Phát triển lược đồ chữ ký số mù dựa trên bài toán logarit rời rạc - Nguyễn Tiền Giang

Công nghệ thông tin N. T. Giang, L. H. Dũng, “Phát triển lược đồ chữ ký số mù dựa trên bài toán logarit rời rạc.” 46 PHÁT TRIỂN LƯỢC ĐỒ CHỮ KÝ SỐ MÙ DỰA TRÊN BÀI TOÁN LOGARIT RỜI RẠC Nguyễn Tiền Giang1, Lưu Hồng Dũng2* Tóm tắt: Bài báo đề xuất lược đồ chữ ký số mù phát triển từ một lược đồ chữ ký được xây dựng dựa trên tính khó của bài toán logarit rời rạc. Ưu điểm của lược đồ mới đề xuất ở đây là có mức độ an toàn cao hơn so với các lược đồ đã được công bố trước đó xét về khả năng chống lại kiểu tấn công làm lộ nguồn gốc bản tin được ký. Từ khóa: Chữ ký số; Chữ ký số mù; Lược đồ chữ ký số; Lược đồ chữ ký số mù. 1. ĐẶT VẤN ĐỀ Khái niệm chữ ký số mù được đề xuất bởi D. Chaum vào năm 1983 [1], đây là một loại chữ k ý số được sử dụng để xác thực tính toàn vẹn của một bản tin điện tử và danh tính của đối tượng k ý, nhưng không cho phép xác thực danh tính của đối tượng tạo ra bản tin được k ý. Với các loại chữ k ý số thông thường thì đối tượng k ý cũng chính là đối tượng tạo ra bản tin được k ý, còn với chữ k ý số mù thì đối tượng k ý và đối tượng tạo ra bản tin được k ý là hoàn toàn khác nhau. Đây là tính chất đặc trưng của chữ k ý số mù và cũng là một tiêu chí quan trọng để đánh giá mức độ an toàn của loại chữ k ý số này. Trong [1-5] các tác giả đã đề xuất một số lược đồ chữ k ý số mù ứng dụng khi cần bảo vệ tính riêng tư của các khách hàng trong các hệ thống thanh toán điện tử hay vấn đề ẩn danh của cử tri trong việc tổ chức bầu cử trực tuyến. Tuy nhiên, điểm yếu chung của các lược đồ trên là không có khả năng chống lại kiểu tấn công làm lộ nguồn gốc của bản tin được k ý, vì thế khả năng ứng dụng của các lược đồ này trong thực tế là rất hạn chế. Nội dung bài báo tập trung phân tích điểm yếu có thể tấn công làm lộ nguồn gốc bản tin được k ý của một số lược đồ chữ k ý số mù đã được công bố, từ đó đề xuất xây dựng một lược đồ mới có độ an toàn cao hơn về khả năng giữ bí mật nguồn gốc của bản tin được k ý có thể đáp ứng các yêu cầu mà thực tế đặt ra. 2. TẤN CÔNG LÀM LỘ NGUỒN GỐC BẢN TIN ĐƯỢC KÝ 2.1. Phương pháp tấn công lược đồ chữ k ý số mù Trong [6] đã chỉ ra phương pháp tấn công làm lộ nguồn gốc bản tin đối với một số lược đồ chữ ký mù được phát triển từ các lược đồ chữ ký RSA, DSA, ... Ở đây, một lần nữa sẽ minh họa cho việc sử dụng phương pháp trong [6] để tấn công lược đồ chữ ký mù Moldovyan. Với các lược đồ khác, việc áp dụng có thể thực hiện hoàn toàn tương tự. 2.1.1. Lược đồ chữ k ý số mù Moldovyan Đây là lược đồ chữ ký số mù được N.A. Modovyvan đề xuất trên cơ sở phát triển từ chuẩn chữ ký số của Belarusian STB 1176.2 – 9 [7]. Các tham số hệ thống bao gồm 2 số nguyên tố p, q thỏa mãn: q|(p-1) và phần tử sinh * pZg  có bậc là q. Người k ý có khóa bí mật qZx và khóa công khai tương ứng là pgy x mod . Nghiên cứu khoa học công nghệ Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san CNTT, 11 - 2018 47 Thủ tục hình thành chữ k ý “mù” bao gồm các bước như sau: 1. Người k ý A chọn ngẫu nhiên một giá trị k thỏa mãn: qk 1 và tính giá trị T theo: pgT k mod , rồi gửi T cho người yêu cầu k ý B. 2. B chọn ngẫu nhiên 2 giá trị τ và ϵ rồi tính các giá trị: pgyTT mod'   , )||'(' MTFe H và qee mod)'(  , ở đây: FH(.) là hàm băm và “||” là toán tử nối 2 xâu bit. Sau đó B gửi e cho A. 3. A tính giá trị: qexks mod)(  rồi gửi cho B. 4. B tính thành phần thứ 2 của chữ ký: qss mod)('  . Chữ k ý của A lên M là cặp )','( se . Thủ tục kiểm tra chữ k ý tương tự như ở lược đồ STB 1176.2 – 9, bao gồm các bước như sau: 1. Kiểm tra nếu: qs  '1 và qe  '0 thì chuyển sang bước 2. Ngược lại, chữ ký )','( se sẽ bị từ chối về tính hợp lệ. 2. Tính giá trị: pygT es mod''  3. Tính giá trị: )||( MTFe H   4. Kiểm tra nếu: 'ee  thì )','( se được công nhận hợp lệ. Ngược lại, )','( se sẽ bị từ chối. 2.1.2. Tấn công làm lộ nguồn gốc bản tin được k ý Để tấn công làm lộ nguồn gốc bản tin được k ý M, người k ý A cần lưu trữ giá trị các tham số {T,e,s} và danh tính của người yêu cầu ký B (IDB) ở mỗi lần k ý. Từ đó, A có thể xác định được danh tính của B bằng Thuật toán 1.1 như sau: Thuật toán 1.1: Input: (M,e’,s’), {(ei, si,Ti, IDBi)| i=0,1,2,N}. Output: IDBi. [1]. i = 0 [2]. select: ),,,( Biiii IDTse [3]. qee i mod)'(  (1.1) [4]. qss i mod)'(  (1.2) [5]. pgyTT i mod   [6]. )||( MTFe H   [7]. if )'( ee  then [7.1]. 1 ii [7.2]. goto [2] [8]. return IDBi Công nghệ thông tin N. T. Giang, L. H. Dũng, “Phát triển lược đồ chữ ký số mù dựa trên bài toán logarit rời rạc.” 48 Nhận xét: Lược đồ chữ k ý mù Moldovyan sử dụng 2 giá trị τ và ϵ để tạo ra sự khác biệt giữa các tham số e và e’ cũng như giữa s và s’. Tuy nhiên, việc tính toán 2 giá trị này như đã chỉ ra trong (1.1) và (1.2) là rất đơn giản, nên Thuật toán 1.1 đã cho thấy việc xác định nguồn gốc bản tin là hoàn toàn có thể thực hiện được bởi người ký A. Như vậy, tương tự các lược đồ ký mù RSA, DSA, Nyberg-Rueppal trong [6], lược đồ chữ k ý mù Moldovyan cũng là một lược đồ không an toàn trước kiểu tấn công làm lộ nguồn gốc bản tin được ký. 3. XÂY DỰNG LƯỢC ĐỒ CHỮ KÝ SỐ MÙ CÓ KHẢ NĂNG CHỐNG TẤN CÔNG LÀM LỘ NGUỒN GỐC BẢN TIN Các thuật toán tấn công làm lộ nguồn gốc bản tin được ký trong [6] và Thuật toán 1.1 ở mục 2.1.2 cho thấy các lược đồ chữ ký với việc làm “mù” bản tin bằng một tham số bí mật như ở lược đồ chữ k ý số RSA, hay với 2 tham số như ở các lược đồ DSA, Nyberg – Rueppal và Moldovyan,... thì người k ý vẫn có thể tìm được nguồn gốc thực sự của bản tin được ký (danh tính của người yêu cầu k ý). Mục này đề xuất việc phát triển lược đồ chữ k ý mù từ một lược đồ chữ k ý cơ sở được xây dựng trên bài toán logarit rời rạc – DLP (Discrete Logarithm Problem) [8]. Ưu điểm của lược đồ mới đề xuất là cũng chỉ sử dụng 2 tham số bí mật như ở các lược đồ chữ ký mù DSA, Nyberg-Rueppal hay Moldovyan,... nhưng có thể chống được phương pháp tấn công làm lộ nguồn gốc bản tin được ký. 3.1. Xây dựng lược đồ chữ k ý cơ sở 3.1.1. Lược đồ chữ ký cơ sở Lược đồ chữ ký cơ sở ở đây được xây dựng dựa trên tính khó của bài toán logarit rời rạc và được sử dụng làm cơ sở để phát triển lược đồ chữ ký mù ở phần tiếp theo. Bài toán logarit rời rạc – DLP(g,p) có thể được phát biểu như sau: Cho p là số nguyên tố, g là phần tử sinh của nhóm ℤp *. Với mỗi số nguyên dương y ℤp *, hãy tìm x thỏa mãn phương trình: ypg x mod Ở đây, bài toán logarit rời rạc được sử dụng với vai trò hàm một chiều trong việc hình thành khóa của các thực thể trong cùng hệ thống với bộ tham số {p,g} dùng chung. Dễ thấy rằng, nếu x là tham số (khóa) bí mật thì việc tính tham số (khóa) công khai y từ x và các tham số hệ thống {p,g} là một việc hoàn toàn dễ dàng. Nhưng điều ngược lại thì rất khó thực hiện, nghĩa là từ y và {p,g} thì việc tính được tham số bí mật x là không khả thi trong các ứng dụng thực tế. Cần chú ý rằng, theo [9] và [10] để bài toán logarit rời rạc là khó thì p phải được chọn đủ lớn với: |p| ≥512 bit và (p±1) cũng phải có ước là 1 số nguyên tố lớn. Ở lược đồ cơ sở, khóa bí mật x của người k ý được chọn ngẫu nhiên trong khoảng ),1( p và khóa công khai tương ứng y được hình thành từ x theo: Nghiên cứu khoa học công nghệ Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san CNTT, 11 - 2018 49 pgy x mod (2.1) Ở đây p là số nguyên tố được chọn sao cho việc giải bài toán DLP(g,p) (y) là khó, g là phần tử sinh của nhóm ℤp * có bậc là q, với q|(p-1). Lược đồ chữ ký cơ sở ở đây bao gồm các thuật toán hình thành tham số và khóa, thuật toán hình thành và kiểm tra chữ k ý như sau: a) Thuật toán hình thành tham số và khóa Thuật toán 2.1: Input: p, q|(p-1), x – khóa bí mật của A. Output: g, y, H(.). [1]. phg qp mod/)1(  , ph 1 [2]. select   ptqZH t   ,1,0:  [3]. select: qx 1 [4]. pgy x mod (2.2) [5]. return {g,y,H(.)} b) Thuật toán k ý Thuật toán 2.2: Input: p, q, g, x, k, M – bản tin cần ký. Output: (e,s) – chữ ký của A lên M. [1]. pgr k mod (2.3) [2].   qMrHe mod|| (2.4) [3]. qekxs mod)(1   (2.5) [4]. return (e,s) c) Thuật toán kiểm tra Thuật toán 2.3: Input: p, q, g, y, M, (e,s). Output: (e,s) = true / false . [1]. pygu se mod  (2.6) [2].   qMuHv mod|| (2.7) [3]. if ( ev  ) then {return true } else {return false } 3.1.2 Tính đúng đắn của lược đồ cơ sở Điều cần chứng minh ở đây là: cho p, q là 2 số nguyên tố thỏa mãn điều kiện )1(| pq , phg qp mod/)1(  với: ph 1 ,   tZH   1,0: với: ptq  , qkx  ,1 , pgy x mod , pgr k mod , qMrHe mod)||( , qekxs mod)(1   . Nếu: pygu se mod  và   qMrHv mod|| thì: ev  . Công nghệ thông tin N. T. Giang, L. H. Dũng, “Phát triển lược đồ chữ ký số mù dựa trên bài toán logarit rời rạc.” 50 Thật vậy, từ (2.2), (2.4), (2.5) và (2.6) ta có: pgpg pggpygu kexs sxese modmod modmod . .     (2.8) Từ (2.3) và (2.8), suy ra: ru  (2.9) Thay (2.9) vào (2.7) ta được:   qMrHqMuHv mod)||(mod||  (2.10) Từ (2.4) và (2.10), suy ra điều cần chứng minh: ev  3.1.3. Mức độ an toàn của lược đồ cơ sở Mức độ an toàn của một lược đồ chữ ký số nói chung được đánh giá qua các khả năng: - Chống tấn công làm lộ khóa mật. - Chống tấn công giả mạo chữ ký. Về khả năng chống tấn công làm lộ khóa mât: Từ (2.2) cho thấy mức độ an toàn của lược đồ cơ sở phụ thuộc vào mức độ khó giải của bài toán logarit rời rạc tương tự như với các lược đồ chữ ký DSA trong chuẩn chữ ký DSS [9] của Hoa kỳ hay chuẩn chữ ký GOST R34.10-94 [10] của Liên bang Nga, Về khả năng chống tấn công giả mạo chữ ký: Từ (2.4), (2.6) và (2.7) của lược đồ cơ sở cho thấy, một cặp (e,s) bất kỳ (không được tạo ra bởi Thuật toán ký 2.2 của lược đồ và từ khóa bí mật x của người ký) nhưng vẫn sẽ được công nhận là chữ ký hợp lệ của đối tượng sở hữu khóa công khai y lên bản tin M nếu thỏa mãn điều kiện: qMpygHe se mod)||)mod((   (2.11) Như vậy, mức độ an toàn xét theo khả năng chống tấn công giả mạo chữ ký của lược đồ cơ sở phụ thuộc vào độ khó của việc giải (2.11). Để giải (2.11), giả sử chọn trước M và e rồi tìm s. Khi đó, việc giải (2.11) sẽ trở thành tìm s từ: qMpyHN s mod)||mod( (2.12) ở đây: N là hằng số. Rõ ràng việc giải (2.12) là khó hơn (2.1) nếu các tham số p, q và kích thước đầu ra hàm băm H(.) được chọn đủ lớn. Ngoài ra, cũng có thể chọn trước M và s rồi tìm e, khi đó việc giải (2.11) sẽ trở thành: qMpNgHe e mod)||mod(  (2.13) trong đó: e là ẩn số cần tìm và N là hằng số. Dễ thấy rằng việc giải (2.13) còn khó hơn giải (2.12). Như vậy, nếu không có một giải thuật hiệu quả cho (2.11) thì việc giải (2.12) và (2.13) để tìm được 1 cặp (e,s) thỏa mãn điều kiện kiểm tra của lược đồ cơ sở là khó hơn việc giải bài toán logarit rời rạc DLP(g,p). 3.2. Xây dựng lược đồ chữ k ý số mù Lược đồ chữ k ý mù ở đây được phát triển từ lược đồ cơ sở ở mục 2.1. Giả sử A là người người k ý và B là người tạo ra bản tin M được k ý, các tham số hệ thống và khóa của A, B được hình thành theo Thuật toán 2.1 của lược đồ cơ sở. Khi đó, thuật toán ký và kiểm tra chữ ký của lược đồ được chỉ ra như sau: Nghiên cứu khoa học công nghệ Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san CNTT, 11 - 2018 51 3.2.1. Thuật toán k ý Thuật toán 3.1: Input: p, q, g, x, y, α, β, k , M. Output: (e,s). [1]. pgr ka mod (3.1) [2].   pygrr ab mod .  (3.2) [3]. qMrHe b mod)||( (3.3) [4]. qeeb mod)( 1    (3.4) [5].   qekxs ba mod 1   (3.5) [6].   qss a mod  (3.6) [7]. return (e,s) Chú thích: - Các bước [1], [5] do người ký A thực hiện. - Các bước [2], [3], [4], [6] và [7] do người có bản tin cần k ý B thực hiện. - Tham số k do A lựa chọn thỏa mãn: 1< k < q. - Tham số α, β do B lựa chọn thỏa mãn: 1 < α, β < q. - {x,y} là cặp khóa bí mật/công khai của A. 3.2.2. Thuật toán kiểm tra Thuật toán 3.2: Input: p, q, g, y, M, (e,s). Output: (e,s) = true / false . [1]. pygu se mod  (3.7) [2].   qMuHv mod|| (3.8) [3]. if ( ev  ) then {return true } else {return false } Chú thích: - Nếu kết quả trả về true thì tính hợp lệ của chữ ký (e,s) được công nhận, do đó tính toàn vẹn của bản tin cần thẩm tra M và danh tính của người ký (A) được khẳng định. - Nếu kết quả trả về là false thì chữ ký (e,s) là giả mạo, hoặc nội dung bản tin M đã bị sửa đổi. 3.2.3. Tính đúng đắn của lược đồ mới đề xuất Điều cần chứng minh ở đây là: cho p, q là 2 số nguyên tố thỏa mãn điều kiện )1(| pq , phg qp mod/)1(  với: ph 1 ,   tZH   1,0: với: ptq  , qkx  ,1 , q  ,1 , pgy x mod , pgr ka mod ,   pygrr ab mod .  , Công nghệ thông tin N. T. Giang, L. H. Dũng, “Phát triển lược đồ chữ ký số mù dựa trên bài toán logarit rời rạc.” 52 qMrHe b mod)||( ,   qeeb mod 1    ,   qekxs ba mod 1   ,   qss a mod  . Nếu: pygu se mod  và   qMuHv mod|| thì: ev  . Thật vậy, từ (3.4), (3.5), (3.6) và (3.7) ta có:    pgg pggpygu bb ab ekxxe sxese mod modmod .... ).(.. 1                pggg pggggg pgggg kx ekxe ekxxxe bb bb mod mod mod . ... ).(..... 1          (3.9) Từ (2.2), (3.1) và (3.9) ta có:       pygr pgggu a kx mod mod . .     (3.10) Từ (3.2) và (3.10), suy ra: bru  (3.11) Thay (3.11) vào (3.8) ta có:   qMrHqMuHv b mod)||(mod||  (3.12) Từ (3.2) và (3.12), suy ra: ev  . Đây là điều cần chứng minh. 3.2.4. Khả năng chống tấn công làm lộ nguồn gốc bản tin được ký Khả năng chống tấn công làm lộ khóa mật và chống giả mạo chữ ký của lược đồ mới đề xuất có thể phân tích tương tự như với lược đồ cơ sở ở mục 3.1.3. Từ thuật toán ký (Thuật toán 3.1) của lược đồ cho thấy nếu tính được các tham số (α,β) và giá trị của các tham số {sa,ra,eb} được lưu trữ ở mỗi lần ký cùng với định danh của những người yêu cầu k ý: IDB = {IDBi)| i=0,1,2,N}, thì người k ý A hoàn toàn có thể xác định được mối quan hệ giữa {M,(e,s)} với IDBi, nghĩa là có thể xác định được nguồn gốc bản tin bằng một trong các thuật toán sau: Thuật toán 3.3 Input: {(rai,IDBi)| i=0,1,2,N}, M, (e,s), α, β. Output: IDBi. [1]. i = 0 [2]. select: ),( Biai IDr [3].   pygrr aibi mod* .  [4]. qMrHe bi mod)||*(  [5]. if ee  then [5.1]. 1 ii ; [5.2]. goto [2]; [6]. return IDBi Hoặc: Nghiên cứu khoa học công nghệ Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san CNTT, 11 - 2018 53 Thuật toán 3.4 Input: {(ebi,IDBi)| i=0,1,2,N}, M, (e,s), α, β. Output: IDBi. [1]. i = 0 [2]. select: ),( Bibi IDe [3]. qeebi mod)( 1    [4]. if bibi ee   then [4.1]. 1 ii ; [4.2]. goto [2]; [5]. return IDBi Từ thuật toán ký (Thuật toán 3.1) của lược đồ cho thấy, chỉ có thể thiết lập mối quan hệ giữa mỗi (sai,ebi) thuộc: {(sai,ebi)| i=0,1,2,N} với một {M,(e,s)} thông qua một cặp (α,β) nhờ (3.4) và (3.6) như sau:        qss qee ai bi mod mod)(1   (3.13) Tuy nhiên, giải (3.13) sẽ không chắc chắn nhận được cặp (α,β) mong muốn. Bởi vì với mỗi (sai,ebi) thuộc: {(sai,ebi)| i=0,1,2,N} sẽ luôn tìm được một cặp (α,β) tương ứng. Do đó, việc ứng dụng các thuật toán như trên để tấn công làm lộ nguồn gốc bản tin là không khả thi đối với lược đồ mới đề xuất. 4. KẾT LUẬN Từ việc phân tích điểm yếu của một số lược đồ chữ k ý số mù đã được công bố, bài báo đề xuất lược đồ chữ k ý số mù mới được phát triển từ lược đồ chữ k ý cơ sở xây dựng dựa trên tính khó của bài toán logarit rời rạc, lược đồ mới này có mức độ an toàn cao hơn các lược đồ đã biết về khả năng chống tấn công làm lộ nguồn gốc của bản tin được ký. Đây là một yếu tố quan trọng cho phép lược đồ mới đề xuất có tính khả thi trong các ứng dụng thực tế. TÀI LIỆU THAM KHẢO [1]. D. Chaum, “Blind Signature Systems”, Advances in Cryptology, Crypto’ 83, Plenum Press, pp. 153. [2]. D. Chaum, A. Fiat, M. Naor, “Untraceable Electronic Cash”, Advances in Cryptology,Crypto’ 88, LNCS 403, Springer Verlag, pp. 319-327. [3]. D. Chaum, “Privacy Protected Payment”, SMART CARD 2000, Elsevier Science Publishers B.V., 1989, pp. 69-93. [4]. N. Ferguson, “Single Term Off-line Coins”, Advances in Cryptology, Eurocrypt’93, LNCS 765, Springer Verlag, pp. 318-328. Công nghệ thông tin N. T. Giang, L. H. Dũng, “Phát triển lược đồ chữ ký số mù dựa trên bài toán logarit rời rạc.” 54 [5]. D. Chaum, B. den Boer, E. van Heyst, S. Mjolsnes, A. Steenbeek, “Efficient Offline Electronic Checks”, Advances in Cryptology, Eurocrypt’89, LNCS 434, Springer Verlag, pp. 294-301. [6]. Nguyễn Tiền Giang, Nguyễn Vĩnh Thái, Lưu Hồng Dũng, “Lược đồ chữ ký số mù xây dựng trên bài toán khai căn”, Chuyên san Công nghệ thông tin và Truyền thông (Học viện Kỹ thuật Quân sự) số 5 (10 – 2014), trang 102 - 114 [7]. Nikolay A. Moldovyan, “Blind Collective Signature Protocol”, Computer Science Journal of Moldova, vol.19, no.1(55), 2011. [8]. T. ElGamal, “ A public key cryptosystem and a signature scheme based on discrete logarithms”, IEEE Transactions on Information Theory. 1985, Vol. IT-31, No. 4. pp.469–472. [9]. National Institute of Standards and Technology. NIST FIPS PUB 186- 3(2013). Digital Signature Standard, U.S. Department of Commerce. [10]. GOST R 34.10-94. Russian Federation Standard. Information Technology(1994). Cryptographic data Security. Produce and check procedures of Electronic Digital Signature based on Asymmetric Cryptographic Algorithm. Government Committee of the Russia for Standards (in Russian). 1994. ABSTRACT DEVELOP BLIND DIGITAL SIGNATURE SCHEMA BASED ON DISCRETE LOGARITHM PROBLEM This paper proposes a blind signature schema developed from a digital signature scheme based on the difficulty of the discrete logarithm problem. The new blind signature scheme proposed has higher safety level compared to the schemas which have been published previously about the ability of keeping secret the source of the signed messages. Keywords: Digital Signature; Blind Digital Signature; Digital Signature Schema; Blind Digital Signature Schema. Nhận bài ngày 28tháng 06 năm 2018 Hoàn thiện ngày 28 tháng 09 năm 2018 Chấp nhận đăng ngày 05 tháng 11 năm 2018 Địa chỉ: 1 Cục CNTT, BQP; 2 Khoa CNTT, Học viện KTQS. *Email: luuhongdung@gmail.com.