Алгоритм подписи Рабина

В криптографии алгоритм подписи Рабина — это метод цифровой подписи, первоначально предложенный Майклом О. Рабином в 1978 году. ^{[1] [2] [3]}

Алгоритм подписи Рабина был одной из первых предложенных схем цифровой подписи. Введя использование хеширования в качестве важного шага при подписании, это был первый проект, который соответствовал современному стандарту безопасности от подделки, экзистенциальной невозможности подделки при атаке по выбранному сообщению , при условии соответствующего масштабирования параметров.

Подписи Рабина напоминают подписи RSA с экспонентой ${\displaystyle e=2}$', но это приводит к качественным различиям, которые позволяют более эффективно реализовать ^[4] и гарантия безопасности относительно сложности факторизации целых чисел , ^{[2] [3] [5]} что не было доказано для RSA .Однако подписи Рабина сравнительно мало использовались или стандартизировались за пределами IEEE P1363. ^[6] по сравнению со схемами подписи RSA, такими как RSASSA-PKCS1-v1_5 и RSASSA-PSS .

Схема подписи Рабина параметризуется рандомизированной хеш-функцией. ${\displaystyle H(m,u)}$ сообщения ${\displaystyle m}$ и ${\displaystyle k}$-битная строка рандомизации ${\displaystyle u}$.

Открытый ключ

Открытый ключ — это пара целых чисел ${\displaystyle (n,b)}$ с ${\displaystyle 0\leq b<n}$ и ${\displaystyle n}$ странный.

Подпись

Подпись в сообщении ${\displaystyle m}$ это пара ${\displaystyle (u,x)}$ из ${\displaystyle k}$-битовая строка ${\displaystyle u}$ и целое число ${\displaystyle x}$ такой, что $${\displaystyle x(x+b)\equiv H(m,u){\pmod {n}}.}$$

Закрытый ключ

Закрытый ключ для открытого ключа ${\displaystyle (n,b)}$ это секретная факторизация нечетных простых чисел ${\displaystyle p\cdot q}$ из ${\displaystyle n}$, выбранное равномерно и случайно из некоторого пространства больших простых чисел. Позволять ${\displaystyle d=(b/2){\bmod {n}}}$, ${\displaystyle d_{p}=(b/2){\bmod {p}}}$, и ${\displaystyle d_{q}=(b/2){\bmod {q}}}$. Чтобы поставить подпись в сообщении ${\displaystyle m}$, подписывающийся выбирает ${\displaystyle k}$-битовая строка ${\displaystyle u}$ равномерно случайным образом и вычисляет ${\displaystyle c:=H(m,u)}$. Если ${\displaystyle c+d^{2}}$ является квадратичным безвычетом по модулю ${\displaystyle n}$, затем подписывающий выбрасывает ${\displaystyle u}$ и пытается еще раз. В противном случае подписывающая сторона вычисляет $${\displaystyle {\begin{aligned}x_{p}&:={\Bigl (}-d_{p}\pm {\sqrt {c+{d_{p}}^{2}}}{\Bigr )}{\bmod {p}}\\x_{q}&:={\Bigl (}-d_{q}\pm {\sqrt {c+{d_{q}}^{2}}}{\Bigr )}{\bmod {q}},\end{aligned}}}$$ используя стандартный алгоритм вычисления квадратных корней по модулю простого числа — выбор ${\displaystyle p\equiv q\equiv 3{\pmod {4}}}$ делает это проще всего. Квадратные корни не уникальны, и разные варианты схемы подписи требуют разного выбора квадратного корня; ^[4] в любом случае подписывающая сторона должна гарантировать, что не будет раскрыто два разных корня для одного и того же хеша. ${\displaystyle c}$. Затем подписывающая сторона использует китайскую теорему об остатках для решения системы. $${\displaystyle {\begin{aligned}x&\equiv x_{q}{\pmod {n}}\\x&\equiv x_{p}{\pmod {n}}\end{aligned}}}$$ для ${\displaystyle x}$. Подписавшийся наконец раскрывает ${\displaystyle (u,x)}$.

Правильность процедуры подписания определяется оценкой ${\displaystyle x(x+b)-H(m,u)}$ модуль ${\displaystyle p}$ и ${\displaystyle q}$ с ${\displaystyle x}$ как построено. Например, в простом случае, когда ${\displaystyle b=0}$, ${\displaystyle x}$ это просто квадратный корень из ${\displaystyle H(m,u)}$ модуль ${\displaystyle n}$. Количество испытаний для ${\displaystyle u}$ геометрически распределено с математическим ожиданием около 4, поскольку около 1/4 всех целых чисел представляют собой квадратичные вычеты по модулю ${\displaystyle n}$.

Защита от любого злоумышленника, определяемая в общих чертах с помощью хэш-функции. ${\displaystyle H}$ (т.е. безопасность в модели случайного оракула ) следует из сложности факторизации ${\displaystyle n}$:Любой такой злоумышленник с высокой вероятностью успеха в подделке может с почти такой же высокой вероятностью найти два различных квадратных корня. ${\displaystyle x_{1}}$ и ${\displaystyle x_{2}}$ случайного целого числа ${\displaystyle c}$ модуль ${\displaystyle n}$.Если ${\displaystyle x_{1}\pm x_{2}\not \equiv 0{\pmod {n}}}$ затем ${\displaystyle \gcd(x_{1}\pm x_{2},n)}$ является нетривиальным фактором ${\displaystyle n}$, с ${\displaystyle {x_{1}}^{2}\equiv {x_{2}}^{2}\equiv c{\pmod {n}}}$ так ${\displaystyle n\mid {x_{1}}^{2}-{x_{2}}^{2}=(x_{1}+x_{2})(x_{1}-x_{2})}$ но ${\displaystyle n\nmid x_{1}\pm x_{2}}$. ^[3] Формализация безопасности в современных условиях требует заполнения некоторых дополнительных деталей, таких как кодомен ${\displaystyle H}$; если мы установим стандартный размер ${\displaystyle K}$ для простых факторов, ${\displaystyle 2^{K-1}<p<q<2^{K}}$, то мы могли бы указать ${\displaystyle H\colon \{0,1\}^{*}\times \{0,1\}^{k}\to \{0,1\}^{K}}$. ^[5]

Рандомизация хеш-функции была введена, чтобы позволить подписавшемуся найти квадратичный остаток, но рандомизированное хеширование для подписей позже стало актуальным само по себе для более строгих теорем безопасности. ^[3] и устойчивость к коллизионным атакам на фиксированные хэш-функции. ^{[7] [8] [9]}

Количество ${\displaystyle b}$ в открытом ключе не добавляет безопасности, поскольку любой алгоритм решения сравнений ${\displaystyle x(x+b)\equiv c{\pmod {n}}}$ для ${\displaystyle x}$ данный ${\displaystyle b}$ и ${\displaystyle c}$ может быть тривиально использован как подпрограмма в алгоритме для вычисления квадратных корней по модулю ${\displaystyle n}$ и наоборот, поэтому реализации могут безопасно устанавливать ${\displaystyle b=0}$ для простоты; ${\displaystyle b}$ был полностью исключен при лечении после первоначального предложения. ^{[10] [3] [6] [4]}

Схема подписи Рабина была позже изменена Уильямсом в 1980 году. ^[10] выбирать ${\displaystyle p\equiv 3{\pmod {8}}}$ и ${\displaystyle q\equiv 7{\pmod {8}}}$и заменим квадратный корень ${\displaystyle x}$ с помощью измененного квадратного корня ${\displaystyle (e,f,x)}$, с ${\displaystyle e=\pm 1}$ и ${\displaystyle f\in \{1,2\}}$, так что подпись вместо этого удовлетворяет $${\displaystyle efx^{2}\equiv H(m,u){\pmod {n}},}$$что позволяет подписавшему создать подпись за одну попытку без ущерба для безопасности.Этот вариант известен как Рабин-Вильямс . ^{[4] [6]} Дальнейшие варианты позволяют найти компромисс между размером подписи и скоростью проверки, частичным восстановлением сообщений, сжатием подписи (до половины размера) и сжатием открытого ключа (до одной трети размера), при этом без ущерба для безопасности. ^[4]

Варианты без хэш-функции опубликованы в учебниках. ^{[11] [12]} приписывая Рабину показатель степени 2, но не использование хэш-функции.Эти варианты тривиально нарушены — например, подпись ${\displaystyle x=2}$ может быть подделано кем угодно как действительная подпись в сообщении ${\displaystyle m=4}$ если уравнение проверки подписи имеет вид ${\displaystyle x^{2}\equiv m{\pmod {n}}}$ вместо ${\displaystyle x^{2}\equiv H(m,u){\pmod {n}}}$.

В оригинальной статье ^[2] хеш-функция ${\displaystyle H(m,u)}$ было написано с обозначением ${\displaystyle C(MU)}$, C для сжатия и использование сопоставления для обозначения конкатенации ${\displaystyle M}$ и ${\displaystyle U}$ как битовые строки:

По соглашению, когда вы хотите подписать данное сообщение, ${\displaystyle M}$, [подписавший] ${\displaystyle P}$ добавляет в качестве суффикса слово ${\displaystyle U}$ согласованной длины ${\displaystyle k}$.Выбор ${\displaystyle U}$ рандомизируется каждый раз, когда сообщение должно быть подписано.Подписавшаяся сторона теперь сжимает ${\displaystyle M_{1}=MU}$ с помощью хеш-функции к слову ${\displaystyle C(M_{1})=c}$, так что как двоичное число ${\displaystyle c\leq n}$…

Это обозначение впоследствии привело к некоторой путанице среди некоторых авторов, которые игнорировали ${\displaystyle C}$ часть и неправильно поняли ${\displaystyle MU}$ означает умножение, что приводит к неправильному пониманию тривиально нарушенной схемы подписи. ^[13]

• Подписи Рабина-Вильямса на cr.yp.to