Gli algoritmi di firma digitale sono soggetti agli stessi tipi di attacco degli algoritmi di crittografia a chiave pubblica?

Question

Gli algoritmi di firma digitale sono soggetti agli stessi tipi di attacco degli algoritmi di crittografia a chiave pubblica?

#1 da (2 voti)
#2 da (1 voti)

1

Comprendo che le firme digitali vengono solitamente implementate crittografando un digest di messaggi con una chiave privata, decifrando la firma risultante con una chiave pubblica e verificando che il digest del messaggio corrisponda al messaggio. Questa sembra essere una normale applicazione di un algoritmo di crittografia asimmetrico piuttosto che un algoritmo diverso, ma c'è qualcosa riguardo allo schema che lo rende vulnerabile a classi di attacco aggiuntive rispetto a quelle che potrebbe subire l'algoritmo di crittografia asimmetrica sottostante?

Ad esempio, l'uso di un algoritmo di digest del messaggio o la presenza del messaggio in chiaro forniscono informazioni aggiuntive che un utente malintenzionato può utilizzare per sconfiggere lo schema?

Per chiarire quello che sto chiedendo: la crittografia a chiave pubblica potrebbe essere sconfitta da attacchi come il testo in chiaro scelto o una svolta nel factoring di grandi numeri. L'utilizzo di un algoritmo di crittografia a chiave pubblica in uno schema di firma digitale abilita altri tipi di attacco?

encryption digital-signature

posta jl6 20.08.2014 - 21:49

fonte

2 risposte

Leggi altre domande sui tag encryption digital-signature

Il cambio dei numeri delle carte di credito offre una maggiore sicurezza nel tempo? SQLMAP non è in grado di caricare il file stager con errore 404

score 2 · Answer 1

Does using a public-key encryption algorithm in a digital signature scheme enable any additional types of attack?

Sì. L'utilizzo di PKE per una firma digitale ha ulteriori attacchi; ad esempio, se stai usando una firma RSA ci sono attacchi di collisione sulla funzione hash dove se puoi costruire due messaggi m e m 'che entrambi hanno lo stesso hash (H (m) = H (m')), se puoi legittimamente indurre qualcuno a firmare il messaggio m, quindi puoi aggiungere quella firma al messaggio m '(anche se non potresti legittimamente convincere qualcuno a firmare il messaggio m').

Ad esempio, nel giorno MD5 è stato utilizzato come hash nei certificati SSL (certificati X.509). Tuttavia, è possibile costruire attentamente collisioni MD5 in molto meno del previsto lavoro 2 ^ 64. Pertanto, un utente malintenzionato doveva semplicemente costruire una collisione tra un certificato valido creato (per esempio un sito Web che controllano) e un'autorità di certificazione intermedia (si noti che non dovrebbero alterare il modulo o l'esponente per costruire la collisione in quanto hanno bisogno della chiave privata) . Quindi, quando è possibile ottenere un'autorità di certificazione attendibile per firmare il certificato valido per il sito Web, è possibile aggiungere tale firma all'autorità di certificazione intermedia contraffatta. Ecco! Ora disponi di un'autorità di certificazione intermedia affidabile e puoi firmare qualsiasi certificato che desideri e ottenere che i browser web si fidino di esso.

Questo attacco è stato eseguito con successo nel 2008 .

score 1 · Answer 2

Penso sia giusto considerare il message digest come una stringa casuale perché è un hash di qualcosa che non si sceglie (la persona che ti ha inviato il messaggio lo sceglie). Quindi hai un testo in chiaro noto a caso (il sommario), ed è una versione crittografata con una chiave privata (la firma).

Si noti che supponendo che la firma sia autentica, avere il testo normale conosciuto è inutile, perché è possibile recuperarlo dalla firma applicando la chiave pubblica.

Ora, a causa delle proprietà di RSA (esponenziazione a campi finiti che è una biiezione), l'applicazione di una chiave privata a una stringa casuale, fornisce un'altra stringa casuale. In effetti, non ci sono più informazioni dall'avere un digest di messaggi, piuttosto che scegliere una stringa casuale e dire "è un digest di messaggi", perché in effetti è il riassunto di qualche messaggio ...

Quindi, in conclusione, non hai nient'altro che una stringa casuale (la firma) e la chiave pubblica. Probabilmente una stringa casuale non serve a indovinare la chiave privata, e quello che hai è la chiave pubblica che hai già.

Quindi no, non ti consente di fare qualcosa di più di quello che avresti potuto fare conoscendo solo la chiave pubblica.