디지털서명위조

암호화된 디지털 서명 또는 MAC 시스템에서 디지털 서명 위조는 $m{\displaystyle }$ ${\$$displaystyle m}$와 ( {\displaystyle $\sigma$ $\},$ pair ${\$$displaystyle m$에 유효하지만 합법적인 $서명자$에 의해 과거에 생성되지 않은 메시지(m {\displaystyle m})로 구성된 쌍을 생성할 수 있는 기능이다. 위조의 종류는 다양하다.^[1]

이러한 각 유형에는 보안 정의가 연관될 수 있다. 서명 체계는 관련 유형의 위조가 불가능할 경우 특정 정의에 의해 보안된다.

종류들

다음과 같은 정의는 가장 낮은 보안에서 가장 높은 보안, 즉 가장 강력한 공격에서 가장 약한 공격에 이르기까지 정렬되어 있다. 정의는 계층을 형성하는데, 이는 공격자가 특정 공격을 할 수 있다는 것을 의미한다. 즉, 모든 공격을 목록 아래로 더 아래로 실행할 수 있다. 마찬가지로, 특정 보안 목표에 도달하는 계획은 이전의 모든 계획에도 도달한다.

토털 브레이크

다음과 같은 공격보다 더 일반적인 공격도 있다: 적이 서명자가 사용하는 개인 정보와 키를 복구할 수 있을 때, 그들은 어떤 메시지에도 가능한 서명을 만들 수 있다.^[2]

범용 위조(범용 문서화, UUF)

유효한 서명의 어떤 주어진 메시지, 나{m\displaystyle}을 위한 보편적 위조의 생성(적에 의해), σ{\displaystyle \sigma},. 적. 보편적인 위조할 수 있는 그는(선택의 문서 위조를로)스스로 골랐다 메시지, 메시지를 무작위로 선택하거나 심지어 특정한 메시지를 상대가 제공되는 등록할 수 없다.[1]

선택적 위조(선택적 용서 불가, SUF)

어디 m{m\displaystyle}공격하는 사람이 전에 공격에 의해 선정되었다 상대가 message/signature 쌍(m, σ){\displaystyle(m,\sigma)}의 선택적 위조의 생성.[3][4]m{m\displaystyle}서명 알고리즘에 관한 흥미로운 수학적 특성을 가지고 있지만,에서 선택할 수 있다. 선택적 위조, $m{\displaystyle }$ ${\displaystyle m}$은(는) 공격 시작 전에 고쳐야 한다$$.

선별적 위변조 공격을 성공적으로 수행할 수 있는 능력은 실존적 위변조 공격을 성공적으로 수행할 수 있는 능력을 내포하고 있다.

실존적 위작

실존적 위변조(존재 용서 불가, EUF)는 적어도 하나의 메시지/서명 쌍$({\displaystyle m}$, ${\displaystyle \sigma }$) ${\displaystyle (m,\sigma )}$의 생성(상대자)이며$,$ 여기서 $m{\displaystyle }$ ${\displaystym m}$은 합법적 서명자에 의해 서명된 적이$$ 없다. 상대방은 $m{\displaystyle }$ ${\displaystyle m}$을(를) 자유롭게$$ 선택할 수 $,$ m {\$displaystyle$ m$}$은(는) 특별한 의미를 가질 필요가$$ 없으며, 메시지 내용은 무관하며, 쌍$({\displaystyle m}$ ,${\displaystyle \sigma }$) ${\displaystyle(m,\sigma )}$이$($가)만 유효하다면 상대방은 실존적 위조를 구성하는 데 성공했다. 따라서 실존적 위조를 만드는 것은 선택적 위작보다 쉬운데, 공격자는 쉽게 위조를 만들 수 있는$$ 메시지 $[\디스플레이$ 스타일 $m}$을 선택할 수 있는 반면, 선택적 위조의 경우 도전자는 "어려운" 메시지의 서명을 요구할 수 있기 때문이다.

실존적 위조의 예

RSA 암호체계는 다음과 같은 곱셈 속성을 가지고 있다$:$$$( m ${\displaystyle {1\mathrm{}}_{}{}_{}{}_{}}$ ${\displaystyle \cdot }$ ⋅ ${\displaystyle {\sigma \mathrm{}}_{}}$=${\displaystyle }$= =${\displaystyle }$=${\displaystyle {}_{}}$\ 2 ${\displaystyle {}_{}}$ 2 ${\displaystyle {2\mathrm{}}_{}}$ ) $displaystyle \sigma (m_{2})=\sigma (m_{1}\cdot m_{2}}}}}.$

This property can be exploited by creating a message ${\displaystyle m'=m_{1}\cdot m_{2}}$ with a signature ${\displaystyle \sigma \left(m'\right)=\sigma (m_{1}\cdot m_{2})=\sigma (m_{1})\cdot \sigma (m_{2})}$.^[5]

이 공격에 대한 일반적인 방어는 서명하기 전에 메시지를 해시하는 것이다.^[5]

약한 실존적 위조(강한 실존적 용서 불가, 강한 용서 불가, sEUF, 또는 SUF)

이 개념은 위에서 상세히 기술한 실존적 위조의 더 강한(더 안전한) 변종이다. 약한 실존적 위조는 합법적 서명자가 생산한$$ 메시지와 다른 서명$m$$$${\displaystyle \sigma }$,$$$σ$\, \, \,$\,$\, \, \, \, \,$$\,$$\)이 주어진 $적어도$ 하나의 $메시지$/서명 쌍$($에 의한)의 생성이다$.$

강한 실존적 위조는 본질적으로 가장 약한 적대적 목표인 만큼 가장 강력한 계획은 실존적으로 용서할 수 없는 것이다.

참조