专栏首页包罗万想Dan Boneh密码学笔记13

Dan Boneh密码学笔记13

Dan Boneh密码学笔记汇总(思维导图)

Boneh的课程更新到12章就没了,好像明年会继续更新,第一次像追剧一样追一门课。可太刺激了。

13、14章的笔记来自陈老师的课堂。我把PPT贴一下,把需要注释的地方写写。这篇中的重点是签名方案的证明部分。

13.Digital Signature

Applications

Constructions overview

Signatures From Trapdoor Permutations

Security Proofs

Secure Signatures Without Random Oracles

-A new tool: pairings

-BLS: a simple signature from pairings

Reducing signature size

-Signatures with Message Recovery

-Aggregate Signatures

以前公钥加密方案是用pk加密,sk解密。在数字签名中,用私钥sk加密。很容易理解,私钥只有我本人有,相当于我签字嘛。

这个技术用在应用商店软件分发上,防止软件被恶意篡改,虽然好像MAC也可以做,但是MAC需要总部(云服务应用商店)跟每台客户端都建立一对共享密钥,比较麻烦。用签名的话,总部只要签一次,把公钥给你们发下去,你们验证就行了。

为了区分以前的选择明文攻击,这里换个名词,叫做选择消息攻击。CMA

选B

选C,Alice说自己私钥被偷了。法院到底该不该把数字签名当做证据呢?有争议。

就是我上面讲到的应用分发的问题。

CA证书,参考这篇,在此处了解即可。

Day3证书、SSL/TLS

选C

还可以用在智能卡上,这块芯片可以防侧信道攻击。

DKIM针对的目标是互联网最严重的威胁之一:电子邮件欺诈。

一般来说,发送方会在电子邮件的标头插入DKIM-Signature及电子签名资讯。而接收方则透过DNS查询得到公钥后进行验证。

DKIM让企业可以把加密签名插入到发送的电子邮件中,然后把该签名与域名关联起来。签名随电子邮件一起传送,而不管是沿着网络上的哪条路径传送,电子邮件收件人则可以使用签名来证实邮件确实来自该企业。

DKIM 的基本工作原理同样是基于传统的密钥认证方式,他会产生两组钥匙,公钥(public key)和私钥(private key),公钥将会存放在 DNS 中,而私钥会存放在寄信服务器中。数字签名会自动产生,并依附在邮件头中,发送到寄信者的服务器里。公钥则放在DNS服务器上,供自动获得。收信的服务器,将会收到夹带在邮件头中的签名和在DNS上自己获取公钥,然后进行比对,比较寄信者的域名是否合法,如果不合法,则判定为垃圾邮件。由于数字签名是无法仿造的,因此这项技术对于伪造域名的垃圾邮件制造者将是一次致命的打击,他们很难再像过去一样,通过盗用发件人姓名、改变附件属性等小伎俩达到目的。在此之前,垃圾邮件制造者通过把文本转换为图像等方式逃避邮件过滤,并且使得一度逐渐下降的垃圾邮件数目再度抬头。

选NO,反正肯定是有问题的,让你签名你就签,非要整个哈希。我猜如果不签名的话,会影响身份认证。(评论区求说法)

假设收件人可以针对收到的每封电子邮件从DNS检索新数据,Gmail是否可以在没有签名的情况下实施DKIM?(暂时忽略DNS系统上增加的负载)

是的,Gmail会将每封传出电子邮件的防冲突哈希值写入DNS。收件人从DNS检索哈希值,然后将其与传入消息的哈希值进行比较。

不,以上建议是不安全的。

⇒签名减少了收件人查询DNS的频率

一般而言:

•如果一方签字并由一方进行验证:使用MAC –通常需要进行交互以生成共享密钥–收件人可以在将数据传递给第三方之前修改数据并重新签名。

•如果一方签字并经多方验证:请使用签名–收件人无法在将数据传递给第三方之前修改接收到的数据(不可否认)

选YES

full domain hash 意思是哈希msg的结果对应的是TDF的输入的空间。

在这里如果不哈希的话,就相当于是教科书版的RSA,不能满足CPA安全,我们需要哈希来增加随机值。所以选no

RSA需要2000bits长的模数n

所以常用哈希算法比如sha-256, H(m)的结果长度只有二百多或者五百多,不能直接用。

PKCS1 不是FDH,现在广泛应用在工业界,理论上还不能证明是安全的,但是工业界很流行,目前也没找到漏洞。

选A,如果EM是某个值x的三次方。3d=1,验证σ的时候暴露了EM了。

前面的看看就行了,重点要掌握下面的证明

以前我们是后做RO询问,在这个game里面,为了达到证明的目的,先做RO询问,这也是本方法巧妙的地方。

先做RO询问(图中第一个圈)

我(us/B)随机找个xi,和pk做一下,生成的东西赋值给H(mi)这就是映射表。

然后我随机挑一个把我要求的赋值给他,把y返还给了A。y就是我埋在这里的问题,y是我要解决的问题。

签名询问的时候,我返回xi就行。A收到xi是可以通过验证的。

签名询问的m一定是刚才RO询问问过的m。

但是呢,签名询问不能问mi*,因为B没有收到x,B没办法回答mi*的签名。mi*是我埋在A多次询问里面的一个我需要利用的y(为了获得x)。你签名询问我*的时候我是给不了正确的签名的。game就中断了。问到i*的概率是小的,所以可以欺骗A。

我们希望A可以伪造一个i*的签名,在最后A要伪造(m,σ)的时候,如果这个m正好就是mi*,这对伪造(m,σ)通过验证的优势就是B利用A打破TDP的优势。

最后问的伪造m是Qro问过的,Qs没有问过。

所以这里有个系数关系,是qH也就是RO查询的次数。

B的这个表就是随机预言机的表记录了m和x的映射关系。

选A

PSS忽略

双线性对,稍后作业9的部分我会再讲。

把消息m隐藏在签名σ里面,节约开销。

把蓝色方框内看懂就行。

选No。

集合签名

生成的最后的签名σ*可以保证这一群人都签过了。还有算法能保证他们签名的顺序。具体怎么做的,不需要了解。

本文分享自微信公众号 - 包罗万想(An-mind),作者:安包

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-12-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • GCAC56 13.2 Extending the message space with Hash

    13.2 Extending the message space with collision resistant hashing

    安包
  • GCAC65 14.1 Basic Lamport signatures

    参考资料:http://www.qukuaiwang.com.cn/news/142627.html

    安包
  • Short Group Signatures

    论文地址:https://link.springer.com/chapter/10.1007/978-3-540-28628-8_3

    安包
  • 什么是苹果iOS超级签名源码系统?

    数字签名(又称公钥数字签名、电子签章等)是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。一套数字签名通常定义两种互...

    布谷安妮
  • 微应用模式在集团企业移动信息化中的实践

    随着移动互联网的快速发展及智能手机的不断普及,越来越多的企业将“移动化”作为优先的IT需求。在移动建设早期企业大多采用独立的建设思路,然而越来越多的业务系统要上...

    yuanyi928
  • 详解ES7的async及webpack配置async

    版权声明:本文为吴孔云博客原创文章,转载请注明出处并带上链接,谢谢。 https://blog.csdn.net/wkyseo/articl...

    空空云
  • 数据挖掘duang duang duang的前世今生 兼谈社交媒体的舆情传播

    好像一夜之间,其实就是一夜之间,duang这个词火了,火得一塌糊涂。我们先来看看它火到什么程度。从今天(26日)早9:00-19:00这段时间关键词“duang...

    CDA数据分析师
  • 央视点赞:武大学学生用Python画出樱花开放

    近期正好是一年一度的樱花季,往年的此时大家应该纷纷出门赏樱花,但是由于疫情影响,大家为了响应国家号召,尽量不出门。武汉大学,曾经是赏花的胜地,但是现在武汉是本次...

    我被狗咬了
  • 3 C++ Boost 字符,文本

    py3study

扫码关注云+社区

领取腾讯云代金券