15、几种直接匿名认证（DAA）方案的静态迪菲 - 赫尔曼攻击分析

几种直接匿名认证（DAA）方案的静态迪菲 - 赫尔曼攻击分析

1. 静态迪菲 - 赫尔曼问题求解算法

在求解静态迪菲 - 赫尔曼（Static DH）问题时，我们可以利用一些算法来提高效率。已知((sv)^t)位于(\langle sv\rangle)上，(\langle sv\rangle)是(F_{\rho}^*)的阶为(u)的子群。我们可以再次应用小步 - 大步（baby - step - giant - step）算法，通过(F)用(2\sqrt{u})次群运算来计算(t)，这和计算(y)的方式相同。当计算出(y)和(t)后，可得到(z = tv + y)，进而计算(x = s^z\pmod{\rho})。该算法需要向静态 DH 预言机进行(u)次查询，并在群(G)中进行(2(\sqrt{u}+\sqrt{v}))次群运算。

若存在(u\approx\rho^{1/3})，则攻击者大约用(\rho^{1/3})次群运算就能解决静态 DH 问题，而普通的离散对数问题攻击需要(\rho^{1/2})次群运算。以 256 位的(\rho)为例，攻击者只需向静态 DH 预言机查询(O(2^{85}))次，用(O(2^{85}))次计算就能解决离散对数问题，而非(O(2^{128}))次计算。

2. RSA - DAA 方案中的静态 DH 假设

2.1 RSA - DAA 方案概述

RSA - DAA 方案在 TPM 1.2 中有两个重要协议：DAA - Join 和 DAA - Sign。
- DAA - Join 协议 ：TPM 生成 DAA 私钥(f)，将其拆分为两个(\ell_f