[分享]An improved signature scheme without using one-way Hash functions-密码应用-看雪-安全社区|安全招聘|kanxue.com

[分享]An improved signature scheme without using one-way Hash functions

2009-5-7 23:34 9335

[分享]An improved signature scheme without using one-way Hash functions

rockinuk

2009-5-7 23:34

9335

An improved signature scheme without using one-way Hash functions.

Jianhong Zhang*, Yumin Wang**

*College of Science, North China University of Technology, Beijing 100041, China **State Key Lab. On ISN, Xidian University, Xi’an, Shaanxi 710071, China

Abstract
Recently, Chang et al. give a digital signature scheme, where neither one-way hash function nor message redundancy schemes are used, but Zhang et al. has shown that the scheme was forgeable, namely, any one can forge a new signature by the signers signature, and give two forgery attacks. To the above attacks, we give an improved signature scheme based on Chang signature scheme and analyze the security of the improved scheme.

Keywords: Digital signature; Message recovery; Redundancy message; Hash function

導讀:

1)
這是一篇改良版的 digital signature，他主要的方法是用了 XOR 來取代原本的代數運算。
XOR 在硬件(hardware)的實現速度也很快，成本很低廉。改良的方法算是實用。

2)
這個 scheme 是不是不能被破解呢？
這就要看理解不理解它，可不可以找出算法(algorithm)或是其他的漏洞(leakage)。

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

上传的附件：

An improved signature scheme without using one-way Hash functions.pdf （85.47kb，75次下载）

收藏・1

点赞・7

打赏

最新回复 (11)
Loka 雪币： 993 活跃值： (437) 能力值： ( LV12，RANK：403 ) 在线值：发帖 14 回帖 118 粉丝 0 关注私信	Loka 2 2009-5-8 11:05 2 楼 0 这个算法不知道算不算考虑周全？至少从我能理解的角度来看，如果恰好有一个M使得（y+M） mod p = 0，那么后面一大堆的运算是不是都有问题了？
rockinuk 雪币： 2096 活跃值： (100) 能力值： (RANK：420 ) 在线值：发帖 610 回帖 1925 粉丝 6 关注私信	rockinuk 8 2009-5-8 12:07 3 楼 0 1) (y+m)≡0 (mod p ) 是有可能的。不過，它的 probability 有多少？ 2) 若 (y+m)≡0 (mod p )，則 s=0，那 s=0 就會容易被 detect 出來。 3) s=0，則 r=0。後面就算法就沒意義了.....
Loka 雪币： 993 活跃值： (437) 能力值： ( LV12，RANK：403 ) 在线值：发帖 14 回帖 118 粉丝 0 关注私信	Loka 2 2009-5-8 12:16 4 楼 0 几率是小的可怜，但如果从完美主义的角度出发，总觉有点不爽。是可以检测并绕过，不会妨碍实际应用。正是此意。
rockinuk 雪币： 2096 活跃值： (100) 能力值： (RANK：420 ) 在线值：发帖 610 回帖 1925 粉丝 6 关注私信	rockinuk 8 2009-5-8 12:38 5 楼 0 所以，你的問題是可以忽略不計的，雖然你的關點與想法都很正確。除此之外，還有沒有其他的辦法？我想應該是有的。依你聰明才智，不知道會用什麼方法。(我已知的方法有二)
rockinuk 雪币： 2096 活跃值： (100) 能力值： (RANK：420 ) 在线值：发帖 610 回帖 1925 粉丝 6 关注私信	rockinuk 8 2009-9-10 19:24 6 楼 0 Cryptanalysis of a signature scheme without using one-way Hash functions.pdf 上传的附件： Cryptanalysis of a signature scheme without using one-way Hash functions.pdf （137.99kb，22次下载）
没有姓名雪币： 67 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 227 粉丝 0 关注私信	没有姓名 2009-12-6 16:34 7 楼 0 其实我觉得(y+m)≡0 (mod p )的情况可以从应用层上解决。就是加密前的一个编码问题而已。就是说经过编码后让这个M落在我们指定的一个空间。除了参考4的那种方法，你还有想到其他方法吗？说出来参考一下吧。或者说有什么改进的方法吗？我想到让那个k的取值跟M建立某种可验证的关系，这样参考4提到的方法就不可行了。
rockinuk 雪币： 2096 活跃值： (100) 能力值： (RANK：420 ) 在线值：发帖 610 回帖 1925 粉丝 6 关注私信	rockinuk 8 2009-12-7 00:44 8 楼 0 是這樣啊，願聞其詳。請問什麼是「参考4的那种方法」?
没有姓名雪币： 67 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 227 粉丝 0 关注私信	没有姓名 2009-12-7 11:35 9 楼 0 [QUOTE=rockinuk;723100]是這樣啊，願聞其詳。請問什麼是「参考4的那种方法」?[/QUOTE] 就是说，我们的消息M1范围可能是0-2^512-1，而允许的M0范围为1-2^512,那么我们可以先做一个变换：M0=M1+1，然后再对M0加密，解密后再变换回来M1=M0-1。当然这个变换更复杂的情况可以用一直置换表来做，只要是个双射就可以了。我说的参考四的那种方法就是主楼附件pdf中的参考文献4.大概意思是通过伪造M1=y^a(mod p）的签名，其中a是随机选取的，当选择恰当的a就可以构造出指定的消息了。这是会有r=s,所以s(+)t=0 。。。。。前面的是模加，这个符号不好输入，偷懒了。。。
rockinuk 雪币： 2096 活跃值： (100) 能力值： (RANK：420 ) 在线值：发帖 610 回帖 1925 粉丝 6 关注私信	rockinuk 8 2009-12-7 13:36 10 楼 0 如果指的是 http://bbs.pediy.com/showpost.php?p=619498&postcount=1 (An improved signature scheme without using one-way Hash functions)的附件4，那應該會是 [4] S.-P. Shih, C.-T. Lin, W.-B. Yang, H.-M. Sun, Digital multi-signature schemes for authenticating delegates in mobile code systems, IEEE Trans. Veh. Technol. 49 (July) (2000) 1464C1473. 如果指的是 http://bbs.pediy.com/showpost.php?p=684694&postcount=6 (Cryptanalysis of a signature scheme without using one-way Hash functions) 的附件4，那應該會是 [4] YYi X，Slew CK．Attacks on Shieh-Lin-Yang-Sun digital muhisignature schemes for authenticating delegates in mobile code systems． IEEE Trans Veh Techrm 1．2002，51：1313~1315. 我猜你指的那篇文章有可能是指第二個，如果是的話，我沒有那篇。晚一點我去看看Attacks on Shieh-Lin-Yang-Sun digital muhisignature schemes for authenticating delegates in mobile code systems 這篇內容。我個人猜測，你可能對這個帖子的內容沒有完全都閱讀過一遍。或是我表達能力差了點，可能讓你看不太懂。若是這樣子的話，那我要檢討了。上传的附件： Attacks on Shieh-Lin-Yang-Sun digital multisignature schemes for authenticating delegates in mob.pdf （222.34kb，8次下载）
没有姓名雪币： 67 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 227 粉丝 0 关注私信	没有姓名 2009-12-7 17:52 11 楼 0 ......很抱歉，是我看错了。因为刚来这个论坛，看见几个帖子不错，结果几篇论文交叉着来看了......那个参考4忘记是哪一篇的了...... 补充：参考4是指《The XOR Secret in Our Computer System》中的参考4。
rockinuk 雪币： 2096 活跃值： (100) 能力值： (RANK：420 ) 在线值：发帖 610 回帖 1925 粉丝 6 关注私信	rockinuk 8 2009-12-7 18:42 12 楼 0 沒關係，不礙事。你指的『补充：参考4是指《The XOR Secret in Our Computer System》中的参考4。』就是那篇最初始的論文 An improved signature scheme without using one-way Hash functions. 那這樣又遶回原點了。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

rockinuk

610

发帖

1925

回帖

420

RANK

关注

私信

他的文章

[转帖][Cado-nfs-discuss] 795-bit factoring and discrete logarithms (RSA-240 于2019年12月2日被破解)

[转帖]How to factor 2048 bit RSA integers in 8 hours using 20 million noisy qubits

[推荐]RSA-210 has been factored.

Lessons Learned From Previous SSL/TLS Attacks - A Brief Chronology Of Attacks...

关于我们

联系我们

企业服务

看雪公众号

最新回复 (11)
Loka 雪币： 993 活跃值： (437) 能力值： ( LV12，RANK：403 ) 在线值：发帖 14 回帖 118 粉丝 0 关注私信	Loka 2 2009-5-8 11:05 2 楼 0 这个算法不知道算不算考虑周全？至少从我能理解的角度来看，如果恰好有一个M使得（y+M） mod p = 0，那么后面一大堆的运算是不是都有问题了？
rockinuk 雪币： 2096 活跃值： (100) 能力值： (RANK：420 ) 在线值：发帖 610 回帖 1925 粉丝 6 关注私信	rockinuk 8 2009-5-8 12:07 3 楼 0 1) (y+m)≡0 (mod p ) 是有可能的。不過，它的 probability 有多少？ 2) 若 (y+m)≡0 (mod p )，則 s=0，那 s=0 就會容易被 detect 出來。 3) s=0，則 r=0。後面就算法就沒意義了.....
Loka 雪币： 993 活跃值： (437) 能力值： ( LV12，RANK：403 ) 在线值：发帖 14 回帖 118 粉丝 0 关注私信	Loka 2 2009-5-8 12:16 4 楼 0 几率是小的可怜，但如果从完美主义的角度出发，总觉有点不爽。是可以检测并绕过，不会妨碍实际应用。正是此意。
rockinuk 雪币： 2096 活跃值： (100) 能力值： (RANK：420 ) 在线值：发帖 610 回帖 1925 粉丝 6 关注私信	rockinuk 8 2009-5-8 12:38 5 楼 0 所以，你的問題是可以忽略不計的，雖然你的關點與想法都很正確。除此之外，還有沒有其他的辦法？我想應該是有的。依你聰明才智，不知道會用什麼方法。(我已知的方法有二)
rockinuk 雪币： 2096 活跃值： (100) 能力值： (RANK：420 ) 在线值：发帖 610 回帖 1925 粉丝 6 关注私信	rockinuk 8 2009-9-10 19:24 6 楼 0 Cryptanalysis of a signature scheme without using one-way Hash functions.pdf 上传的附件： Cryptanalysis of a signature scheme without using one-way Hash functions.pdf （137.99kb，22次下载）
没有姓名雪币： 67 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 227 粉丝 0 关注私信	没有姓名 2009-12-6 16:34 7 楼 0 其实我觉得(y+m)≡0 (mod p )的情况可以从应用层上解决。就是加密前的一个编码问题而已。就是说经过编码后让这个M落在我们指定的一个空间。除了参考4的那种方法，你还有想到其他方法吗？说出来参考一下吧。或者说有什么改进的方法吗？我想到让那个k的取值跟M建立某种可验证的关系，这样参考4提到的方法就不可行了。
rockinuk 雪币： 2096 活跃值： (100) 能力值： (RANK：420 ) 在线值：发帖 610 回帖 1925 粉丝 6 关注私信	rockinuk 8 2009-12-7 00:44 8 楼 0 是這樣啊，願聞其詳。請問什麼是「参考4的那种方法」?
没有姓名雪币： 67 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 227 粉丝 0 关注私信	没有姓名 2009-12-7 11:35 9 楼 0 [QUOTE=rockinuk;723100]是這樣啊，願聞其詳。請問什麼是「参考4的那种方法」?[/QUOTE] 就是说，我们的消息M1范围可能是0-2^512-1，而允许的M0范围为1-2^512,那么我们可以先做一个变换：M0=M1+1，然后再对M0加密，解密后再变换回来M1=M0-1。当然这个变换更复杂的情况可以用一直置换表来做，只要是个双射就可以了。我说的参考四的那种方法就是主楼附件pdf中的参考文献4.大概意思是通过伪造M1=y^a(mod p）的签名，其中a是随机选取的，当选择恰当的a就可以构造出指定的消息了。这是会有r=s,所以s(+)t=0 。。。。。前面的是模加，这个符号不好输入，偷懒了。。。
rockinuk 雪币： 2096 活跃值： (100) 能力值： (RANK：420 ) 在线值：发帖 610 回帖 1925 粉丝 6 关注私信	rockinuk 8 2009-12-7 13:36 10 楼 0 如果指的是 http://bbs.pediy.com/showpost.php?p=619498&postcount=1 (An improved signature scheme without using one-way Hash functions)的附件4，那應該會是 [4] S.-P. Shih, C.-T. Lin, W.-B. Yang, H.-M. Sun, Digital multi-signature schemes for authenticating delegates in mobile code systems, IEEE Trans. Veh. Technol. 49 (July) (2000) 1464C1473. 如果指的是 http://bbs.pediy.com/showpost.php?p=684694&postcount=6 (Cryptanalysis of a signature scheme without using one-way Hash functions) 的附件4，那應該會是 [4] YYi X，Slew CK．Attacks on Shieh-Lin-Yang-Sun digital muhisignature schemes for authenticating delegates in mobile code systems． IEEE Trans Veh Techrm 1．2002，51：1313~1315. 我猜你指的那篇文章有可能是指第二個，如果是的話，我沒有那篇。晚一點我去看看Attacks on Shieh-Lin-Yang-Sun digital muhisignature schemes for authenticating delegates in mobile code systems 這篇內容。我個人猜測，你可能對這個帖子的內容沒有完全都閱讀過一遍。或是我表達能力差了點，可能讓你看不太懂。若是這樣子的話，那我要檢討了。上传的附件： Attacks on Shieh-Lin-Yang-Sun digital multisignature schemes for authenticating delegates in mob.pdf （222.34kb，8次下载）
没有姓名雪币： 67 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 227 粉丝 0 关注私信	没有姓名 2009-12-7 17:52 11 楼 0 ......很抱歉，是我看错了。因为刚来这个论坛，看见几个帖子不错，结果几篇论文交叉着来看了......那个参考4忘记是哪一篇的了...... 补充：参考4是指《The XOR Secret in Our Computer System》中的参考4。
rockinuk 雪币： 2096 活跃值： (100) 能力值： (RANK：420 ) 在线值：发帖 610 回帖 1925 粉丝 6 关注私信	rockinuk 8 2009-12-7 18:42 12 楼 0 沒關係，不礙事。你指的『补充：参考4是指《The XOR Secret in Our Computer System》中的参考4。』就是那篇最初始的論文 An improved signature scheme without using one-way Hash functions. 那這樣又遶回原點了。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复