signature Algorithm (ECDSA).
- ↑ The Insecurity of the Digital Signature Algorithm with Partially Known Nonces.
- ↑ ECDSA - Application and Implementation Failures.
- ↑ Elliptic Curve Cryptography in Practice.
- ↑ Security Arguments for Digital Signatures and Blind Signatures.
- ↑ The Digital Signature Algorithm Validation System.
- ↑ Generating strong primes.
- ↑ Random Number Generation.
Adabiyot
tahrirStandartlar va patentlar
tahrir- FIPS. PUB 186-1 (angl.).
- FIPS. PUB 186-2 (angl.).
- FIPS. PUB 186-3 (angl.).
- FIPS. PUB 186-4 (angl.).
- FIPS. PUB 180-4 (angl.). Arxivirovano 26 noyabrya 2016 goda.
- FIPS. PUB 202 (angl.).
- FIPS. PUB 202 (angl.).
- David W. Kravitz. Digital signature algorithm 5231668 A (angl.).
- NIST Special Publication 800-57 Part 1Revision 4. Recommendation for Key Management (angl.).
- GOST R 34.10-2012. Informatsionnie texnologii. Kriptograficheskaya zaщita informatsii. Protsessi formirovaniya i proverki elektronnoy sifrovoy podpisi (rus.).
- The Digital Signature Algorithm Validation System (angl.).
Maqolalar
tahrir- Marc Stevens, Pierre Karpman, Thomas Peyrin. Freestart collision for full SHA-1 (angl.).
- NIST Special Publication 800-90A Recommendation for Random Number Generation Using Deterministic Random Bit Generators (angl.).
- J. Shawe-Taylor. Generating strong primes (angl.).
- Xiaoyun Wang, Yiqun Lisa, Hongbo Yu. Finding Collisions in the Full SHA-1 (angl.).
- Phong Q. Nguyen, Igor E. Shparlinski. The Insecurity of the Digital Signature Algorithm with Partially Known Nonces (angl.).
- David Pointcheval, Jacques Stern. Security Arguments for Digital Signatures and Blind Signatures (angl.).
- Markus Schmid. ECDSA – Application and Implementation Failures (angl.).
- Don Johnson, Alfred Menezes, Scott Vanstone. The Elliptic Curve Digital Signature Algorithm (ECDSA)
- Joppe W. Bos, J. Alex Halderman, Nadia Heninger, Jonathan Moore, Michael Naehrig, Eric Wustrow. Elliptic Curve Cryptography in Practice (angl.).
Bu maqola birorta turkumga qoʻshilmagan. Iltimos, maqolaga aloqador turkumlar qoʻshib yordam qiling. (Aprel 2024) |