用相同的非对称密钥签名不同类型的消息
我希望能够用相同的非对称密钥签署不同类型的消息。(为了完整起见,我使用Ed25519作为签名)。
我为什么要这么做?
相同的密钥用于对不同类型的消息进行签名。如果我不使用某种方法来区分消息类型,攻击者可能会要求我对一种类型的消息签名,然后将其用作另一种类型的消息。
示例粗解
对于一个快速原型,我使用了以下粗糙的方法。
若要签署第1类型的消息:
$\operatorname{符号}文本{key}$
若要签署第2类型的消息:
$\operatorname{符号}文本{key}$
我有一种感觉,这不是在消息类型之间实现良好分离的最佳方法。如果一个类型字符串是另一个类型字符串的子字符串,则尤其如此。例如,我记得HMAC和hkdf使用更复杂的机制(它们不只是连接)。
我不想在这里重新发明轮子。是否有共同的做法来解决这个问题?
回答 1
Cryptography用户
发布于 2018-05-31 16:01:42
只要前缀type1,type2等。都是不同的,大小相同,在所有签名之前都会插入,所提议的是非常好的,也是普遍的做法。
前缀是不同的,大小相等是实现必要和充分要求的简单和简单的方法(因此很好):任何前缀都不能作为另一个前缀的开头。
如果由于某种原因,前缀必须大小不同,则确保满足这一要求的可能约定包括:
- 前缀的字节大小在前缀之前,在1字节上(Pascal字符串约定)。
- 一个特殊的终止字节位于所有前缀的末尾,而不是在前缀的其他地方使用。常见的选择包括字节0x00 (C字符串约定)或分隔符(如
:)。 - 使用评论中提出的不同字符串前缀的散列(SHA-512/256)。因为这是恒定大小的,所以需求归结为使用不发生冲突的字符串前缀,我们甚至不知道如何进行其他操作。
在复杂性谱的高端:每一个签名都可以是每个适当的ASN.1语法。注意复杂性退化为互操作性问题,甚至是可利用的缺陷。
https://crypto.stackexchange.com/questions/59690
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号