20、密码学中格的两面性：从攻击到应用

密码学中格的两面性：从攻击到应用

1. 对DSA的格攻击

数字签名算法（DSA）在密码学中有着重要的地位，但之前隐藏数问题的解决方案却为其带来了潜在威胁。DSA使用一个阶为q的公共元素g ∈ Zp，其中q是一个160位的素数，且能整除p - 1（p是一个至少512位的大素数）。签名者拥有一个私钥α ∈ Z∗q和一个公钥β = gα mod p。对于消息m，DSA签名为(r, s) ∈ Z2q，其中r = (gk mod p) mod q，s = k−1(h(m) + αr) mod q，h是SHA - 1哈希函数，k是每次签名时在Z∗q中随机选择的元素。

如果随机数k被泄露，或者k是由一个密码学上较弱的伪随机生成器（如已知参数的线性同余生成器）生成，并且有几个签名可用，那么私钥α很容易被恢复。最近，Howgrave - Graham和Smart发现，如果有足够多的签名以及相应随机数k的足够多的比特位已知，Babai的最近平面CVP算法可以启发式地恢复α。这其实是一个广义的隐藏数问题。

假设攻击者知道d个消息mi的签名(ri, si)中随机数ki的ℓ个最低有效位，即知道ai < 2ℓ，使得ki - ai = 2ℓbi。那么αri ≡ si(ai + bi2ℓ) - h(mi) (mod q)，可改写为αri2−ℓs−1i ≡ (ai - s−1i h(mi)) · 2−ℓ + bi (mod q)。令ti = ri2−ℓs−1i mod q，则MSBℓ(αti mod q)是已知的。恢复私钥α就是一个广义隐藏数问题，其中ti并非独立且均匀分布在Zq上，但底层的ki是独立且均匀分布在Z∗q上的。

Nguyen和Shparlinski证明，在对哈希函数的合理假