Kontent qismiga oʻtish

DSA

Vikipediya, ochiq ensiklopediya

DSAelektron imzo yaratish uchun shaxsiy kalitdan kriptografik algoritm, lekin shifrlash uchun emas . Imzo yashirincha (maxfiy kalit bilan) yaratiladi, lekin uni ommaviy ravishda tekshirish mumkin (ommaviy kalit bilan). Bu shuni anglatadiki, faqat bitta sub’ekt xabar imzosini yaratishi mumkin, ammo har kim uning toʻgʻriligini tekshirishi mumkin. Algoritm chekli sohalarda logarifmlarni olishning hisoblash murakkabligiga asoslangan. Algoritm 1991-yil avgust oyida Milliy standartlar va texnologiyalar instituti (AQSh) tomonidan taklif qilingan va patentlangan [1] , NIST ushbu patentni royaltisiz foydalanish uchun taqdim etgan. DSA <b id="mwGg">DSS</b> ning bir qismidir Raqamli imzo standarti – birinchi marta 1998 yil 15 dekabrda nashr etilgan raqamli imzo standarti. Standart bir necha marta yangilangan [2] [3], eng oxirgi versiyasi FIPS-186-4 [4] . (2013 yil iyul).

Algoritmning tavsifi

[tahrir | manbasini tahrirlash]
DSA operatsiyasining tasviri

DSA ikkita algoritmni (S, V) oʻz ichiga oladi: xabar imzosini yaratish (S) va uni tekshirish uchun (V) iborat. Yana bir qancha qoʻshimchalar mavjud. Ikkala algoritm ham birinchi navbatda kriptografik hash funktsiyasidan foydalangan holda xabarning xeshini hisoblab chiqadi. Algoritm S imzo yaratish uchun xesh va shaxsiy kalitdan foydalanadi, V algoritmi imzoni tekshirish uchun xabar xeshi, imzo va ochiq kalitdan foydalanadi. Yaʼni barchasi umumlashgan holda ishlaydi. Shuni taʼkidlash kerakki, aslida imzolangan xabar emas, balki uning xeshi (160 – 256 bit), shuning uchun toʻqnashuvlar muqarrar va bitta imzo, umuman olganda, bir xil xeshli bir nechta xabarlar uchun amal qiladi. . Shuning uchun, etarlicha „yaxshi“ hash funktsiyasini tanlash butun tizim uchun juda muhimdir. Standartning birinchi versiyasida SHA-1 xesh funktsiyasi ishlatilgan [5] [6] , soʻnggi versiyada siz SHA-2 oilasining istalgan algoritmidan ham foydalanishingiz mumkin [5] [4] . 2015 yil avgust oyida yangi SHA-3 xesh funksiyasini tavsiflovchi FIPS-202 [7] nashr etildi. Tizim ishlashi uchun muallifning haqiqiy maʼlumotlari (bu jismoniy shaxs yoki tashkilot boʻlishi mumkin) va ochiq kalitlar, shuningdek elektron raqamli imzo sxemasining barcha kerakli parametrlari .

Raqamli imzo sxemasi imkoniyatlari

[tahrir | manbasini tahrirlash]

Elektron raqamli imzo tizimini yaratish uchun siz quyidagi bosqichlarni bajarishingiz kerak. Albatta ketma ketlikda:

  1. H(x) kriptografik xesh funksiyasini tanlash.
  2. Bitlardagi N oʻlchami H(x) xesh funktsiyasining bitlardagi oʻlchamiga toʻgʻri keladigan q tub sonini tanlash.
  3. (p-1) q ga boʻlinadigan p tub sonni tanlash. p ning bit uzunligi L bilan belgilanadi.
  4. g raqamini tanlash () shundayki, uning koʻpaytma tartibi moduli p q ga teng. Uni hisoblash uchun siz formuladan foydalanishingiz mumkin , bu yerda h – ixtiyoriy son, shu kabi . Aksariyat hollarda h = 2 qiymati bu talabni qondiradi. [4]

Yuqorida aytib oʻtilganidek, raqamli imzo sxemasining birinchi parametri kriptografik xesh funktsiyasidan foydalaniladi, bu xabar matnini imzo hisoblangan raqamga aylantirish uchun zarurdir. DSS standartining birinchi versiyasi SHA-1 funksiyasini [6] tavsiya qildi va shunga mos ravishda imzolangan raqamning bit uzunligi 160 bit [8] [9] . Standart L va N raqamlari uchun quyidagi mumkin boʻlgan qiymat juftlarini belgilaydi:

  1. L = 1024, N = 160
  2. L = 2048, N = 224
  3. L = 2048, N = 256
  4. L = 3072, N = 256

Ushbu standart SHA-2 xesh funktsiyalari oilasini tavsiya qiladi. AQSh hukumati tashkilotlari dastlabki uchta variantdan birini qoʻllashi kerak; CAlar abonentlar ishlatadigan juftlikka teng yoki undan yuqori boʻlgan juftlikdan foydalanishlari kerak [4] . Tizim dizayneri istalgan yaroqli xesh funksiyasini tanlashi mumkin. DSA-ga asoslangan kriptotizimning kuchi ishlatiladigan xesh funktsiyasining kuchidan va juftlikning (L, N) kuchidan oshmaydi, ularning kuchi alohida raqamlarning har birining kuchidan katta emas. Hozirgi vaqtda 2010 yilgacha (2030 yilgacha) chidamli boʻlishi kerak boʻlgan tizimlar uchun tavsiya etilgan uzunlik 2048 (3072) bitni tashkil qiladi. [4] [10]

Umumiy va shaxsiy kalitlar

[tahrir | manbasini tahrirlash]
  1. Yashirin kalit – bu raqam
  2. Ochiq kalit formuladan foydalanib hisoblanadi

Umumiy parametrlar raqamlardir (p, q, g, y) . Faqat bitta shaxsiy parametr mavjud – x raqami. Bunday holda, raqamlar (p, q, g) foydalanuvchilar guruhi uchun umumiy boʻlishi mumkin va x va y raqamlari mos ravishda maʼlum bir foydalanuvchining shaxsiy va ochiq kalitlari hisoblanadi. Xabarga imzo qoʻyishda x va k maxfiy raqamlari qoʻllanadi. (p, q, g) bir nechta foydalanuvchilar uchun ishlatilishi mumkinligi sababli, baʼzi bir mezonlarga koʻra bir xil (p, q, g) guruhlarga boʻlinadi.

Xabar quyidagi algoritm [4] yordamida imzolanadi :

  1. Tasodifiy raqamni tanlash
  2. Hisoblash
  3. Agar boshqa k ni tanlash
  4. Hisoblash
  5. Agar boshqa k ni tanlash
  6. Imzo juftlikdir umumiy uzunligi

Hisoblash jihatidan murakkab operatsiyalar koʻrsatkich moduli (hisoblash ), ular uchun tezkor algoritmlar mavjud, xeshni hisoblash , bu yerda murakkablik tanlangan xesh algoritmiga va kirish xabarining oʻlchamiga va teskari elementni topishga bogʻliq.

Imzoni tekshirish

[tahrir | manbasini tahrirlash]

Imzoni tekshirish algoritmga muvofiq amalga oshiriladi [4] :

1 Funksiyani hisoblashda  formulada
2 Funksiyani Hisoblashda  formulada
3 Funksiyani  Hisoblashda  formulada
4 Funksiyani Hisoblash  formuladan ko`pincha foydalaniladi.
5 Imzo to'g'ri bo'lsa 

Hisoblab chiqish jihatidan murakkab funksiyalarni tekshirganda, bu ikkita eksponentatsiya , xeshni hisoblash va teskari qismni topish . Bu funksiyalar oʻzi muhim.

Sxemaning toʻgʻriligi

[tahrir | manbasini tahrirlash]

Ushbu elektron raqamli imzo sxemasi shu darajada toʻgʻri boʻladiki, imzoning haqiqiyligini tekshirishni istagan har bir kishi haqiqiylik holatida har doim ijobiy natija oladi. Bunda chiqishi mumkin emas. Chunki bular shaxsiydir. Keling, buni koʻrsatamiz:Birinchidan, agar , . g >1 va q tub son ekan, u holda g q moduli p ning koʻpaytma tartibida. Xabar imzosi uchun u hisoblanadi

Shuning uchun

g q tartibli boʻlgani uchun biz olamiz

Nihoyat, DSA sxemasining toʻgʻriligi shundan kelib chiqadi

[4]

Xesh qiymati bizning xabarimizning funktsiyasi boʻlsin .

Parametrlarni yaratish

[tahrir | manbasini tahrirlash]
  1. hash uzunligi , bu siz tanlashingiz mumkin degan maʼnoni anglatadi
  2. tanlaylik , chunki
  3. tanlaylik

Kalitlarni yaratish

[tahrir | manbasini tahrirlash]
  1. maxfiy kalit sifatida biz tanlaymiz
  2. keyin umumiy kalit
  1. tanlaylik
  2. Keyin
  3. , davom etishga ruxsat
  4. , bu hisobga olinadi
  5. , davom etishga ruxsat
  6. imzo juft raqamlardan iborat
  1. tushundim , keyin imzo toʻgʻri.

DSA algoritmi diskret logarifmlarni hisoblash qiyinligiga asoslanadi va klassik El-Gamal sxemasining [11] modifikatsiyasi boʻlib, bu yerda xabar xeshlash qoʻshiladi va barcha logarifmlar quyidagi tarzda hisoblanadi. , bu sizga analoglarga nisbatan imzoni qisqartirish imkonini beradi . U GOST R 34.10-2012 standarti bilan almashtirildi [13], bu elliptik egri nuqtalar guruhidan foydalanadi. Shunga oʻxshash modifikatsiya, yaʼni. Koʻpaytma guruhi modulidan tub sondan elliptik egri chiziqning nuqtalar guruhiga oʻtish DSA – ECDSA [12] uchun ham mavjud . U, masalan, bitcoin kriptovalyutasida tranzaktsiyalarni tasdiqlash uchun ishlatiladi. Ushbu tarjima xavfsizlikni buzmasdan kalitlarning hajmini qisqartirish imkonini beradi – bitkoin tizimida shaxsiy kalitning oʻlchami 256 bit, mos keladigan ochiq kalit esa 512 bit. Yana bir umumiy ochiq kalit algoritmi, RSA (mualliflar nomi bilan atalgan: Rivest, Shamir, Adleman) katta raqamlarni faktoring qilish qiyinligiga asoslangan.

Kriptografik kuch

[tahrir | manbasini tahrirlash]

Algoritmga qilingan har qanday hujumni quyidagicha taʼriflash mumkin: buzgʻunchi barcha ochiq imzo parametrlarini va maʼlum bir juftlik toʻplamini oladi va ushbu toʻplamdan foydalanib, yangi imzo yaratishga urinadi. Ushbu hujumlarni ikki guruhga boʻlish mumkin – birinchidan, tajovuzkor maxfiy kalitni tiklashga harakat qilishi mumkin , va keyin u darhol istalgan xabarni imzolash imkoniyatini qoʻlga kiritadi, ikkinchidan, u maxfiy kalitni toʻgʻridan-toʻgʻri tiklamasdan yangi xabar uchun haqiqiy imzo yaratishga harakat qilishi mumkin. Bu havfsizlik parametrlarini buzadi. Imzonoi buzib kirish imkoni paydo boʻladi.

Tasodifiy parametrni bashorat qilish

[tahrir | manbasini tahrirlash]

tizim xavfsizligi uchun juda muhim. Agar bir nechta ketma-ket parametr bitlari maʼlum boʻlsa bir qator imzolar uchun, keyin maxfiy kalit yuqori koeffitsiyent bilan tiklanishi mumkin. [13] Kalit yoʻqolgan taqdirda tiklash imkonini beradi. Ikkita xabar uchun parametrni takrorlash tizimni oddiy buzishga olib keladi. Android uchun bitcoin tizimining baʼzi ilovalarida tajovuzkor hamyonga kirish huquqiga ega boʻlishi mumkin. [14] [15] Ikkala misolda ham ECDSA tizimi [12] ishlatilgan. Agar ikkita xabar uchun Xuddi shu parametr ishlatilgan , keyin ularning imzolari xuddi shunday boʻladi , lekin boshqacha , keling, ularni chaqiramiz . Algaritmlarda toʻgʻri foydalana bilish kerak. Uning s1 , s2 funksidan foydalanish

uchun ifodasidan umumiy ifodalanishi mumkin  :

.

Va umumiy miqdorni tenglashtiring turli xabarlar uchun:

Bu yerdan maxfiy kalitni ifodalash oson  :

Ekzistensial soxtalashtirish

[tahrir | manbasini tahrirlash]

Baʼzi raqamli imzo algoritmlari mavjud soxtalik bilan hujum qilishi mumkin. Gap shundaki, imzo uchun faqat umumiy parametrlardan foydalangan holda toʻgʻri xabarni yaratish mumkin (ammo bu odatda mantiqiy emas). DSA sxemasi imzosi uchun , har qanday vaqtda xash bilan xabar uchun toʻgʻri . Mos kelishi mumkin. Agar xesh funktsiyasi toʻgʻri tanlangan boʻlsa, DSA algoritmi ushbu hujumdan himoyalangan, chunki kriptografik xesh funktsiyasi teskari topish shu kabi ) hisoblash jihatidan murakkab masala. [16]

Kalitni tiklash

[tahrir | manbasini tahrirlash]

Imzoning amal qilish sharti boshqa shaklda qayta yozilishi mumkin bu tenglama ekvivalent

Bu shuni anglatadiki, kalitni tiklash uchun buzuvchi shakldagi tenglamalar tizimini hal qilishi kerak deb taxmin qilishimiz mumkin. lekin bu tizimda nomaʼlum va tamom , yaʼni nomaʼlumlar soni tenglamalardan bitta koʻp va har qanday uchun boʻladi , tizimni qondirish. q katta tub son boʻlgani uchun tiklash uchun eksponensial sonli juftlik (xabar, imzo) talab qilinadi. [1] Juftliklar boʻlmagan taqdirda tizimga kirish uchun qayta tiklash parametrlari mos kelmaydi. Shuning uchun bularga katta eʼtibor qaratish kerak.

Imzoni qalbakilashtirish

[tahrir | manbasini tahrirlash]

Siz maxfiy kalitni bilmasdan imzo soxtalashtirishga harakat qilishingiz mumkin. nisbatan Va . Har bir oʻzgarmas uchun tenglama diskret logarifmni hisoblashga teng. [1] Huddi s kabi hisoblash.

Algoritmni amalga oshirishni tekshirish tizimi

[tahrir | manbasini tahrirlash]

Litsenziya shartlari algoritmni dasturiy va apparat vositalarida amalga oshirish imkonini beradi. NIST DSAVS ni yaratdi [17]. DSAVS har bir tizim komponentini boshqalardan mustaqil ravishda tekshiradigan bir nechta muvofiqlik test modullaridan iborat. Sinov qilingan amalga oshirish komponentlari:

  1. Domen parametrlarini yaratish
  2. Domen parametrlari tekshirilmoqda
  3. Ommaviy-xususiy kalitlar juftligini yaratish
  4. Imzo yaratish
  5. Imzoni tekshirish

Amalga oshirishni tekshirish uchun ishlab chiquvchi CMT laboratoriyasida uning bajarilishini sinab koʻrish uchun ariza topshirishi kerak .

Bosh sonlarni hosil qilish

[tahrir | manbasini tahrirlash]

DSA algoritmi ikkita tub sonni talab qiladi (𝑝 Va 𝑞), shuning uchun tub yoki psevdo tub sonlar generatori kerak.tub sonlarni hosil qilish uchun Shou-Teylor algoritmidan foydalaniladi [18] . Psevdoprimalar xesh funksiyasi yordamida yaratiladi va birlamchilikni tekshirish uchun Miller-Rabin probabilistik testidan foydalaniladi. [4] Kerakli takrorlashlar soni ishlatilgan raqamlarning uzunligiga va tekshirish algoritmiga bogʻliq [4] . Yaʼni barcha algoritmlar bir biriga bogʻliq:

variantlari Faqat M-R testi MR testi + Luka testi
p: 1024 bit

q: 160 bit

xatolik ehtimoli

40 p: 3

s: 19

p: 2048 bit

q: 224 bit

xatolik ehtimoli

56 p: 3

s: 24

p: 2048 bit

q: 256 bit

xatolik ehtimoli

56 p: 3

s: 27

p: 3072 bit

q: 256 bit

xatolik ehtimoli

64 p: 2

s: 27

Tasodifiy raqamlarni yaratish

[tahrir | manbasini tahrirlash]

Algoritm tasodifiy yoki psevdo-tasodifiy raqamlar generatorini ham talab qiladi. Ushbu generator shaxsiy foydalanuvchi kalitini yaratish uchun kerak boʻladi x va s . Standart blokli shifrlar yoki xesh funksiyalari yordamida psevdor tasodifiy raqamlarni yaratishning turli usullarini taklif qiladi. [4] [19] Har bir usul universal boʻlishi mumkin.

  1. 1,0 1,1 1,2 Patent US 5231668 A.
  2. FIPS 186-2.
  3. FIPS 186-3.
  4. 4,00 4,01 4,02 4,03 4,04 4,05 4,06 4,07 4,08 4,09 4,10 FIPS 186-4.
  5. 5,0 5,1 FIPS 180-4.
  6. 6,0 6,1 FIPS 186-1.
  7. FIPS 202.
  8. Finding Collisions in the Full SHA-1.
  9. Freestart collision for full SHA-1.
  10. NIST Special Publication 800-57.
  11. Elgamal 1985.
  12. 12,0 12,1 The Elliptic Curve Digital Signature Algorithm (ECDSA).
  13. The Insecurity of the Digital Signature Algorithm with Partially Known Nonces.
  14. ECDSA - Application and Implementation Failures.
  15. Elliptic Curve Cryptography in Practice.
  16. Security Arguments for Digital Signatures and Blind Signatures.
  17. The Digital Signature Algorithm Validation System.
  18. Generating strong primes.
  19. Random Number Generation.

Standartlar va patentlar

[tahrir | manbasini tahrirlash]
  • FIPS. PUB 186-1 (angl.).
  • FIPS. PUB 186-2 (angl.).
  • FIPS. PUB 186-3 (angl.).
  • FIPS. PUB 186-4 (angl.).
  • FIPS. PUB 180-4 (angl.). Arxivirovano 26 noyabrya 2016 goda.
  • FIPS. PUB 202 (angl.).
  • FIPS. PUB 202 (angl.).
  • David W. Kravitz. Digital signature algorithm 5231668 A (angl.).
  • NIST Special Publication 800-57 Part 1Revision 4. Recommendation for Key Management (angl.).
  • GOST R 34.10-2012. Informatsionnie texnologii. Kriptograficheskaya zaщita informatsii. Protsessi formirovaniya i proverki elektronnoy sifrovoy podpisi (rus.).
  • The Digital Signature Algorithm Validation System (angl.).
  • Marc Stevens, Pierre Karpman, Thomas Peyrin. Freestart collision for full SHA-1 (angl.).
  • NIST Special Publication 800-90A Recommendation for Random Number Generation Using Deterministic Random Bit Generators (angl.).
  • J. Shawe-Taylor. Generating strong primes (angl.).
  • Xiaoyun Wang, Yiqun Lisa, Hongbo Yu. Finding Collisions in the Full SHA-1 (angl.).
  • Phong Q. Nguyen, Igor E. Shparlinski. The Insecurity of the Digital Signature Algorithm with Partially Known Nonces (angl.).
  • David Pointcheval, Jacques Stern. Security Arguments for Digital Signatures and Blind Signatures (angl.).
  • Markus Schmid. ECDSA – Application and Implementation Failures (angl.).
  • Don Johnson, Alfred Menezes, Scott Vanstone. The Elliptic Curve Digital Signature Algorithm (ECDSA) 
  • Joppe W. Bos, J. Alex Halderman, Nadia Heninger, Jonathan Moore, Michael Naehrig, Eric Wustrow. Elliptic Curve Cryptography in Practice (angl.).