Çatal lemma - Forking lemma

çatallanma lemma herhangi bir ilgili lemmalar içinde kriptografi Araştırma. Lemma, bir düşman ise (tipik olarak bir olasılıklı Turing makinesi ), bazılarından alınan girdilerde dağıtım, bazı özelliklere sahip bir çıktı üretir. ihmal edilemez olasılık, o zaman ihmal edilemez bir olasılıkla, rakip yeni girdilerle ancak aynı şekilde yeniden çalıştırılırsa rastgele bant, ikinci çıktısı da özelliğe sahip olacaktır.

Bu konsept ilk olarak David Pointcheval ve Jacques Stern "İmza düzenleri için güvenlik kanıtları" nda, Eurocrypt 1996.[1][2] Makalelerinde, çatallanma lemması, bir düşmana saldıran bir düşman açısından belirtilmiştir. elektronik imza şema rastgele oracle model. Bir düşman ihmal edilemeyecek bir olasılıkla bir imza taklit edebiliyorsa, aynı rasgele bantla aynı düşmanın farklı bir rastgele oracle ile bir saldırıda ikinci bir sahtekarlık yaratma ihtimalinin göz ardı edilemeyecek kadar yüksek olduğunu gösteriyorlar.[3] Çatallanma lemması daha sonra tarafından genelleştirildi Mihir Bellare ve Gregory Neven.[4] Çatallanma lemması, çeşitli dijital imza şemalarının ve diğer rastgele oracle tabanlı kriptografik yapıların güvenliğini kanıtlamak için kullanılmış ve daha da genelleştirilmiştir.[2] [5] [6]


Lemmanın ifadesi

Lemmanın genelleştirilmiş versiyonu aşağıdaki gibi belirtilmiştir.[4] İzin Vermek Bir girdileri olan olasılıklı bir algoritma olmak (x, h1, ..., hq; r) bir çift (J, y), nerede r rastgele şeridi ifade eder Bir (yani, A'nın yapacağı rastgele seçimler). Ayrıca varsayalım ki IG bir olasılık dağılımıdır x çizilmiş ve bu H boyut kümesidir h her birinden hben değerler şuna göre çizilir üniforma dağıtımı. Acc, açıklandığı gibi girdiler üzerinde dağıtılan olasılık olsun, J tarafından çıktı Bir 1'den büyük veya 1'e eşittir.

Daha sonra bir "çatallanma algoritması" tanımlayabiliriz FBir girişte aşağıdaki şekilde ilerleyen x:

  1. Rastgele bir kaset seçin r için Bir.
  2. Toplamak h1, ..., hq tek tip olarak H.
  3. Koşmak Bir girişte (x, h1, ..., hq; r) üretmek için (J, y).
  4. Eğer J = 0, sonra (0, 0, 0) döndür.
  5. Toplamak h 'J, ..., h 'q tek tip olarak H.
  6. Koşmak Bir girişte (x, h1, ..., hJ−1, h'J, ..., h'q; r) üretmek için (J', y').
  7. Eğer J ' = J ve hJh 'J sonra dön (1, y, y'), aksi takdirde (0, 0, 0) döndür.

Frk şu olasılık olsun FBir bir giriş verildiğinde, 1 ile başlayan bir üçlü çıktılar x rastgele seçilmiş IG. Sonra

Sezgi

Buradaki fikir düşünmek Bir ilgili yürütmelerde iki kez çalışıyor olarak, burada işlem "çatallar "belirli bir noktada, girdilerin tamamı değil bazıları incelendiğinde. Alternatif sürümde, geri kalan girdiler yeniden üretilir, ancak normal şekilde üretilir. İşlemin çatallandığı nokta, yalnızca daha sonra karar vermek istiyorum, muhtemelen davranışına göre Bir ilk kez: lemma ifadesinin dallanma noktasını seçmesinin nedeni budur (J) çıktısına göre Bir. Şartı hJh 'J lemmanın birçok kullanımı için gerekli olan teknik bir tanesidir. (Her ikisinden de hJ ve h 'J rastgele seçilir H, o zaman eğer h büyüktür, bu normaldir, iki değerin farklı olmama olasılığı son derece küçüktür.)

Misal

Örneğin, izin ver Bir kırmak için bir algoritma olmak elektronik imza şemasında rastgele oracle model. Sonra x genel parametreler olabilir (genel anahtar dahil) Bir saldırıyor ve hben rastgele oracle'ın çıktısı olacaktır. benfarklı girdi. Çatallanma lemması, aynı mesajın iki farklı rastgele imzası verildiğinde, altta yatan bazı zor problemleri çözmek için mümkün olduğunda işe yarar. Bununla birlikte, bir kez sahtekarlık yapan bir düşman, çatallanma lemması aracılığıyla ihmal edilemeyecek bir olasılıkla aynı mesaj üzerinde iki kez sahtecilik yapan bir düşmana yol açar. Ne zaman Bir bir mesaj üzerinde sahte girişimler mçıktısını dikkate alıyoruz Bir olmak (J, y) nerede y sahtedir ve J şekildedir m oldu Jrastgele oracle için benzersiz bir sorgu (şu varsayılabilir: Bir sorgulayacak m bir noktada, eğer Bir ihmal edilemez olasılıkla başarılı olmaktır). (Eğer Bir yanlış bir sahtecilik çıktıysa, çıktının (0, y).)

Çatallayan lemma ile olasılık (frk) iki iyi sahtecilik elde etmek y ve y ' aynı mesajda ancak farklı rastgele oracle çıktılarıyla (yani hJ ≠ h 'J) ne zaman ihmal edilemez acc aynı zamanda ihmal edilemez. Bu, altta yatan zor sorun gerçekten zorsa, hiçbir düşmanın imza atamayacağını kanıtlamamıza olanak tanır.

Bu, Pointcheval ve Stern tarafından değiştirilmiş bir kanıt için verilen ispatın özüdür. ElGamal imza şeması adaptif bir düşmana karşı.

Çatallanma lemasının uygulanmasıyla ilgili bilinen sorunlar

Çatallanma lemmasının sağladığı azalma, sıkı bir azaltma değildir. Pointcheval ve Stern, Forking Lemma'yı kullanarak Dijital İmzalar ve Kör İmza için güvenlik argümanları önerdi.[7] Claus P. Schnorr kör Schnorr imza şemalarına bir saldırı sağladı,[8] Pointcheval ve Stern tarafından güvenli olduğu iddia edildi. Schnorr ayrıca, kör imza düzenlerini güvence altına almak için geliştirmeler önerdi. ayrık logaritma sorun.[9]

Referanslar

  1. ^ Ernest Brickell, David Pointcheval, Serge Vaudenay, ve Moti Yung, "Ayrık Logaritma Tabanlı İmza Şemaları için Tasarım Doğrulamaları ", Üçüncü Uluslararası Açık Anahtarlı Kripto Sistemlerinde Uygulama ve Teori Çalıştayı, PKC 2000, Melbourne, Avustralya, 18–20 Ocak 2000, s. 276–292.
  2. ^ a b Adam Young ve Moti Yung, "Kötü Amaçlı Kriptografi: Kriptovirolojiyi Açığa Çıkarma", Wiley basımı, 2004, s. 344.
  3. ^ David Pointcheval ve Jacques Stern, "İmza Şemaları için Güvenlik Kanıtları ", Kriptolojideki Gelişmeler - EUROCRYPT '96, Saragossa, ispanya, 12–16 Mayıs 1996, s. 387–398.
  4. ^ a b Mihir Bellare ve Gregory Neven, "Düz Açık Anahtar Modelinde Çoklu İmzalar ve Genel Bir Çatallı Lemma ", 13. Bilgi İşlem Makineleri Derneği (ACM) Bilgisayar ve İletişim Güvenliği Konferansı (CCS), İskenderiye, Virginia, 2006, s. 390–399.
  5. ^ Ali Bagherzandi, Jung Hee Cheon, Stanislaw Jarecki: Çoklu imzalar, ayrık logaritma varsayımı ve genelleştirilmiş bir çatal lemması altında güvenlidir. 449-458
  6. ^ Javier Herranz, Germán Sáez: Yüzük İmza Şemaları için Forking Lemmas. 266-279
  7. ^ David Pointcheval ve Jacques Stern, "Dijital İmzalar ve Kör İmzalar için Güvenlik Argümanları" CRYPTOLOGY DERGİSİ, Cilt 13, s. 361-396, 2000. İnternette mevcut.
  8. ^ C.P.Schnorr, "Etkileşimli Saldırılara Karşı Kör Kesikli Günlük İmzalarının Güvenliği" ICICS 2001 Tutanakları, LNCS Cilt. 2229, sayfa 1-13, 2001. İnternette mevcut Arşivlendi 2011-06-13 de Wayback Makinesi.
  9. ^ C.P. Schnorr, "Mükemmel kör DL imzalarının güvenliğinin artırılması" Information Sciences, Elsevier, Cilt. 176, s. 1305–1320, 2006. İnternette mevcut Arşivlendi 2011-06-13 de Wayback Makinesi