Đăng ký Đăng nhập
Trang chủ Giáo dục - Đào tạo Cao đẳng - Đại học Nghiên cứu giải pháp xây dựng hạ tầng cơ sở khóa công khai (pki) an toàn phục vụ...

Tài liệu Nghiên cứu giải pháp xây dựng hạ tầng cơ sở khóa công khai (pki) an toàn phục vụ xác thực và bảo mật cho các cơ quan đảng, nhà nước, an ninh, quốc phòng

.PDF
27
365
118

Mô tả:

1 BỘ GIÁO DỤC VÀ ĐÀO TẠO BỘ QUỐC PHÒNG VIỆN KHOA HỌC VÀ CÔNG NGHỆ QUÂN SỰ Nguyễn Hữu Hùng NGHIÊN CỨU GIẢI PHÁP XÂY DỰNG HẠ TẦNG CƠ SỞ KHÓA CÔNG KHAI (PKI) AN TOÀN PHỤC VỤ XÁC THỰC VÀ BẢO MẬT CHO CÁC CƠ QUAN ĐẢNG, NHÀ NƯỚC, AN NINH, QUỐC PHÒNG Chuyên ngành: Cơ sở toán học cho tin học Mã số: 62 46 01 10 TÓM TẮT LUẬN ÁN TIẾN SĨ TOÁN HỌC Hà Nội - 2017 2 CÔNG TRÌNH ĐƯỢC HOÀN THÀNH TẠI VIỆN KHOA HỌC VÀ CÔNG NGHỆ QUÂN SỰ BỘ QUỐC PHÒNG Người hướng dẫn khoa học: 1. Tiến sĩ Trần Văn Sơn 2. Tiến sĩ Phạm Việt Trung Phản biện 1: GS. TS Nguyễn Bình Học viện Công nghệ Bưu chính Viễn thông Phản biện 2: PGS. TS Lê Mỹ Tú Học viện Kỹ thuật Mật mã Phản biện 3: PGS. TS Bùi Thu Lâm Học viện Kỹ thuật quân sự Luận án sẽ được bảo vệ trước Hội đồng chấm luận án cấp Viện họp tại Viện Khoa học và Công nghệ quân sự vào hồi.... giờ...... ngày……..tháng.......năm 2017 Có thể tìm hiểu Luận án tại: - Thư viện Viện Khoa học và Công nghệ quân sự. - Thư viện Quốc gia Việt Nam. 1 MỞ ĐẦU 1. Tính cấp thiết Hạ tầng cơ sở khóa công khai (PKI) được coi là giải pháp tốt nhất hiện nay để đảm bảo xác thực, bảo mật các giao dịch điện tử. Mỗi thực thể tham gia vào hệ thống PKI sở hữu một khóa bí mật/công khai. Khóa công khai của các thực thể kết hợp với danh tính của chủ sở hữu và các thông tin liên quan được Cơ quan chứng thực (CA) chứng nhận thông qua chữ ký số sử dụng khóa bí mật của CA. Trong hệ thống PKI dựa trên mật mã Elliptic, chữ ký số của CA được tạo lập bằng cách sử dụng lược đồ chữ ký số đường cong Elliptic (ECDSA). Việc đảm bảo an toàn cho hệ thống PKI là hết sức cần thiết. Việc nghiên cứu để đảm bảo an toàn cho hệ thống PKI có ý nghĩa to lớn về mặt khoa học cũng như thực tiễn. Đối với hệ thống PKI phục vụ các cơ quan Đảng, Nhà nước, Quốc phòng, An ninh (PKI Chính phủ) lại càng phải là ưu tiên hàng đầu. Vì vậy, Luận án đặt vấn đề cần phải nghiên cứu, phân tích, đề xuất mô hình PKI Chính phủ, các thành phần đảm bảo an toàn, an ninh và an toàn mật mã; đặc biệt thành phần cốt lõi của hệ thống PKI dựa trên mật mã Elliptic là lược đồ chữ ký số ECDSA và an toàn cho khóa bí mật. 2. Đối tượng và phạm vi nghiên cứu Đối tượng và phạm vi nghiên cứu của Luận án là hệ thống PKI dựa trên mật mã Elliptic. Các vấn đề an toàn mật mã và đảm bảo an toàn mật mã cho hệ thống PKI dựa trên mật mã Elliptic. 3. Mục đích nghiên cứu Đưa ra đánh giá tổng quát về vấn đề an toàn cho hệ thống PKI. Phân tích các điểm tồn tại, các tấn công và đưa ra cách sửa đổi, phòng chống để đảm bảo an toàn mật mã cho hệ thống PKI dựa trên mật mã Elliptic. 2 4. Phương pháp nghiên cứu Nghiên cứu các công trình, tài liệu trong và ngoài nước về hệ thống PKI nói chung và các vấn đề đảm bảo an toàn cho PKI. Nghiên cứu mật mã Elliptic, phân tích, đánh giá an toàn lược đồ chữ ký số ECDSA, khóa bí mật, và an toàn cài đặt thuật toán ECDSA đối với các tấn công trên kênh thứ cấp để đề xuất giải pháp đảm bảo an toàn cho các vấn đề trên. 5. Ý nghĩa khoa học Luận án đã đề xuất lược đồ chữ ký ECDSA mới và chứng minh lược đồ đề xuất là an toàn. Đề xuất tiêu chuẩn an toàn cho khóa bí mật sử dụng trong lược đồ chữ ký số ECDSA và phép nhân điểm an toàn trong cài đặt lược đồ ECDSA. Đề xuất mô hình triển khai, các thành phần đảm bảo an toàn, an ninh cho hệ thống PKI phục vụ các cơ quan Đảng, Nhà nước, Quốc phòng, An ninh. Những đề xuất này sẽ mở ra những hướng nghiên cứu mới về đảm bảo an toàn mật mã cho hệ thống PKI dựa trên mật mã Elliptic. 6. Ý nghĩa thực tiễn Đáp ứng nhu cầu triển khai hệ thống PKI phục vụ xác thực, bảo mật cho các cơ quan Đảng, Nhà nước, Quốc phòng, An ninh. Góp phần thúc đẩy ứng dụng CNTT và phát triển Chính phủ điện tử tại Việt nam. 7. Bố cục của Luận án Luận án gồm 03 Chương với các phần mở đầu, kết luận, danh mục các công trình, bài báo khoa học đã được công bố của tác giả, tài liệu tham khảo và phụ lục thực nghiệm kèm theo. Chương 1: Tổng quan về hệ thống PKI dựa trên mật mã Elliptic Trình bày tổng quan về hệ thống PKI, một số khái niệm cơ bản về mật mã Elliptic, lược đồ chữ ký số ECDSA. Các vấn đề an toàn cho hệ thống PKI, an toàn lược đồ ECDSA, an toàn cho khóa bí mật và an toàn 3 trong phép nhân điểm trong cài đặt thuật toán ECDSA. Chương 2: Nâng cao độ an toàn cho hệ thống PKI dựa trên mật mã Elliptic Trình bày các kết quả nghiên cứu mới của Luận án đó là đề xuất lược đồ chữ ký số ECDSA-IV (lược đồ chữ ký số mới) và đề xuất tiêu chuẩn an toàn cho khóa bí mật dài hạn và khóa bí mật tức thì sử dụng trong lược đồ chữ ký số ECDSA; tiêu chuẩn này cũng áp dụng cho lược đồ đề xuất ECDSA-IV. Để làm cơ sở đề xuất những kết quả nghiên cứu mới, trong Chương này, Luận án sử dụng phương pháp phân tích, tổng hợp các công trình trên thế giới về an toàn cho lược đồ chữ ký số ECDSA, các hạn chế, tồn tại của lược đồ chữ ký số ECDSA, tấn công lên khóa bí mật dài hạn và khóa bí mật tức thì sử dụng trong lược đồ chữ ký số ECDSA. Chương 3: Đề xuất mô hình PKI và các thành phần mật mã dựa trên mật mã Elliptic Trình bày các nội dung liên quan đến đề xuất một mô hình tổng thể hệ thống PKI Chính phủ. Chương này cũng trình bày một kết quả nghiên cứu mới của Luận án về một thuật toán nhân điểm để nâng cao độ an toàn trong cài đặt thuật toán chữ ký số ECDSA, các thành phần đảm bảo an toàn, an ninh mạng cho hệ thống PKI, các thành phần mật mã và đưa ra một số đánh giá thực nghiệm đối với các kết quả nghiên cứu mới của Luận án. 4 CHƯƠNG 1. TỔNG QUAN VỀ HỆ THỐNG PKI DỰA TRÊN MẬT MÃ ELLIPTIC Chương này trình bày tổng quan về hệ thống PKI, một số khái niệm cơ bản về mật mã Elliptic, lược đồ chữ ký số ECDSA. Tổng hợp các nghiên cứu trong và ngoài nước về các vấn đề an toàn hệ thống PKI, an toàn lược đồ chữ ký số ECDSA và các tham số khóa bí mật. Phân tích, chỉ ra các vấn đề cần đảm bảo an toàn cho hệ thống PKI nói chung, các vấn đề còn tồn tại của lược đồ chữ ký số ECDSA và các tham số khóa bí mật để đề xuất giải quyết trong Chương 2 và Chương 3. 1.1. Tổng quan về Hệ thống PKI 1.1.1. Các thành phần của PKI 1.1.2. Các mô hình hệ thống PKI 1.1.3. Các thành phần mật mã trong PKI dựa trên mật mã Elliptic 1.2. Mật mã Elliptic 1.2.1. Một số định nghĩa toán học về đường cong Elliptic 1.2.2. Nhóm các điểm đường cong Elliptic trên trường nguyên tố 1.2.3. Các tiêu chuẩn an toàn của hệ mật Elliptic 1.2.4. Các tham số miền và cặp khóa của hệ mật Elliptic 1.1.4. Lược đồ chữ ký số ECDSA 1.1.5. Lược đồ chữ ký số của Nga 1.3. An toàn cho hệ thống PKI dựa trên mật mã Elliptic 1.3.1. An toàn PKI nói chung a) An toàn khóa bí mật của CA b) An toàn khóa bí mật của người dùng c) An toàn của máy tính d) Vấn đề lộ khóa bí mật và khôi phục hệ thống e) Vấn đề thẩm quyền CA và an toàn tin cậy trong PKI 5 f) Vấn đề kết hợp CA với RA 1.3.2. An toàn lược đồ chữ ký số ECDSA - Lỗi 1 “lỗi chữ ký kép”: Từ hai thông điệp 𝑚1 và 𝑚2 bất kỳ chúng ta luôn sinh ra được một cặp khóa bí mật và khóa công khai sao cho hai thông điệp này cùng nhận một chữ ký chung. - Lỗi 2: Với chữ ký (𝑟, 𝑠) là chữ ký hợp lệ trên thông điệp 𝑚, chúng ta dễ dàng suy ra (𝑟, −𝑠) là chữ ký của thông điệp này. 1.3.3. An toàn liên quan đến tham số và khóa bí mật ECDSA a) Tấn công khi sử dụng lặp lại khóa bí mật của mỗi thông điệp b) Tấn công của Vaudenay liên quan đến tham số miền của hệ mật Elliptic c) Vấn đề lựa chọn khóa cho việc sao chép chữ ký số d) Các tấn công liên quan đến việc sinh các khóa bí mật dài hạn và tức thì của DSA và ECDSA Trước đây, việc thám mã khóa bí mật của hệ mật RSA sử dụng công cụ rút gọn lưới đã được công bố với nhiều phiên bản cải tiến khác nhau. Gần đây, bằng cách tiếp cận tương tự, Dimitrios Poulakis đã đưa ra những kết quả tấn công liên quan đến việc sinh các khóa bí mật dài hạn d và tức thì k của ECDSA. Giả sử rằng một chữ ký được sử dụng và mỗi số trong ít nhất một trong các tập {𝑑, 𝑘 −1 𝑚𝑜𝑑 𝑝}, {𝑘, 𝑑−1 𝑚𝑜𝑑 𝑝}, {𝑘 −1 , 𝑑−1 𝑚𝑜𝑑 𝑝} là nhỏ hơn hoặc lớn hơn một cận đã biết nào đó, khi đó khóa bí mật dài hạn d và khóa bí mật tức thì k có thể được tìm ra. Hơn nữa, nếu hai chữ ký với các khóa tức thì k1, k2 được sử dụng và ít nhất có một số trong các tập các số {𝑘1 , 𝑘2−1 𝑚𝑜𝑑 𝑝}, {𝑘2 , 𝑘1−1 𝑚𝑜𝑑 𝑝}, {𝑘1−1 , 𝑘2−1 𝑚𝑜𝑑 𝑝} nhỏ hơn hoặc lớn hơn một cận đã biết nào đó thì k1, k2 và cả d sẽ được tìm ra. 6 1.3.4. An toàn của phép nhân điểm trong thuật toán ECDSA Phép nhân điểm là một thủ tục thường xuyên phải thực hiện trong mật mã Elliptic. Nó đặc biệt nhạy cảm khi thực hiện phép nhân giữa khóa bí mật với một điểm công khai trên đường cong Elliptic. Phép nhân điểm trong thuật toán chữ ký số ECDSA có dạng: 𝑄 = 𝑑𝑃. Trong đó, P là một điểm công khai trên đường cong Elliptic và d là khóa bí mật. Các cuộc tấn công kênh kề dựa trên việc tiêu thụ năng lượng và thời gian như đã chỉ ra bởi độ phức tạp tính toán cần thiết để thực hiện phép nhân điểm khi cài đặt thuật toán chữ ký số ECDSA. Nếu sử dụng các phép nhân điểm thông thường, phương pháp nhị phân chẳng hạn, các tấn công phân tích năng lượng sẽ phân biệt được các bít 0 và 1 của khóa bí mật d khi thực hiện phép nhân điểm dẫn đến khả năng tìm ra khóa bí mật d. 1.4. Kết luận Chương 1 Chương 1 trình bày các nội dung nghiên cứu tổng quan về hệ thống PKI, một số vấn đề cơ bản của mật mã Elliptic. Đã phân tích một số vấn đề an toàn của hệ thống PKI nói chung. Phân tích các tồn tại liên quan đến lược đồ chữ ký số ECDSA, các vấn đề an toàn liên quan đến khóa bí mật dài hạn, khóa bí mật tức thì và vấn đề an toàn trong phép nhân điểm sử dụng trong lược đồ chữ ký số ECDSA. Từ tính chất và tầm quan trọng trong đảm bảo an toàn cho các giao dịch điện tử trong lãnh đạo, chỉ đạo, điều hành nên vấn đề an toàn đặt ra ở Chương này đối với hệ thống PKI phục vụ các cơ quan Đảng, Nhà nước, Quốc phòng, An ninh là ưu tiên hàng đầu. Các vấn đề an toàn đặt ra ở đây sẽ được giải quyết trong Chương 2 và Chương 3 của Luận án. 7 CHƯƠNG 2. NÂNG CAO ĐỘ AN TOÀN CHO HỆ THỐNG PKI DỰA TRÊN MẬT MÃ ELLIPTIC Trong Chương này, Luận án sẽ đề xuất một lược đồ chữ ký số là một biến thể của thuật toán chữ ký số ECDSA. Lược đồ đề xuất sẽ được chứng minh là an toàn trong mô hình nhóm tổng quát (GGM), an toàn trước tấn công không sử dụng thông điệp (NMA) trong mô hình bộ tiên tri ngẫu nhiên (ROM) và lược đồ đề xuất khắc phục được lỗi “chữ ký kép” của ECDSA. Liên quan đến an toàn cho khóa bí mật, Luận án đề xuất tiêu chuẩn an toàn cho khóa bí mật dài hạn d và khóa bí mật tức thì k của lược đồ chữ ký số ECDSA. Các kết quả nghiên cứu của Chương này liên quan đến các công trình công bố số [1], [6], [7] của Nghiên cứu sinh. 2.1. Đề xuất một lược đồ chữ ký số nâng cao độ an toàn cho CA 2.1.1. Một số khái niệm an toàn của lược đồ chữ ký số a) Mô hình nhóm tổng quát GGM b) Mô hình bộ tiên tri ngẫu nhiên ROM c) Tấn công không sử dụng thông điệp NMA d) Tấn công lựa chọn thông điệp thích nghi CMA 2.1.2. Mô hình chữ ký số dựa trên bài toán logarit rời rạc (DLP) Một lược đồ chữ ký tổng quát dựa trên bài toán logarit rời rạc được xây dựng dựa trên các thành phần sau:  Một nhóm rời rạc 〈𝐺〉 cấp 𝑞 mà ở đó việc tính logarit rời rạc là khó.  Tập các khóa bí mật có thể tồn tại là 𝒱 ⊂ ℤ𝑞 . Nếu khóa bí mật của người ký là 𝑣 ∈ 𝒱, khóa công khai tương ứng là phần tử 𝑉 = 𝐺 𝑣 . Phụ thuộc vào kiểu chữ ký số, ta có thể cần 𝒱 = ℤ𝑞 hoặc 𝒱 = ℤ𝑞× . Tất cả các nhóm sẽ được coi là các nhóm nhân, ngay cả trong trường hợp của các đường cong Elliptic. 8  Một phép chiếu: là một ánh xạ 𝜌: 〈𝐺〉 → ℛ.  Một hàm băm, là một hàm 𝐻: ℳ × ℛ → ℋ mà ở đó ℳ là tập tất cả các thông điệp có thể tồn tại.  Một kiểu chữ ký số mà xác định các công thức tường minh cho quá trình thực hiện chữ ký và quá trình xác minh. Kiểu chữ ký số định nghĩa các hàm sau đây: Hàm 𝜙 và 𝜓 : ℋ × ℛ × 𝑆 → ℤ𝑞 ; hàm 𝜎 : ℐ → 𝑆, × trong đó ℐ ⊂ ℋ × ℛ × 𝒱 × 𝒦 với 𝑆 = ℤ𝑞 hoặc ℤ× 𝑞 và 𝒦 = ℤ𝑞 hoặc ℤ𝑞 . Lược đồ chữ ký số thực hiện như sau:  Quá trình ký: Để ký thông điệp m người ta lấy một giá trị 𝑘 ngẫu nhiên thuộc 𝒦, tính 𝑅 = 𝐺 𝑘 , 𝑟 = 𝜌(𝑅), ℎ = 𝐻(𝑚, 𝑟) đến khi (ℎ, 𝑟, 𝑣, 𝑘) ∈ ℐ và 𝑠 = 𝜎(ℎ, 𝑟, 𝑣, 𝑘). Thông điệp được ký là (𝑚, 𝑟, 𝑠).  Quá trình xác minh chữ ký: Việc xác minh (𝑚, 𝑟, 𝑠) ∈ ℳ × ℛ × S bằng việc tính toán ℎ = 𝐻(𝑚, 𝑟), 𝛼 = 𝜙(ℎ, 𝑟, 𝑠), 𝛽 = 𝜓(ℎ, 𝑟, 𝑠), 𝑅 = ? 𝐺 𝛼 𝑉𝛽 và kiểm tra nếu 𝑅 ∈ 𝐺 𝒦 và nếu 𝑟 = 𝜌(𝑅). 2.1.3. Hàm băm của một lược đồ chữ ký số Đối với lược đồ chữ ký số, hàm băm 𝐻: ℳ × ℛ → ℋ phải là dễ tính toán, kháng va chạm, có đầu ra ngẫu nhiên đều với 𝑚 ∈𝑅 ℳ. Khác với hàm băm thông thường, hàm băm của một lược đồ chữ ký số còn có một số tính chất sau. Định nghĩa 2.1: Hàm băm loại I của lược đồ chữ ký số. Hàm băm 𝐻 của một lược đồ chữ ký số được gọi là Loại I nếu ∀ 𝑚 ∈ ℳ; 𝑟, 𝑟 ′ ∈ ℛ: 𝐻(𝑚, 𝑟) = 𝐻(𝑚, 𝑟 ′ ). Định nghĩa 2.2: Hàm băm loại II của lược đồ chữ ký số. Hàm băm 𝐻 của một lược đồ chữ ký số được gọi là Loại II nếu nó không phải là hàm băm loại I. Định nghĩa 2.3: Kháng va chạm cộng. Hàm băm 𝐻 của một lược đồ chữ ký với ℋ ⊂ ℤ𝑞 và ℛ ⊂ ℤ𝑞 được 9 gọi là kháng va chạm cộng nếu cho trước 𝑟, 𝑟 ′ ngẫu nhiên thì khó để tìm được 𝑚, 𝑚′ sao cho 𝐻(𝑚, 𝑟) + 𝑟 = 𝐻(𝑚′ , 𝑟 ′ ) + 𝑟 ′ . Định nghĩa 2.4: Kháng va chạm chia. Hàm băm 𝐻 của một lược đồ chữ ký với ℋ ⊂ ℤ𝑞 và ℛ ⊂ ℤ× 𝑞 được gọi là kháng va chạm chia nếu cho trước 𝑟, 𝑟 ′ ngẫu nhiên thì khó để tìm được 𝑚, 𝑚′ sao cho 𝐻(𝑚, 𝑟)/𝑟 = 𝐻(𝑚′ , 𝑟 ′ )/𝑟 ′ . Định nghĩa 2.5: Hàm băm như một bộ tiên tri ngẫu nhiên. Hàm băm H của một lược đồ chữ ký được coi như một bộ tiên tri ngẫu nhiên nếu hiểu biết về cặp đầu vào - đầu ra không làm hạn chế đáng kể không gian ảnh có thể có cho một đầu vào khác. 2.1.4. Phép chiếu của lược đồ chữ ký số Phép chiếu 𝜌: 〈𝐺〉 → ℛ phải là dễ tính toán bởi người ký, và người ? xác minh sẽ có khả năng để kiểm tra 𝑟 = 𝜌(𝑅) với 𝑅 ∈ 〈𝐺〉 và 𝑟 ∈ ℛ. Nếu các phần tử của 〈𝐺〉 là không phân biệt được với các phần tử của một tập lớn hơn, thì 𝜌 được định nghĩa trên toàn bộ tập lớn hơn đó. Phép chiếu có thể có một số tính chất sau đây. Định nghĩa 2.6: 𝜀 −hầu đều. Ánh xạ 𝜌 được gọi là 𝜀 −hầu đều nếu ∀𝑟 ∈ ℛ : | 𝑃𝑟 [𝜌(𝑅) = 𝑟] − 𝑅∈〈𝐺〉 1 | 𝑞 ≤ 𝜀, với 𝑞 là số phần tử của 〈𝐺〉. Khi 𝜀 là đại lượng không đáng kể theo 𝑙𝑜𝑔( 𝑞) thì 𝜌 được gọi là hầu đều. Nói cách khác, hàm 𝜌 là hầu đều nếu xác suất phân bố của từng phần tử thuộc tập đầu ra là lệch không đáng kể so với phân bố đều. Định nghĩa 2.7: 𝜀 −hầu khả nghịch. Ánh xạ 𝜌 là 𝜀 −hầu khả nghịch nếu tồn tại một thuật toán hiệu quả để tính hàm ngược 𝜌−1 : ℛ → 〈𝐺〉 sao cho: - ∀𝑅 ∈ 𝜌−1 (𝑟): 𝜌(𝑅) = 𝑟 - Ít nhất một tỷ lệ 𝜀 của các tập 𝜌−1 (𝑟) là khác rỗng. - Các phần tử được lấy ngẫu nhiên từ các tập 𝜌−1 (𝑟) là không 10 phân biệt được với các phân tử được lấy ngẫu nhiên từ 〈𝐺〉. Định nghĩa 2.8: 𝑙 + 1 −kháng va chạm. Phép chiếu 𝜌 là 𝑙 + 1 - kháng va chạm nếu với 𝑙 ≥ 1 thì việc tìm 𝑅0 , … , 𝑅𝑙 sao cho 𝜌(𝑅0 ) = 𝜌(𝑅1 ) = ⋯ = 𝜌(𝑅𝑙 ) là khó. Định nghĩa 2.9: phép chiếu như là một bộ tiên tri ngẫu nhiên. Phép chiếu 𝜌 là phù hợp như một bộ tiên tri ngẫu nhiên nếu hiểu biết về các cặp đầu vào-đầu ra không hạn chế đáng kể không gian ảnh có thể có cho một đầu vào khác. Một hàm hầu khả nghịch có thể là phù hợp như một bộ tiên tri ngẫu nhiên. 2.1.5. Một số tính chất và các kiểu chữ ký số Một kiểu chữ ký số được mô tả bởi các tập 𝒱 ⊂ ℤ𝑞 , 𝑆 ⊂ ℤ𝑞 và ℛ, với hai hàm 𝜙, 𝜓 : ℋ × ℛ × 𝑆 → ℤ𝑞 và một tập ℐ ⊂ ℋ × ℛ × 𝒱 × 𝒦. Tuy nhiên, có thể sử dụng bổ sung thêm một số hàm khác như sau: Các hàm bổ sung: Gọi 𝒜 là tập các đầu ra có thể có đối với 𝜙 và ℬ là tập các đầu ra có thể có đối với 𝜓. Năm hàm bổ sung có thể được định nghĩa như sau:  𝜎: ℐ → 𝑆  𝜆ℎ : 𝒜 × ℬ × ℛ → ℋ  𝜆𝑠 : 𝒜 × ℬ × ℛ → 𝑆  𝜆𝑟 : 𝒜 × ℬ × ℋ → ℛ  𝜇ℎ : 𝑆 × ℛ × 𝒱 × 𝒦 → ℋ Đối với mỗi kiểu chữ ký số, luôn tồn tại một thuật toán hiệu quả để tính toán kết quả của các hàm (𝜙, 𝜓, 𝜎, 𝜆ℎ , 𝜆𝑟 , 𝜇ℎ ). Các tính chất cơ bản của một kiểu lược đồ chữ ký số: Tính chất (m1): Với tất cả các bộ (ℎ, 𝑟, 𝑣, 𝑘) ∈ ℐ, giá trị 𝑠 = 𝜎(ℎ, 𝑟, 𝑣, 𝑘) thỏa mãn điều kiện: nếu 𝛼 = 𝜙(ℎ, 𝑟, 𝑠) và 𝛽 = 𝜓(ℎ, 𝑟, 𝑠) thì 11 𝑘 = 𝛼 + 𝑣 ⋅ 𝛽. Tính chất (m2): Với tất cả 𝑣 ∈ 𝒱 và ℎ ∈ ℋ: 𝑃𝑟 [(ℎ, 𝑟, 𝑣) ∈ 𝑟∈ℛ,𝑘∈𝒦 ℐ] ≥ 𝜀𝑚 . Tính chất (o1): Với tất cả (ℎ, 𝑟, 𝑠) ∈ ℋ × ℛ × 𝑆: Phương trình 𝜆ℎ (𝜙(ℎ, 𝑟, 𝑠), 𝜓(ℎ, 𝑟, 𝑠), 𝑟) = ℎ là đúng. Tính chất (o2): Với tất cả (ℎ, 𝑟, 𝑠) ∈ ℋ × ℛ × 𝑆: Phương trình 𝜆𝑠 (𝜙(ℎ, 𝑟, 𝑠), 𝜓(ℎ, 𝑟, 𝑠), 𝑟) = 𝑠 là đúng. Tính chất (o3): Hàm 𝑠 → 𝜇ℎ (𝑠, 𝑟, 𝑣, 𝑘) là nghịch đảo của ℎ → 𝜎(ℎ, 𝑟, 𝑣, 𝑘). Các tính chất bổ sung cho độ an toàn với hàm lý tưởng 𝝆: Tính chất (p1): Với (ℎ, 𝑟, 𝑣) cố định và 𝑘 đều sao cho: (ℎ, 𝑟, 𝑣, 𝑘) ∈ ℐ, giá trị 𝜎(ℎ, 𝑟, 𝑣, 𝑘) là đều trong 𝑆. Tính chất (p2): Với ℎ ∈ ℋ và 𝑣 ∈ 𝒱 cố định và giá trị ngẫu nhiên đều 𝑠 ∈ 𝑆 và 𝑟 ∈ ℛ thì 𝑘 = 𝜙(ℎ, 𝑟, 𝑠) + 𝑣 ⋅ 𝜓(ℎ, 𝑟, 𝑠) là ngẫu nhiên đều trong 𝒦. Tính chất (p3): Cho trước 𝑟 và 𝑟 ′ ngẫu nhiên, việc tìm (𝛼, 𝛽) và các thông điệp 𝑚 và 𝑚′ nào đó sao cho : 𝜆ℎ (𝛼, 𝛽, 𝑟) = 𝐻(𝑚, 𝑟) và 𝜆ℎ (𝛼, 𝛽, 𝑟 ′ ) = 𝐻(𝑚′ , 𝑟 ′ ) là khó. Các tính chất bổ sung cho độ an toàn với hàm lý tưởng 𝑯: Tính chất (h1): Nếu ℎ = 𝜆ℎ (𝛼, 𝛽, 𝑟) và 𝑠 = 𝜆𝑠 (𝛼, 𝛽, 𝑟) thì 𝛼 = 𝜙(ℎ, 𝑟, 𝑠) và 𝛽 = 𝜓(ℎ, 𝑟, 𝑠). Tính chất (h2): 𝑃𝑟 𝛼∈𝒜,𝛽∈ℬ [𝜆ℎ (𝛼, 𝛽, 𝜌(𝐺 𝛼 𝑉𝛽 )) ∈ ℋ 𝑣à𝜆𝑠 (𝛼, 𝛽, 𝜌(𝐺 𝛼 𝑉𝛽 )) ∈ 𝑆] ≥ 𝜀ℎ . Các tính chất cho độ an toàn với nhóm lý tưởng 〈𝐆〉: Tính chất (g1): Với tất cả các bộ(ℎ, 𝑟, 𝑠) phương trình 12 𝜆𝑟 (𝜙(ℎ, 𝑟, 𝑠), 𝜓(ℎ, 𝑟, 𝑠), ℎ) = 𝑟 đúng. Tính chất (g2): Với tất cả các bộ(ℎ, ℎ′ , 𝑟, 𝑠), nếu 𝜆𝑟 (𝜙(ℎ, 𝑟, 𝑠), 𝜓(ℎ, 𝑟, 𝑠), ℎ′ ) = 𝑟 thì ℎ′ = ℎ. Các tính chất (m1), (m2), (o1), (o2), (o3), (p1), (p2), (h1) và (h2) đúng đối với kiểu chữ ký số điển hình sau đây. Kiểu chữ ký số ElGamal nghịch: Gọi ℋ ⊂ ℤ𝑞 , ℛ = 𝒱 = 𝒦 = 𝑆 = ℬ = ℤ𝑞× và 𝒜 = ℤ𝑞 . Bởi vì ℐ = {(ℎ, 𝑟, 𝑣, 𝑘)|ℎ + 𝑣 ⋅ 𝑟 ∈ ℤ× 𝑞 }, tính chất (p2) có thể sai với xác suất không đáng kể. Tính chất (p3) là tương đương với sự kháng va chạm chia của × 𝐻. Tính chất (g1) và (g2) đúng với hạn chế là ℋ ⊂ ℤ× 𝑞 và 𝒜 = ℤ𝑞 . Tính chất (m2) và (h2) đúng với 𝜀𝑚 = 𝜑(𝑞) 𝑞 và 𝜀ℎ = |ℋ| 𝑞 . Các hàm được xác định như sau :   h, r , s   h  s;   h, r , s   r  s;   h, r , v, k   k / (h  v  r )  1  h  s, r , v, k   k / s  v  r ; h  ,  , r       r  1 1 s  ,  , r   r   ; r  ,  , r       h 2.1.6. Một số biến thể của lược đồ chữ ký số ECDSA Các biến thể của lược đồ ECDSA là lược đồ ECDSA-II và ECDSAIII được đề xuất bởi tác giả N.P. Smart (năm 2002) và đã được chứng minh là an toàn trong mô hình bộ tiên tri ngẫu nhiên ROM. a) Lược đồ ECDSA-II Điểm khác biệt duy nhất của lược đồ này so với ECDSA là việc sử dụng hàm băm loại II thay vì sử dụng hàm băm loại I như ECDSA (tính ℎ = 𝐻(𝑀‖𝑟). Lược đồ này đã được chứng minh an toàn trong mô hình bộ tiên tri ngẫu nhiên. b) Lược đồ ECDSA-III Điểm khác biệt duy nhất của lược đồ này so với ECDSA-II là việc sử dụng phép chiếu ECaddq thay vì phép chiếu ECxq như ECDSA và 13 ECDSA-II (tính 𝑟 = 𝜌(𝑅) = 𝑥𝑅 + 𝑦𝑅 𝑚𝑜𝑑 𝑛, và ℎ = 𝐻(𝑀‖𝑟)). Lược đồ này cũng được chứng minh an toàn trong mô hình bộ tiên tri ngẫu nhiên. 2.1.7. Đề xuất một lược đồ chữ ký số dựa trên ECDSA Luận án đề xuất lược đồ ECDSA-IV được định nghĩa trên một nhóm con cấp nguyên tố của nhóm các điểm đường cong Elliptic với kiểu chữ ký số ElGamal nghịch sử dụng phép chiếu ECaddq và hàm băm loại II. Việc sinh tham số miền (p, a, b, G, n, h) của lược đồ đề xuất ECDSA-IV là tương tự như của ECDSA. Thuật toán sinh khóa ECDSA-IV: (1). Chọn ngẫu nhiên một số nguyên d thuộc khoảng [1, n − 1]. (2). Tính 𝑄 = 𝑑𝐺. (3). Khóa bí mật của người gửi là 𝑑. (4). Khóa công khai là bộ tham số(𝑝, 𝑎, 𝑏, 𝐺, 𝑛, ℎ, 𝑄). Thuật toán ký của ECDSA-IV: (1). Chọn ngẫu nhiên một số nguyên 𝑘 thuộc khoảng [1, 𝑛 − 1]. (2). Tính 𝑘𝐺 = (𝑥, 𝑦). (3). Tính 𝑟 = (𝑥 + 𝑦) 𝑚𝑜𝑑 𝑛, nếu 𝑟 = 0, quay về bước 1. (4). Tính ℎ = 𝐻(𝑚, 𝑟), trong đó 𝐻 là hàm băm SHA-256. (5). Tính 𝑠 = 𝑘(ℎ + 𝑑𝑟)−1 mod 𝑛 ; nếu 𝑠 = 0, thì quay về bước 1. (6). Chữ ký đối với thông điệp 𝑀 là cặp số nguyên (𝑟, 𝑠) Thuật toán xác minh của ECDSA-IV: (1). Xác minh rằng giá trị 𝑟 và 𝑠 thuộc khoảng [1, 𝑛 − 1]. (2). Tính ℎ = 𝐻(𝑀, 𝑟), trong đó 𝐻 là hàm băm SHA-256. (3). Tính 𝑢1 = ℎ𝑠 mod 𝑛. (4). Tính 𝑢2 = 𝑟𝑠 𝑚𝑜𝑑 𝑛. (5). Tính 𝑢1 𝐺 + 𝑢2 𝑄 = (𝑥0 , 𝑦0 ). (6). Tính 𝑣 = (𝑥0 + 𝑦0 ) 𝑚𝑜𝑑 𝑛. 14 (7). Chữ ký đối với thông điệp 𝑀 được xác minh là hợp lệ chỉ nếu 𝑣 = 𝑟. 2.1.8. Đánh giá về độ an toàn của lược đồ ECDSA-IV a) Độ an toàn của lược đồ đề xuất trước tấn công lựa chọn thông điệp thích nghi (CMA) trong mô hình nhóm tổng quát (GGM) Khẳng định 2.1: Một lược đồ chữ ký dựa trên bài toán logarit rời rạc là “không có giả mạo tồn tại dưới các tấn công CMA trong mô hình GGM” nếu 𝐻 là đều và kháng va chạm, 𝜌 là hầu đều và hầu khả nghịch, và thuộc một kiểu chữ ký số có tính chất (g1) và (g2). Phép suy dẫn độ an toàn là chặt. Mệnh đề 2.1: Lược đồ chữ ký số đề xuất ECDSA-IV là an toàn trước tấn công CMA trong mô hình GGM. Chứng minh: Để chứng mính lược đồ đề xuất ECDSA-IV là an toàn trước tấn công lựa chọn thông điệp thích nghi (CMA) trong mô hình nhóm tổng quát (GGM) như đã được chứng minh bởi tác giả Brown đối với lược đồ ECDSA, Luận án đã chứng minh phép chiếu 𝜌(𝑅) = (𝑅𝑥 + 𝑅𝑦 ) 𝑚𝑜𝑑 𝑛 thỏa mãn các tính chất: “hầu đều”, “hầu khả nghịch”, và tính chất (g1), (g2). Từ đó, Luận án đã chỉ ra rằng lược đồ đề xuất ECDSAIV thỏa mãn tất cả các yêu cầu trong Khẳng định 2.1. Do đó, thu được kết quả: Lược đồ chữ ký số đề xuất ECDSA-IV là an toàn trước tấn công lựa chọn thông điệp thích nghi (CMA) trong mô hình nhóm tổng quát (GGM).■ b) Độ an toàn của lược đồ đề xuất trước tấn công không sử dụng thông điệp (NMA) trong mô hình bộ tiên tri ngẫu nhiên(ROM) Việc chứng minh độ an toàn của lược đồ đề xuất là tương tự với lược đồ ECDSA-III bằng cách sử dụng Bổ đề forking cải tiến. Bổ đề này sử dụng để chứng minh cho các lược đồ chữ ký kiểu ElGamal tin cậy (Trusted ElGamal Type Signature Scheme- TEGTSS) và áp dụng cho 15 phiên bản đường cong Elliptic của TEGTSS là ECTEGTSS.■ Khẳng định 2.2: Lược đồ chữ ký số đề xuất ECDSA-IV là một kiểu ECTEGTSS và tương đương với kiểu TEGTSS-II. Mệnh đề 2.2: Giả sử tồn tại kẻ tấn công 𝒜 lên lược đồ ECDSA-IV 4 với xác suất thành công là 𝜖 > 𝑝 sử dụng 𝑄 truy vấn tới bộ tiên tri ngẫu nhiên 𝐻, thì người ta có thể giải bài toán logarit rời rạc trong nhóm các điểm của đường cong elliptic 𝐸(𝔽𝑝 ) bằng cách sử dụng ít hơn (1+72𝑄 log 6) 𝜖 1 lần lặp của 𝒜 với xác suất lớn hơn 100. Chứng minh: Tác giả N.P. Smart đã chứng minh TEGTSS-II là an toàn trước tấn công không sử dụng thông điệp (NMA) trong mô hình bộ tiên tri ngẫu nhiên (ROM) bằng cách sử dụng bổ đề forking cải tiến. Cũng bằng cách tương tự, sử dụng bổ đề forking cải tiến, Luận án đã chứng minh lược đồ đề xuất ECDSA-IV là một kiểu TEGTSS-II. Và do đó thu được kết quả: lược đồ ECDSA-IV là an toàn trước tấn công không sử dụng thông điệp (NMA) trong mô hình bộ tiên tri ngẫu nhiên (ROM).■ c) Lược đồ đề xuất ECDSA-IV khắc phục được lỗi chữ ký kép: Dễ dàng thấy rằng lược đồ đề xuất ECDSA-IV khắc phục được lỗi chữ ký kép vì phép chiếu của nó không có tính chất 𝜌(𝑄) = 𝜌(−𝑄). 2.2. Cập nhật tiêu chuẩn an toàn tham số cho khóa bí mật của ECDSA 2.2.1. Giới thiệu Luận án xem xét một vài tấn công chặt chẽ trên ECDSA sử dụng phương pháp rút gọn lưới dựa trên phương trình: 𝑠 = 𝑘 −1 (ℎ(𝑚) + 𝑑𝑟) 𝑚𝑜𝑑 𝑛. 16 2.2.2. Tấn công ECDSA sử dụng một thông báo đã ký Các tấn công được đưa ra và được phát biểu trong công trình công bố của tác giả Dimitrios Poulakis (năm 2013, 2016) như sau: Định lý 2.1. Giả sử có một thông báo đã được ký với khóa bí mật tức thì k và tồn tại các số nguyên dương X, Y thỏa mãn: 3 𝑖) |𝑑| < 𝑋, |𝑘 −1 | < 𝑌 𝑣à 𝑋𝑌 2 < 𝑛/62 𝑖𝑖) |𝑘| < 𝑋, |𝑑−1 | < 𝑌 𝑣à 𝑋𝑌 2 < 𝑛/63/2 𝑖𝑖𝑖) |𝑘 −1 | < 𝑋, |𝑑−1 | < 𝑌 𝑣à 𝑋𝑌 < 𝑛1/2 /63/4 Khi đó tồn tại một thuật toán tất định để tìm khóa bí mật d. 2.2.3. Tấn công ECDSA sử dụng hai thông báo đã ký Định lý 2.2. Giả sử có hai thông báo đã được ký với các khóa bí mật tức thì k1, k2 và điều kiện sau đây đúng: Tồn tại các số nguyên dương X, Y thỏa mãn điều kiện (i) hoặc (ii) hoặc (iii) Khi đó tồn tại một thuật toán tất định để tìm d. 2.2.4. Đề xuất tiêu chuẩn an toàn cho khóa bí mật dài hạn và tức thì của ECDSA Mệnh đề 2.3: Nếu khóa bí mật dài hạn d và khóa bí mật tức thì k được chọn thỏa mãn điều kiện: 3 { |𝑑| > 3√𝑛, |𝑑−1 | > √𝑛 3 |𝑘| > 3√𝑛, |𝑘 −1 | > √𝑛 thì sẽ không tồn tại các số nguyên X>0, Y>0 thỏa mãn Định lý 2.1 và Định lý 2.2. Chứng minh: Thật vậy, giả sử với điều kiện của d và k như trong tiêu chuẩn, tồn tại X>0, Y>0 thỏa mãn Định lý 2.1 (hoặc Định lý 2.2). 3 3 Khi đó ta có √𝑛 < 𝑋, √𝑛 < 𝑌 dẫn đến 𝑛 < 𝑋𝑌 2 < 𝑛/62/3 . Điều này là vô lý.■ 17 2.3. Kết luận Chương 2 Trên cơ sở các yêu cầu đảm bảo an toàn các thành phần mật mã mang tính cấp bách đối với hệ thống PKI phục vụ các cơ quan Đảng, Nhà nước, Quốc phòng, An ninh đặt ra ở Chương 1. Luận án giải quyết vấn đề nâng cao độ an toàn cho lược đồ chữ ký số ECDSA bằng việc đề xuất lược đồ chữ ký số mới ECDSA-IV nhằm khắc phục những hạn chế, tồn tại của ECDSA và các biến thể của nó; đồng thời đề xuất tiêu chuẩn an toàn cho khóa bí mật dài hạn và khóa bí mật tức thì sử dụng trong lược đồ chữ ký số ECDSA. Tiêu chuẩn này cũng áp dụng cho lược đồ chữ ký số đề xuất ECDSA-IV. Các kết quả chính được trình bày trong Chương này bao gồm:  Đề xuất một lược đồ chữ ký số ECDSA-IV. Chứng minh lược đồ đề xuất là an toàn tương đương với ECDSA trong mô hình GGM trước tấn công CMA (Mệnh đề 2.1) và chứng minh lược đồ đề xuất là an toàn trước tấn công NMA trong mô hình ROM (Mệnh đề 2.2).  Phân tích và đánh giá các tấn công lên khóa bí mật dài hạn d và khóa bí mật tức thì k sử dụng trong lược đồ chữ ký số ECDSA, từ đó làm cơ sở để đề xuất một tiêu chuẩn an toàn cho lược đồ ECDSA (Mệnh đề 2.3). Tiêu chuẩn này cũng áp dụng cho lược đồ chữ ký số đã đề xuất ECDSA-IV. 18 CHƯƠNG 3. ĐỀ XUẤT MÔ HÌNH PKI VÀ CÁC THÀNH PHẦN MẬT MÃ DỰA TRÊN MẬT MÃ ELLIPTIC Nội dung chính của Chương này đề xuất mô hình PKI sử dụng mật mã Elliptic (PKI-ECC), đề xuất các thành phần mật mã đảm bảo an toàn cho hệ thống PKI-ECC; trong đó Luận án đề xuất sử dụng lược đồ chữ ký số ECDSA-IV và áp dụng tiêu chuẩn an toàn cho khóa bí mật đã được nghiên cứu ở Chương 2 và một số thành phần đảm bảo an ninh, an toàn cho hệ thống PKI nhằm đảm bảo độ an toàn cao và tính sẵn sàng hoạt động của hệ thống PKI. Bên cạnh đó, Luận án đưa ra một số đánh giá thực nghiệm đối với lược đồ chữ ký số đề xuất ECDSA-IV, cài đặt tiêu chuẩn an toàn cho khóa bí mật dài hạn và tức thì, cài đặt phép nhân điểm an toàn sử dụng trong thuật toán ECDSA nhằm chống lại tấn công phân tích năng lượng đã biết. Nội dung của Chương này liên quan đến các công trình công bố số [2], [3], [4], [5] của Nghiên cứu sinh. 3.1. Mô hình hệ thống PKI tại Việt Nam 3.2. Đề xuất mô hình hạ tầng khóa công khai dựa trên mật mã Elliptic 3.2.1. Cơ sở đề xuất Trên cơ sở các nghiên cứu ở Chương 1 và Chương 2, Luận án đề xuất mô hình PKI dựa trên mật mã Elliptic (PKI-ECC) phục vụ triển khai cho các cơ quan Đảng, Nhà nước, Quốc phòng, An ninh. Mô hình đề xuất đáp ứng các tiêu chí về sự phù hợp với tổ chức bộ máy của các cơ quan Đảng, Nhà nước; đáp ứng yêu cầu cao về đảm bảo an ninh, an toàn hệ thống và an toàn mật mã.
- Xem thêm -

Tài liệu liên quan