Download
1 / 20
210 likes | 360 Views
حمله مشبکه به امضاهای Elgamal type. گردآورنده: زهرا فرجی معز با راهنمایی دکتر حسین حاجی ابوالحسن. در اینجا با استفاده از مشبکه حمله ای روی امضاهای دیجیتال (DSA) ارائه می شود. این حمله از الگوریتم کاهشی LLL برای حل معادلات چندجمله ای یک متغیره و دو متغیره استفاده می کند.
E N D
حمله مشبکه به امضاهایElgamal type گردآورنده: زهرا فرجی معز با راهنمایی دکتر حسین حاجی ابوالحسن
در اینجا با استفاده از مشبکه حمله ای روی امضاهای دیجیتال (DSA)ارائه می شود. • این حمله از الگوریتم کاهشی LLL برای حل معادلات چندجمله ای یک متغیره و دو متغیره استفاده می کند.
امضاهای دیجیتال از نوع الجمال خواهیم دید حمله به این امضا معادل با حل مسئله appr CVPاست... • کلید عمومی : • گروه متناهی G ، • g,hєG به طوریکه h=g x • عدد اول P به طول حداقل 160 بیت. • تابع پوشای f:G→Zp • کلید خصوصی : • مقدار x m єZp (m, r ,s ) yє[1,…,p-1] Bob Alice f(g m/s h r/s)=r r=f(g y) Find s S.T m=sy-xr (mod p)
هدف یافتن مقادیر y و x می باشد... اگر فرض کنیم i برابر با تعداد متون امضا شده باشد، داریم: mi-siyi+xri = 0 (mod p) yi+Cix+Di = 0 (mod p) پس در حالت کلی؛ معادله اولیه تبدیل به yi+Aiy0+Bi = 0 (mod p) ، (1≤i≤n) می شود در حالی که yh= y0 یا y0= x و Ai,Biє[0,…,p-1] . اگر در معادلات فوق هیچ یک از بیت های x مشخص نشده باشد معادله hام را با بقیه معادلات جمع کرده تا x حذف شود. پسh-1 معادله بر حسب yi و yh پدید می آید: yi+C΄iyh+D΄i = 0 (mod p)
فرض می کنیم بیت های مجهول yi متصل به هم باشند: می توانیم yi را به صورت زیر نمایش دهیم که تنها zi مجهول است. به طور مثال اگرyi=10100xy10 ،داریم: در نتیجه معادله yi+Aiy0+Bi = 0 (mod p) تبدیل به (*) zi+uiz0+vi=0 (mod p) ، به طوریکه ui , vi Є{0,…,p-1}, i=1,2,…,n
حال نوبت به آن می رسد که نظریه مشبکه وارد عمل شود... برای حل این معادلات، از مشبکه L تولید شده توسط ماتریس A استفاده می کنیم: بردار غیر مشبکه v را در نظر می گیریم:
با توجه به تعریف L وzi می توان نتیجه گرفت که xєZn+1ای موجود است که xA-v=(z0,…, zn). • از طرفی چونXi >ziداریم :
اگر نسبت بیت های معلوم در yi را برابر ε بگیریم که ε >1/(n+1) ، خواهیم داشت: از آنجا که Xi=p 1-ε، داریم Xi<pn/n+1 . در نتیجه
Babai در مقاله خود، جایی که الگوریتم Nearest Plane را برای یافتن نزدیکترین نقطه مشبکه(w) به بردار دلخواه v ارائه می کند، ثابت می کند که (2) در نتیجه یافتن بردار x معادل با حل مسئله تقریب CVP است که الگوریتمBabai قادر به حل آن می باشد. با مقایسه نامساوی های (2) و (3) و همچنین از آنجا که تعداد نقاط نزدیک به v در مشبکه زیاد نیست، می توان امیدوار بود که بردار xA همان بردار نزدیک به v در مشبکه L(B) می باشد... طبق قضیه 6.66 در کتاب an introduction of mathematical cryptography ، داریم: (1) (3)
نتایج تجربی حمله فوق را روی دستگاه HP-UX با اجراکننده PA1.1 و حافظه MB 128 با استفاده ازC++ برای اجرای الگوریتم LLL به کاربرده ایم: *در مورد ε =0.025؛ حمله فوق قادر به پیدا کردن کلید ها با این مقدار ε نبود. زیرا الگوریتم Babai در این مورد برای پیدا کردن بردار نزدیک در لتیس شکست می خورد. چرا که برای p 160 بیتی، تنها 4 بیت مشخص شده است...
فرض می کنیم بیت های مجهول yi متصل به هم نباشند (اصطلاً در بلوک های متفاوت هستند): می توانیم yi را به صورت زیر نمایش دهیم که تنها yij مجهول است. در نتیجه معادله yi+Aiy0+Bi = 0 (mod p) تبدیل به (*) می شود، به طوریکه ui,j,wi,j , vi Є{0,…,p-1}, i=1,2,…,n به طور مثال اگرyi=101xy010h1،داریم:
قرار می دهیمZij:=2 )تعداد بیت های مجهول yi در بلوک jام( در نتیجه تعریف می کنیم
حال نوبت به آن می رسد که نظریه مشبکه وارد عمل شود... برای حل این معادلات، از مشبکه L تولید شده توسط ماتریس B استفاده می کنیم:
با توجه به تعریف L وzij می توان نتیجه گرفت کهxєZn+1ای موجود است که xB-v=(z0,1 j0,1,…, zn,1 jn,1) حال اگر ε>1/n+1 در نظر بگیریم، داریم: (1) در نتیجه داریم:
بنابر فرایند قسمت قبل، با به کارگیری نتایج الگوریتم Babai خواهیم داشت در نتیجه یافتن بردار x معادل با حل مسئله تقریب CVP است که الگوریتمBabai قادر به حل آن می باشد. (2) با مقایسه نامساوی های (1) و (2) و همچنین از آنجا که تعداد نقاط نزدیک به v در مشبکه زیاد نیست، می توان امیدوار بود که بردار xA همان بردار نزدیک به v در مشبکه L(B) می باشد...
مشاهده می شود با کاهش ε(نسبت تعداد بیت های معلوم)، باید تعداد بلوک ها کاهش داده شود؛در غیر این صورت ماتریس ها بزرگ و بزرگ تر می شوند و زمان اجرای الگوریتم افزایش می یابد...
