DSA

DSA — elektron imzo yaratish uchun shaxsiy kalitdan kriptografik algoritm, lekin shifrlash uchun emas . Imzo yashirincha (maxfiy kalit bilan) yaratiladi, lekin uni ommaviy ravishda tekshirish mumkin (ommaviy kalit bilan). Bu shuni anglatadiki, faqat bitta subyekt xabar imzosini yaratishi mumkin, ammo har kim uning toʻgʻriligini tekshirishi mumkin. Algoritm chekli sohalarda logarifmlarni olishning hisoblash murakkabligiga asoslangan. Algoritm 1991-yil avgust oyida Milliy standartlar va texnologiyalar instituti (AQSh) tomonidan taklif qilingan va patentlangan Andoza:Sfn , NIST ushbu patentni royaltisiz foydalanish uchun taqdim etgan. DSA <b id="mwGg">DSS</b> ning bir qismidir Raqamli imzo standarti – birinchi marta 1998-yil 15-dekabrda nashr etilgan raqamli imzo standarti. Standart bir necha marta yangilangan Andoza:Sfn Andoza:Sfn, eng oxirgi versiyasi FIPS-186-4 Andoza:Sfn (2013-yil iyul).

DSA ikkita algoritmni (S, V) oʻz ichiga oladi: xabar imzosini yaratish (S) va uni tekshirish uchun (V) iborat. Yana bir qancha qoʻshimchalar mavjud. Ikkala algoritm ham birinchi navbatda kriptografik hash funktsiyasidan foydalangan holda xabarning xeshini hisoblab chiqadi. Algoritm S imzo yaratish uchun xesh va shaxsiy kalitdan foydalanadi, V algoritmi imzoni tekshirish uchun xabar xeshi, imzo va ochiq kalitdan foydalanadi. Yaʼni barchasi umumlashgan holda ishlaydi. Shuni taʼkidlash kerakki, aslida imzolangan xabar emas, balki uning xeshi (160 – 256 bit), shuning uchun toʻqnashuvlar muqarrar va bitta imzo, umuman olganda, bir xil xeshli bir nechta xabarlar uchun amal qiladi. . Shuning uchun, etarlicha „yaxshi“ hash funktsiyasini tanlash butun tizim uchun juda muhimdir. Standartning birinchi versiyasida SHA-1 xesh funktsiyasi ishlatilgan Andoza:Sfn Andoza:Sfn , soʻnggi versiyada siz SHA-2 oilasining istalgan algoritmidan ham foydalanishingiz mumkin Andoza:Sfn Andoza:Sfn . 2015-yil avgust oyida yangi SHA-3 xesh funksiyasini tavsiflovchi FIPS-202 Andoza:Sfn nashr etildi. Tizim ishlashi uchun muallifning haqiqiy maʼlumotlari (bu jismoniy shaxs yoki tashkilot boʻlishi mumkin) va ochiq kalitlar, shuningdek elektron raqamli imzo sxemasining barcha kerakli parametrlari .

Elektron raqamli imzo tizimini yaratish uchun siz quyidagi bosqichlarni bajarishingiz kerak. Albatta ketma ketlikda:

1. H(x) kriptografik xesh funksiyasini tanlash.
2. Bitlardagi N oʻlchami H(x) xesh funktsiyasining bitlardagi oʻlchamiga toʻgʻri keladigan q tub sonini tanlash.
3. (p-1) q ga boʻlinadigan p tub sonni tanlash. p ning bit uzunligi L bilan belgilanadi.
4. g raqamini tanlash (${\displaystyle g\ne 1}$) shundayki, uning koʻpaytma tartibi moduli p q ga teng. Uni hisoblash uchun siz formuladan foydalanishingiz mumkin ${\displaystyle g=h^{(p-1)/q}modp}$, bu yerda h – ixtiyoriy son, ${\displaystyle h\in (1;p-1)}$ shu kabi ${\displaystyle g\ne 1}$ . Aksariyat hollarda h = 2 qiymati bu talabni qondiradi. Andoza:Sfn

Yuqorida aytib oʻtilganidek, raqamli imzo sxemasining birinchi parametri kriptografik xesh funktsiyasidan foydalaniladi, bu xabar matnini imzo hisoblangan raqamga aylantirish uchun zarurdir. DSS standartining birinchi versiyasi SHA-1 funksiyasini Andoza:Sfn tavsiya qildi va shunga mos ravishda imzolangan raqamning bit uzunligi 160 bit Andoza:Sfn Andoza:Sfn . Standart L va N raqamlari uchun quyidagi mumkin boʻlgan qiymat juftlarini belgilaydi:

1. L = 1024, N = 160
2. L = 2048, N = 224
3. L = 2048, N = 256
4. L = 3072, N = 256

Ushbu standart SHA-2 xesh funktsiyalari oilasini tavsiya qiladi. AQSh hukumati tashkilotlari dastlabki uchta variantdan birini qoʻllashi kerak; CAlar abonentlar ishlatadigan juftlikka teng yoki undan yuqori boʻlgan juftlikdan foydalanishlari kerak Andoza:Sfn . Tizim dizayneri istalgan yaroqli xesh funksiyasini tanlashi mumkin. DSA-ga asoslangan kriptotizimning kuchi ishlatiladigan xesh funktsiyasining kuchidan va juftlikning (L, N) kuchidan oshmaydi, ularning kuchi alohida raqamlarning har birining kuchidan katta emas. Hozirgi vaqtda 2010 yilgacha (2030 yilgacha) chidamli boʻlishi kerak boʻlgan tizimlar uchun tavsiya etilgan uzunlik 2048 (3072) bitni tashkil qiladi. Andoza:Sfn Andoza:Sfn

1. Yashirin kalit – bu raqam ${\displaystyle x\in (0,q)}$
2. Ochiq kalit formuladan foydalanib hisoblanadi ${\displaystyle y=g^{x}modp}$

Umumiy parametrlar raqamlardir (p, q, g, y) . Faqat bitta shaxsiy parametr mavjud – x raqami. Bunday holda, raqamlar (p, q, g) foydalanuvchilar guruhi uchun umumiy boʻlishi mumkin va x va y raqamlari mos ravishda maʼlum bir foydalanuvchining shaxsiy va ochiq kalitlari hisoblanadi. Xabarga imzo qoʻyishda x va k maxfiy raqamlari qoʻllanadi. (p, q, g) bir nechta foydalanuvchilar uchun ishlatilishi mumkinligi sababli, baʼzi bir mezonlarga koʻra bir xil (p, q, g) guruhlarga boʻlinadi.

Xabar quyidagi algoritm Andoza:Sfn yordamida imzolanadi :

1. Tasodifiy raqamni tanlash ${\displaystyle k\in (0,q)}$
2. Hisoblash ${\displaystyle r=(g^{k}modp)modq}$
3. Agar boshqa k ni tanlash ${\displaystyle r=0}$
4. Hisoblash ${\displaystyle s=k^{-1}(H(m)+x\cdot r)modq}$
5. Agar boshqa k ni tanlash ${\displaystyle s=0}$
6. Imzo juftlikdir ${\displaystyle (r,s)}$ umumiy uzunligi ${\displaystyle 2N}$

Hisoblash jihatidan murakkab operatsiyalar koʻrsatkich moduli (hisoblash ${\displaystyle g^{k}modp}$), ular uchun tezkor algoritmlar mavjud, xeshni hisoblash ${\displaystyle H(x)}$, bu yerda murakkablik tanlangan xesh algoritmiga va kirish xabarining oʻlchamiga va teskari elementni topishga bogʻliq.

Imzoni tekshirish algoritmga muvofiq amalga oshiriladi Andoza:Sfn :

1 Funksiyani hisoblashda ${\displaystyle w=s^{-1}modq}$ formulada
2 Funksiyani Hisoblashda ${\displaystyle u_1=H(m)\cdot wmodq}$ formulada
3 Funksiyani  Hisoblashda ${\displaystyle u_2=r\cdot wmodq}$ formulada
4 Funksiyani Hisoblash ${\displaystyle v=(g^{u_1}\cdot y^{u_2}modp)modq}$ formuladan ko`pincha foydalaniladi.
5 Imzo to'g'ri bo'lsa ${\displaystyle v=r}$

Hisoblab chiqish jihatidan murakkab funksiyalarni tekshirganda, bu ikkita eksponentatsiya ${\displaystyle g^{u_1}{y}^{u_2}}$, xeshni hisoblash ${\displaystyle H(x)}$ va teskari qismni topish ${\displaystyle s^{-1}modq}$ . Bu funksiyalar oʻzi muhim.

Ushbu elektron raqamli imzo sxemasi shu darajada toʻgʻri boʻladiki, imzoning haqiqiyligini tekshirishni istagan har bir kishi haqiqiylik holatida har doim ijobiy natija oladi. Bunda chiqishi mumkin emas. Chunki bular shaxsiydir. Keling, buni koʻrsatamiz:Birinchidan, agar ${\displaystyle g=h^{(p-1)/q}modp}$, ${\displaystyle g^q=h^{p-1}=1modp}$ . g >1 va q tub son ekan, u holda g q moduli p ning koʻpaytma tartibida. Xabar imzosi uchun u hisoblanadi

${\displaystyle s=k^{-1}(H(m)+x\cdot r)modq.}$

Shuning uchun

${\displaystyle k=H(m)\cdot s^{-1}+x\cdot r\cdot s^{-1}=H(m)\cdot w+x\cdot r\cdot wmodq.}$

g q tartibli boʻlgani uchun biz olamiz

${\displaystyle g^k=g^{H(m)\cdot wmodq}{g}^{x\cdot r\cdot wmodq}=g^{H(m)\cdot wmodq}{y}^{r\cdot wmodq}=g^{u1}{y}^{u2}modp.}$

Nihoyat, DSA sxemasining toʻgʻriligi shundan kelib chiqadi

${\displaystyle r=(g^{k}modp)modq=(g^{u1}{y}^{u2}modp)modq=v.}$Andoza:Sfn

Xesh qiymati bizning xabarimizning funktsiyasi boʻlsin ${\displaystyle H=9}$ .

1. ${\displaystyle H=9_{10}=1001_2}$
2. hash uzunligi ${\displaystyle 4}$, bu siz tanlashingiz mumkin degan maʼnoni anglatadi ${\displaystyle q=11_{10}=1011_2}$
3. tanlaylik ${\displaystyle p=23}$, chunki ${\displaystyle 23-1=22=2*q}$
4. tanlaylik ${\displaystyle g=2^2=4}$

1. maxfiy kalit sifatida biz tanlaymiz ${\displaystyle x=7}$
2. keyin umumiy kalit ${\displaystyle y=g^{x}modp=4^{7}mod23=16384mod23=(712\cdot 23+8)mod23=8}$

1. tanlaylik ${\displaystyle k=3}$
2. Keyin ${\displaystyle r=(g^{k}modp)modq=(4^{3}mod23)mod11=7}$
3. ${\displaystyle r\ne 0}$, davom etishga ruxsat
4. ${\displaystyle s=k^{-1}(H(m)+x\cdot r)modq=4(9+7\cdot 7)mod11=1}$, bu hisobga olinadi ${\displaystyle 3^{-1}mod11=4}$
5. ${\displaystyle s\ne 0}$, davom etishga ruxsat
6. imzo juft raqamlardan iborat ${\displaystyle (r,s)=(7,1)}$

1. ${\displaystyle w=s^{-1}modq=1^{-1}mod11=1}$
2. ${\displaystyle u_1=H(m)\cdot wmodq=9\cdot 1mod11=9}$
3. ${\displaystyle u_2=r\cdot wmodq=7\cdot 1mod11=7}$
4. ${\displaystyle v=(g^{u_1}\cdot y^{u_2}modp)modq=(4^9\cdot 8^{7}mod23)mod11=7}$
5. tushundim ${\displaystyle v=r}$, keyin imzo toʻgʻri.

DSA algoritmi diskret logarifmlarni hisoblash qiyinligiga asoslanadi va klassik El-Gamal sxemasining Andoza:Sfn modifikatsiyasi boʻlib, bu yerda xabar xeshlash qoʻshiladi va barcha logarifmlar quyidagi tarzda hisoblanadi. ${\displaystyle modq}$, bu sizga analoglarga nisbatan imzoni qisqartirish imkonini beradi . U GOST R 34.10-2012 standarti bilan almashtirildi [13], bu elliptik egri nuqtalar guruhidan foydalanadi. Shunga oʻxshash modifikatsiya, yaʼni. Koʻpaytma guruhi modulidan tub sondan elliptik egri chiziqning nuqtalar guruhiga oʻtish DSA – ECDSA Andoza:Sfn uchun ham mavjud . U, masalan, bitcoin kriptovalyutasida tranzaktsiyalarni tasdiqlash uchun ishlatiladi. Ushbu tarjima xavfsizlikni buzmasdan kalitlarning hajmini qisqartirish imkonini beradi – bitkoin tizimida shaxsiy kalitning oʻlchami 256 bit, mos keladigan ochiq kalit esa 512 bit. Yana bir umumiy ochiq kalit algoritmi, RSA (mualliflar nomi bilan atalgan: Rivest, Shamir, Adleman) katta raqamlarni faktoring qilish qiyinligiga asoslangan.

Algoritmga qilingan har qanday hujumni quyidagicha taʼriflash mumkin: buzgʻunchi barcha ochiq imzo parametrlarini va maʼlum bir juftlik toʻplamini oladi va ushbu toʻplamdan foydalanib, yangi imzo yaratishga urinadi. Ushbu hujumlarni ikki guruhga boʻlish mumkin – birinchidan, tajovuzkor maxfiy kalitni tiklashga harakat qilishi mumkin ${\displaystyle x}$, va keyin u darhol istalgan xabarni imzolash imkoniyatini qoʻlga kiritadi, ikkinchidan, u maxfiy kalitni toʻgʻridan-toʻgʻri tiklamasdan yangi xabar uchun haqiqiy imzo yaratishga harakat qilishi mumkin. Bu havfsizlik parametrlarini buzadi. Imzonoi buzib kirish imkoni paydo boʻladi.

${\displaystyle k}$ tizim xavfsizligi uchun juda muhim. Agar bir nechta ketma-ket parametr bitlari maʼlum boʻlsa ${\displaystyle k}$ bir qator imzolar uchun, keyin maxfiy kalit yuqori koeffitsiyent bilan tiklanishi mumkin. Andoza:Sfn Kalit yoʻqolgan taqdirda tiklash imkonini beradi. Ikkita xabar uchun parametrni takrorlash tizimni oddiy buzishga olib keladi. Android uchun bitcoin tizimining baʼzi ilovalarida tajovuzkor hamyonga kirish huquqiga ega boʻlishi mumkin. Andoza:Sfn Andoza:Sfn Ikkala misolda ham ECDSA tizimi Andoza:Sfn ishlatilgan. Agar ikkita xabar uchun ${\displaystyle m_1,m_2}$ Xuddi shu parametr ishlatilgan ${\displaystyle k}$, keyin ularning imzolari ${\displaystyle (r,s)}$ xuddi shunday boʻladi ${\displaystyle r}$, lekin boshqacha ${\displaystyle s}$, keling, ularni chaqiramiz ${\displaystyle s_1,s_2}$ . Algaritmlarda toʻgʻri foydalana bilish kerak. Uning s1 , s2 funksidan foydalanish

uchun ifodasidan ${\displaystyle s}$ umumiy ifodalanishi mumkin ${\displaystyle k}$ :

${\displaystyle k=(H(m)+xr)s^{-1}modq}$ .

Va umumiy miqdorni tenglashtiring ${\displaystyle k}$ turli xabarlar uchun:

${\displaystyle (H(m_1)+xr)s_1^{-1}modq=(H(m_2)+xr)s_2^{-1}modq}$

Bu yerdan maxfiy kalitni ifodalash oson ${\displaystyle x}$ :

${\displaystyle x=\frac{H(m_1)s_1^{-1}-H(m_2)s_2^{-1}}{r(s_2^{-1}-s_1^{-1})}}$

Baʼzi raqamli imzo algoritmlari mavjud soxtalik bilan hujum qilishi mumkin. Gap shundaki, imzo uchun faqat umumiy parametrlardan foydalangan holda toʻgʻri xabarni yaratish mumkin (ammo bu odatda mantiqiy emas). DSA sxemasi imzosi uchun ${\displaystyle r=g^{e}ymodpmodq}$, ${\displaystyle s=r}$ har qanday vaqtda ${\displaystyle e}$ xash bilan xabar uchun toʻgʻri ${\displaystyle H(m)=es}$ . Mos kelishi mumkin. Agar xesh funktsiyasi toʻgʻri tanlangan boʻlsa, DSA algoritmi ushbu hujumdan himoyalangan, chunki kriptografik xesh funktsiyasi teskari ${\displaystyle k}$ topish ${\displaystyle m}$ shu kabi ${\displaystyle H(m)=k}$) hisoblash jihatidan murakkab masala. Andoza:Sfn

Imzoning amal qilish sharti boshqa shaklda qayta yozilishi mumkin${\displaystyle g^{ks}modpmodq=g^{H(m)+xr}modpmodq}$ bu tenglama ekvivalent

${\displaystyle H(m)modq=ks-xrmodq}$ Bu shuni anglatadiki, kalitni tiklash uchun buzuvchi shakldagi tenglamalar tizimini hal qilishi kerak deb taxmin qilishimiz mumkin. ${\displaystyle H(m_i)modq=k_i{s}_i-x{r}_{i}modq}$ lekin bu tizimda nomaʼlum ${\displaystyle x}$ va tamom ${\displaystyle k_i}$, yaʼni nomaʼlumlar soni tenglamalardan bitta koʻp va har qanday uchun ${\displaystyle x}$ boʻladi ${\displaystyle k_i}$, tizimni qondirish. q katta tub son boʻlgani uchun tiklash uchun ${\displaystyle xmodq}$ eksponensial sonli juftlik (xabar, imzo) talab qilinadi. Andoza:Sfn Juftliklar boʻlmagan taqdirda tizimga kirish uchun qayta tiklash parametrlari mos kelmaydi. Shuning uchun bularga katta eʼtibor qaratish kerak.

Siz maxfiy kalitni bilmasdan imzo soxtalashtirishga harakat qilishingiz mumkin.${\displaystyle r^{s}modpmodq=g^{H(m)}{y}^{r}modpmodq}$ nisbatan ${\displaystyle r}$ Va ${\displaystyle s}$ . Har bir oʻzgarmas uchun ${\displaystyle r}$ tenglama diskret logarifmni hisoblashga teng. Andoza:Sfn Huddi s kabi hisoblash.

Litsenziya shartlari algoritmni dasturiy va apparat vositalarida amalga oshirish imkonini beradi. NIST DSAVS ni yaratdi Andoza:Sfn. DSAVS har bir tizim komponentini boshqalardan mustaqil ravishda tekshiradigan bir nechta muvofiqlik test modullaridan iborat. Sinov qilingan amalga oshirish komponentlari:

1. Domen parametrlarini yaratish
2. Domen parametrlari tekshirilmoqda
3. Ommaviy-xususiy kalitlar juftligini yaratish
4. Imzo yaratish
5. Imzoni tekshirish

Amalga oshirishni tekshirish uchun ishlab chiquvchi CMT laboratoriyasida uning bajarilishini sinab koʻrish uchun ariza topshirishi kerak .

DSA algoritmi ikkita tub sonni talab qiladi (𝑝 Va 𝑞), shuning uchun tub yoki psevdo tub sonlar generatori kerak.tub sonlarni hosil qilish uchun Shou-Teylor algoritmidan foydalaniladi Andoza:Sfn . Psevdoprimalar xesh funksiyasi yordamida yaratiladi va birlamchilikni tekshirish uchun Miller-Rabin probabilistik testidan foydalaniladi. Andoza:Sfn Kerakli takrorlashlar soni ishlatilgan raqamlarning uzunligiga va tekshirish algoritmiga bogʻliq Andoza:Sfn . Yaʼni barcha algoritmlar bir biriga bogʻliq:

Algoritm tasodifiy yoki psevdo-tasodifiy raqamlar generatorini ham talab qiladi. Ushbu generator shaxsiy foydalanuvchi kalitini yaratish uchun kerak boʻladi x va s . Standart blokli shifrlar yoki xesh funksiyalari yordamida psevdor tasodifiy raqamlarni yaratishning turli usullarini taklif qiladi. Andoza:Sfn Andoza:Sfn Har bir usul universal boʻlishi mumkin.

Andoza:Manbalar

• FIPS. PUB 186-1 (angl.).
• FIPS. PUB 186-2 (angl.).
• FIPS. PUB 186-3 (angl.).
• FIPS. PUB 186-4 (angl.).
• FIPS. PUB 180-4 (angl.). Arxivirovano 26 noyabrya 2016 goda.
• FIPS. PUB 202 (angl.).
• FIPS. PUB 202 (angl.).
• David W. Kravitz. Digital signature algorithm 5231668 A (angl.).
• NIST Special Publication 800-57 Part 1Revision 4. Recommendation for Key Management (angl.).
• GOST R 34.10-2012. Informatsionnie texnologii. Kriptograficheskaya zaщita informatsii. Protsessi formirovaniya i proverki elektronnoy sifrovoy podpisi (rus.).
• The Digital Signature Algorithm Validation System (angl.).

• Marc Stevens, Pierre Karpman, Thomas Peyrin. Freestart collision for full SHA-1 (angl.).
• NIST Special Publication 800-90A Recommendation for Random Number Generation Using Deterministic Random Bit Generators (angl.).
• J. Shawe-Taylor. Generating strong primes (angl.).
• Xiaoyun Wang, Yiqun Lisa, Hongbo Yu. Finding Collisions in the Full SHA-1 (angl.).
• Phong Q. Nguyen, Igor E. Shparlinski. The Insecurity of the Digital Signature Algorithm with Partially Known Nonces (angl.).
• David Pointcheval, Jacques Stern. Security Arguments for Digital Signatures and Blind Signatures (angl.).
• Markus Schmid. ECDSA – Application and Implementation Failures (angl.).
• Don Johnson, Alfred Menezes, Scott Vanstone. The Elliptic Curve Digital Signature Algorithm (ECDSA) 
• Joppe W. Bos, J. Alex Halderman, Nadia Heninger, Jonathan Moore, Michael Naehrig, Eric Wustrow. Elliptic Curve Cryptography in Practice (angl.).

Andoza:Turkumsiz