Vietebooks Nguyn Hong Cng Trang 25 có thể thấy ma trận hệ thống số của phơng trình có hạng là 3( hạng của một ma trận là số cực đậi của các hàng độc lập tuyến tính mà nó có). Rõ ràng, hạng ít nhất bằng 3 vì các hàng 1, 2 và 4 là độc lập tuyến tính trên Z p . còn hạng nhiều nhất cũng bằng 3 vì: r 1 +x r 2 -r 3 -a 0 r 4 = (0,0,0,0). Với r 1 chỉ hàng thứ i của ma trận. Hệ phơng trình này có ít nhâts một nghiệm nhận đợc bằng cách dùng khoá K.Vì hàng của ma trận hệ số bằng 3 nên suy ra rằng chiều của không gian nghiệm là 4-3=1 và có chính xác q nghiệm. Tơng tự nh vậy ta có thể chứng minh đợc kết qủa sau: Bổ đề 6.6 Giả sử K là khoá y=sig K (x) còn ver K (x,y)=true, trong đó x # x. Khi đó tồn tại ít nhất một khoá K tơng đơng với K sao cho y=sig K (x) và y= sig K (x ) Ta hãy làm sáng tỏ hai bổ đề trên về độ mật của sơ đồ. Khi cho trớc y là chữ kí hợp lệ của x, sẽ tồn tại q khoá có thể để x sẽ đợc kí bằng y. Song với bức điện bất kì x x, q khoá này sẽ tạo ra q khoá khác nhau trên x . Điều đó dẫn đến định lí sau đây: Định lí 6.7: Nếu cho trớc sig K (x)=y và x x. Oscar có thể tính sig K (x ) với xác suất là 1/q. Chú ý rằng, định lí này không phụ thuộc vào khả năng tính toán của Oscar: Mức an toàn qui định đạt đợc vì Oscar không thể nói về q khoá có thể mà Bob đang dùng. Nh vậy độ an toàn ở đây là vô điều kiện. Tiếp tục xem xét về khái niệm Fail- Stop. Khi cho trớc chữ ký y trên bức điện x. Oscar không thể tính ra đợc chữ ký y của Bob trên bức điện x khác. Điều này cũng có thể hiểu rằng, Oscar có thể tính đợc chữ ký giả mạo Vietebooks Nguyn Hong Cng Trang 26 y = sig K (x )(sẽ đợc chứng minh ). Tuy nhiên, nếu đa cho Bob một chữ ký giả mạo hợp lệ, thì anh ta có thể tạo ra một bằng chứng về sự giả mạo với xác suất 1-1/q. Bằng chứng về sự giả mạo là giá trị a 0 =log (chỉ ngời có thẩm quyền trung tâm biết ). Giả sử Bob sở hữu cặp (x ,y ) sao cho ver(x ,y )= true và y sig K (x ). Nghĩa là: 1 2 x y 1 y 2 (mod p) trong đó :y =(y 1, y 2 ). Bây giờ Bob có thể tính chữ ký của mình trên x là y = (y 1, y 2 ). Khi đó : 1 2 x y 1 y 2 (mod p) vì thế y 1 y 2 y 1 y 2 (mod p) Nếu viết = a 0 mod p, ta có : y 1 + a 0 y 2 y 1 + a 0 y 2 (mod p) hay: y+a 0 y 2 y 1 +a 0 y (mod q) hoặc: y 1 - y 1 a 0 (y 2 -y 2 )(mod q) Xét thấy y 1 y 2 (mod q) vì y là giả mạo. Vì thế (y 2 -y 2 ) -1 mod q tồn tại và a 0 =log = (y 1 -y 1 ) (y 2 -y 2 ) -1 mod q Dĩ nhiên, bằng việc chấp nhận bằng chứng về sự giả mạo nh vậy,ta giả thiết Bob không thểt ự tính đợc logarithm rời rạc log . Đây là gải thiết về mặt tính toán. Cuối cùng, chú ý rằng,sơ đồ chữ kí là một lần vì khóa k của Bob có thể tính dễ dàng nếu hai bức điện đều dùng K để ký. Dới đây là ví dụ minh hoạ cách Bob tạo một bằng chứng về sự giả mạo. Vietebooks Nguyn Hong Cng Trang 27 Vi dụ 6.7 Cho p=4367=2.1733+1. Phần tử =4 có bậc là 1733 trong Z 3467 * Giả sử a o =1567, ta có: = 4 1567 mod 346=514 (Bob biết và song không biết a 0 ). Giả sử Bob tập khoá bằng cách dùng a 1 = 888, a 2 = 1042, b 1 = 786, b 2 = 999. Khi đó 1 =4 888 514 1024 mod 3476=3405 và 2 =4 786 514 999 mod 3476=2281 Tiếp theo, giả sử Bob nhận đợc chữ kí giả mạo (822,55) trênê bức điện 3383. Đây là chữ ký hơp lệ vì thoả mãn điều kiện xác minh. 3405 ì 2281 3384 2282 (mod 3476) và 4 822 514 55 2282(mod 3476) Mặt khác đây không phải là chữ kí đã đợc Bob xây dựng. Bob có thể tíng chữ kí của mình nh sau: (888+3383 ì786 mod 1733.1024+3383ì999 mod 1733 )=(1504.1291) Sau đó anh ta tính tiếp log rời rạc bí mật a 0 =(822-1504)(1291-55) -1 mod 1733 =1567. Đây là bằng chứng về sự giả mạo. 6.7 các chú giải về ti liệu dẫn Mitchell, Piper và Wild [MPW 92] đã đa ra một tổng quan đầy đủ về các sơ đồ chữ kí. Bài này cũng có hai phơng pháp giả mạo chữ kí của Elgamal mà ta đã đa ra trong 6.2. Sơ đồ chữ kí Elgamal đã đợc nêu trong [EL 85], tiêu chuẩn chữ kí số đợc công bố đầu tiên vào 8/1991 bởi NIST và đợc chấp nhận làm tiêu chuẩn vào 12/94 [NBS 94]. Một cuộc thoả luận dài về DSS và những cuộc tranh cãi xung quanh nó vào 7/1992 đợc đăng trên Communication of the ACM. Sơ đồ Lamport đợc mô tả trong bài báo của Diffie_Hellman [DH 76] năm 1976. Bản cải tiến củaBob và Chaum đợc nêu trong [BC 93]. Sơ đồ chữ Vietebooks Nguyn Hong Cng Trang 28 kí không chối nêu trong mục 6.5 do Chaum và Van Antwerpen đa ra trong [CVA 90]. Sơ đồ chữ kí Fail-Stop trong mục 6.6 là của Van Heyst và Pederson [VHP 93]. Một số ví dụ về các sơ đồ chữ kí phá đợc gồm các sơ đồ của ông Schorss- Sshamir[OSS 85](cũng bị phá bởi Estes EAKMM 86) và sơ đồ hoán vị Birational của Shamir [SH94] (bị Coppessnuth, Steru và Vandeney CSV 94). Cuối cùng ESIGN là sơ đồ chữ kí của Fujioka.Okamoto và Meyaguchi [FOM 91]. Một số phiên bản của sơ đồ này đã bị phá. Song một sửa đổi trong [FOM 91] lại không bị phá. bài tập 6.1. Giả thiết Bob đang dùng sơ dồ Elgamal, anh ta kí hai bức điện x 1 và x 2 bằng chữ kí ( , 1 ) và (, 2 ) tơng ứng (giá trị này của giống nhau trong cả hai chữ kí ). Cũng giả sử UCLN ( 1 - 2 ,p-1)=1. a) Hãy cho biết cách tính k hiệu quả khi biết thông tin này b) Hãy mô tả cách sơ đồ chữ kí có thể bị phá. c) Giả sử p=31847, =5, và =25703. Tính k và a khi cho trớc chữ kí (2397 2,31396 ) vói bức điện x=8990 và chữ kí (23972, 20481 trên bứ c điện x=31415) 6.2. Giả sử I thực hiên sơ đò Elgamal với p=31847, =5,và =26379. Hãy viết phơng trìng thực hiện công việc sau: a) Xác minh chữ kí (20679,11082 ) trên bức điện x=20543 b) Xác định số mũ mật a bằng cách dùng thuật toán tối u hoá thời gian - bộ nhớ của Shark, sau dó xác định giá trị k ngẫu nhiên dùng trong việc kí lên bức điện x. 6.3. Giả sử Bob dùng sơ đố chữ kí Elgamal nh trong ví dụ 6.1:p=467, =2 =132.Giả sử Bob kí lên bức điện x=100 bằng chữ kí (29,51).Hãy tính chữ kí giả mạo mà Oscar có thể lập bằng cách dùng h=100,i=45 và j =293.Hãy kiểm tra xem chữ ký vừa nhận đợc có thoả mãn điều kiện xác minh không. 6.4. Chứng minh rằng phơng pháp giả mạo thứ hai trên sơ đồ Elgamal (mô tả trong mục 6.2) cũng tạo ra chữ kí thoả mãn điều kiện xác minh. Vietebooks Nguyn Hong Cng Trang 29 6.5. Sau đây là phơng án của sơ đồ Elgamal :Khoá đợc xây dựng tơng tự theo mghĩa nh trớc đây:Bob chọn Z p * là phần tử nguyên thuỷ. a là số mũ mật (0 a p-2) sao cho UCLN (a,p-1) =1 và a mod p. Khoá K = (, a, ), ở đây và công khai còn a mật. Cho x Z p là bức điện đợc kí. Bob tính chữ kí sig (x)=( , ), trong đó: = k mod p còn =(x-k ) a -1 mod (p-1). Sự khác nhau duy nhất so với sơ đồ Elgamal ban đầu là ở cách tính . Hãy trả lời các câu hỏi sau liên quan đến sơ đồ cải tiến này: a) Mô tả cách xác minh một chữ kí ( , ) trên bức điện x bằng cách dùng công khai khoá của Bob. b) Mô tả u điểm về mặt tính toán của sơ đồ cải tiến. c) So sánh tóm tắt độ an toàn của sơ đồ cải tiến và sơ đồ ban đầu. 6.6. Giả sử Bob dùng DSS với q = 101, p = 7879, = 170, a = 75 còn = 4567 nh trong ví dụ 6.3. Xác định chữ kí của Bob trên bức điện x=5011, bằng cách dùng giá trị ngẫu nhiên k =49 và chỉ ra cách xác minh chữ kí nhận đợc. 6.7. Trong sơ đồ Lamport,giả sử rằng hai bức điện x và x bội k (k-tuple) đều do Bob kí. Cho l = d(x,x ) là toạ độ trên đó x và x khác nhau. Hãy chỉ ra cách Oscar có thể kí 2 l -2 bức điện mới. 6.8. Trong sơ đồ Bob-Chaum với k = 6, n = 4, giả sử rằng các bức điện x = (0, 1,0,0,1,1) và x = (1,1,0,1,1) đều đợc kí. Xác định bức điện mới đợc Oscar kí khi biết chữ kí trên x và x . 6.9. Trong sơ đồ Bob- Chaum, giả sử rằng hia bức điện x và x là các bội k đều do Bob kí Cho l = (x)(x ). Hãy chỉ ra cách Oscar có thể kí -2 bức điện mới. 6.10. Giă sử Bob đang dùng chữ kí không chối đợc của Chaum Van Antwerpen nh trong ví dụ 6.5. Nghĩa là p = 467, = 4, a = 101, = 449. Giả sử Bob đợc trình chữ kí y = 25 trên bức điện x =157 và anh ta muốn chứng minh rằng nó giả mạo. Giả sử số ngẫu nhiên của Alice là e 1 = 46, e 2 = 123, f 1 =198, f 2 =11 trong thủ tục từ chối. Hãy tính các yêu cầu c, d, của Alice và các câu trả lời C, D của Bob; chỉ ra rằng phép kiểm tra tính phù hợp của Alice sẽ thành công. n l Vietebooks Nguyn Hong Cng Trang 30 6.11. Chứng minh rằng, mỗi lớp tơng đơng các khoá trong sơ đồ chữ kí Fail-Stop của Pedersen-Van Hyt chứa q 2 khoá. 6.12. Giả sử Bob đang dùng sơ đồ chữ kí Fail-Stop của Pedersen-Van Heyst với p = 3467, =4, a 0 =1567 và =514 (dĩ nhiên Bob không biết giá trị a 0 ). a) Dùng yếu tố a 0 =1567, xác định tất cả các khoá có thể : K = ( 1, 2 , a 1 , a 2, b 1 , b 2 ) sao cho sig K (42) =(1118,1449) b) Gái sử sig K (42) =(1118,1449) và sig K (969) =(899,471). Không cần dùng điều kịên a 0 =1567. Hãy xác định K (điều này sẽ chứng tỏ sơ đồ là dùng một lần). 6.13. Gải sử Bob dùng sơ đồ Fail-Stop của Pedersen-Van Heyst vơi p =5087, =25, =1866. Giả sử K =(5065, 5067,144,874,1873,2345) và Bob tìm chữ kí (2219,458) đợc giả mạo trên bức điện 4785 a) Chứng minh rằng, chữ kí giả mạo này thoả mãn điều kiện xác minh nên nó là chữ kí hợp lệ. b) Chỉ ra cách Bob tính bằng chứng giả mạo a 0 khi cho trớc chữ kí giả mạo này. chơng 7 các hm hash 7.1 các chũ kí v hm hash. Bạn đọc có thể thấy rằng các sơ dồ chữ kí trong chơng 6 chỉ cho phép kí các bức điện nhỏ.Ví dụ, khi dùng DSS, bức điện 160 bit sẽ đợc kí bằng chữ kí dài 320 bít. Trên thực tế ta cần các bức điện dài hơn nhiều. Chẳng hạn, một tài liệu về pháp luật có thể dài nhiều Megabyte. Một cách đơn giản để gải bài toán này là chặt các bức điện dài thành nhiều đoạn 160 bit, sau đó kí lên các đoạn đó độc lập nhau. Điều này cũng . ra một tổng quan đầy đủ về các sơ đồ chữ kí. Bài này cũng có hai phơng pháp giả mạo chữ kí của Elgamal mà ta đã đa ra trong 6.2. Sơ đồ chữ kí Elgamal đã đợc nêu trong [EL 85] , tiêu chuẩn chữ. mục 6 .5 do Chaum và Van Antwerpen đa ra trong [CVA 90]. Sơ đồ chữ kí Fail-Stop trong mục 6.6 là của Van Heyst và Pederson [VHP 93]. Một số ví dụ về các sơ đồ chữ kí phá đợc gồm các sơ đồ của. cách sơ đồ chữ kí có thể bị phá. c) Giả sử p=31847, =5, và = 257 03. Tính k và a khi cho trớc chữ kí (2397 2,31396 ) vói bức điện x=8990 và chữ kí (23972, 20481 trên bứ c điện x=314 15)