Rsa

帶有碰撞的數字簽名

  • May 29, 2016

讓我們假設一個數字簽名方案,兩個隨機消息具有相同簽名的機率為 0.2。

我怎樣才能利用這個sheme?

由於消息必須是隨機的,因此我很難找到漏洞利用。

正式地,簽名方案被破壞,只要你可以生成一個你以前沒有得到的消息簽名對。

因此,生成一大堆(隨機)消息對 $ (m_1,m_2) $ ,並要求一個人簽名 $ (m_1) $ 其中並驗證簽名是否也驗證了另一條消息是一種策略,它將為您產生一個新的消息簽名對 $ (m_2,s_1) $ 不如早點晚點。

現在,如果您想對上述含義進行令人印象深刻的展示,您可以生成一大堆最終實體 X.509 證書(只是序列號不同?)和一大堆 X.509 中間 CA 證書. 簽名者將是僅通過簽署證書雜湊來頒發最終實體證書的 CA。因此,您的消息成為證書的雜湊值(在計算上與隨機字元串無法區分),您很快就會獲得 EE 證書的簽名,該證書也驗證中間 CA 證書之一,因此您已經成功偽造了一個(有效)中間 CA 證書,並且可以使用此證書執行 havok。

引用自:https://crypto.stackexchange.com/questions/35650