参考文献:
- [BHT97] Gilles Brassard, Peter Høyer, and Alain Tapp. Quantum cryptanalysis of hash and claw-free functions. SIGACT News, 28(2):14–19, 1997.
- [SPMS02] Jacques Stern, David Pointcheval, John Malone-Lee, Nigel P. Smart. Flaws in Applying Proof Methodologies to Signature Schemes. CRYPTO 2002: 93-110.
- [PS05] Thomas Pornin, Julien P. Stern. Digital Signatures Do Not Guarantee Exclusive Ownership. ACNS 2005: 138-150.
- [Rog06] Phillip Rogaway. Formalizing Human Ignorance: Collision-Resistant Hashing without the Keys. IACR Cryptol. ePrint Arch. 2006: 281 (2006).
- [BCJZ21] Jacqueline Brendel, Cas Cremers, Dennis Jackson, Mang Zhao. The Provable Security of Ed25519: Theory and Practice. SP 2021: 1659-1676.
- [CDF+21] Cas Cremers, Samed Düzlü, Rune Fiedler, Marc Fischlin, Christian Janson. BUFFing signature schemes beyond unforgeability and the case of post-quantum signatures. SP 2021: 1696-1714.
文章目录
数字签名算法的标准安全性是 EUF-CMA 和 SUF-CMA,即:给定公钥,难以伪造签名。但是在高级密码协议中,可能会对 SIGs 提出其他安全性要求,比如:签名和消息绑定、签名和公钥绑定、签名者必须知道消息,等等;否则会存在各种安全缺陷。在 NIST PQC 数字签名的追加轮中,也对 EUF/SUF 以外的其他安全属性做了要求。
[CDF+21] 回顾前人工作中的各种安全属性,给出了三种属性的形式化定义。然后,提出了基于 Hash 函数(并非 ROM)的两种转换方法 BUFF-lite 和 full BUFF,可以将任何 EUF-CMA SIGs 增强以满足这些额外属性。最后,[CDF+21] 分析了 NIST PQC 中的某些数字签名,发现在特定的 Hash 安全假设下 Dilithium 天然地满足额外的属性,但是 Falcon 仅满足其中之一;后续 Falcon 接纳了 BUFF 转换。
Hash
security properties
在 BUFF 转换中,对于 Hash 函数的安全性要求有两个:抗碰撞性、不可延展性。
Hash 函数是一对概率算法和确定性算法,
其两种安全属性的定义如下:
其中的条件 Hill 熵定义为:与之计算不可区分的随机变量的平均条件最小熵,
H ~ ∞ HILL ( X ∣ Y ) : = max X ′ ≡ c X H ~ ∞ ( X ′ ∣ Y ) H ~ ∞ ( X ∣ Y ) : = − log E y ← Y ( max x Pr [ X = x ∣ Y = y ] ) \begin{aligned} \tilde{H}_\infty^{\text{HILL}}(X\mid Y) &:= \max_{X' \overset{c}{\equiv} X}\tilde{H}_\infty(X' \mid Y)\\ \tilde{H}_\infty(X\mid Y) &:= -\log \mathbb E_{y \gets Y}\left(\max_x \Pr[X=x \mid Y=y]\right) \end{aligned} H~∞HILL(X∣Y)H~∞(X∣Y):=X′≡cXmaxH~∞(X′∣Y):=−logEy←Y(xmaxPr[X=x∣Y=y])
如果把 Hash 函数建模为 RO,那么关于任意的 Φ \Phi Φ,只要其中的函数 ϕ \phi ϕ 保护 x ← X x\gets\mathcal X x←X 足够的熵,那么它满足 Φ \Phi Φ-不可延展性;抗碰撞性是显然的。
human ignorance approach
在 Hash 函数安全属性的形式化定义中,总是使用 Keyed Hash,这是因为任意给定的 Keyless Hash 总存在大量的碰撞(只不过人们难以找到);如果有神仙能够找到一对碰撞,通过硬编码可以写出寻找碰撞的高效算法(存在性的非一致电路),导致所有 Keyless Hash 都无法满足抗碰撞的形式化定义。而如果是 Keyed Hash,由于特定安全参数下的函数族包含指数多的函数(从而需硬编码指数多的碰撞),因此该电路无法被写出。
但是在实际应用中,使用的 MD、SHA 系列都是 Keyless Hash,难以解释使用这些 Hash 实例为何是安全的(什么组件是 key,又是如何被选取的)。[Rog06] 提出了 “human ignorance approach”,关键是在安全性定义中使用 “there is no efficient algorithm known to man”。确切地说,如果高级协议 Π \Pi Π 的安全性依赖于 H H H,那么归约可声明为:
由于人类的能力是有限的,写不出寻找 H H H 碰撞的高效算法,从而说明了协议 Π \Pi Π 是安全的。[CDF+21] 使用该方法,将 BUFF 显式归约到某个 unkeyed Hash 实例的安全属性上,而非采用 RO 模型。
Security Notions beyond Unforgeability
Exclusive Ownership
排他的所有权,是指:诚实生成的签名只能通过相应公钥的验签。
一般地,敌手可以获得若干的三元组 ( p k , m , σ ) (pk,m,\sigma) (pk,m,σ),共用 2 3 = 8 2^3=8 23=8 种方式可以制作出新的三元组。排除三个平凡的;另外五种攻击中,有三种可以被 Non-Malleable、EUF/SUF 捕获。
针对另外两种攻击,[PS05] 提出了 conservative exclusive ownership (CEO) 和 destructive exclusive ownership (DEO),以及它们的组合 universal exclusive ownership (UEO)。在这里 K p u b A K_{pub}^A K
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
