Cryptanalysis
沒有因素“r”,DSA 仍然安全嗎?
如果我理解正確,DSA 組中的方式 $ G $ 帶有雜湊函式 $ H $ 作品是:佩吉(簽名者)有一個私鑰/公鑰對 $ x $ , $ g^x $ . 為了簽名,她生成了一個隨機會話密鑰 $ k $ , $ g^k $ 然後計算簽名: $ s=\frac{H(m)+xF(g^k)}{k} $ 其中 F 是一些“合理統一的函式” $ F: G \rightarrow \frac{\mathbb{Z}}{|G|\mathbb{Z}} $ . 為了驗證簽名,Victor 檢查 $ g^{\frac{H(m)}{s}}(g^x)^{\frac{F(g^k)}{s}} = g^k $ .
我的問題是關於因素 $ F(g^k) $ (命名為 $ r $ 在許多博覽會中,例如在維基百科中)。安全方面的必要性有多大?更具體地說:假設 Peggy 要計算簽名 $ s=\frac{H(m)+x}{k} $ (因此,Victor 將計算: $ g^{\frac{H(m)}{s}}(g^x)^{\frac{1}{s}} = g^k $ )。這是否會使該方案容易受到特定的已知攻擊?
這個問題的重複(2019 年 2 月問,沒有答案)。另請參閱這個過去的問題,其中答案斷言碰撞 $ r $ 不允許密碼破解。
這種簽名方案很容易偽造。
注意有 $ s $ 僅用於驗證方程的右側,並且 $ g^k $ 僅用於左側。偽造者弗雷德可以自由選擇任何 $ s $ ; 計算左邊說 $ \ell=g^{\frac{h(m)}s}(g^x)^{\frac1s} $ 然後發布簽名 $ (\ell,s) $ 這將被維克多接受。