Khảo sát các chữ kí số dựa trên hệ RSA, nghiên cứu lược đồ chữ kí RSA PSS và những chuẩn hóa

Nó dựa trên các công cụ toán học cơ bản như: lýthuyết số học-cụ thể lý thuyết đồng dư thức, logarit rời rạc, lý thuyết về độ phức tạptính toán hàm một chiều cũng như khả năng phân tích c

MỤC LỤC

LỜI CẢM ƠN

LỜI CAM ĐOAN

CÁC KÝ HIỆU VIẾT TẮT

MỞ ĐẦU

Chương 1 NGHIÊN CỨU HỆ MẬT KHOÁ CÔNG KHAI

1.1 Lịch sử ra đời và phát triển

1.2 Định nghĩa hệ mật khoá công khai

1.3 Tính an toàn của hệ mật mã

1.4 Thám mã chống lại hệ mật khoá công khai

1.5 Sự cần thiết của việc xác minh hệ thống khóa công khai

1.5 So sánh hệ mật khóa đối xứng và hệ mật khóa công khai

1.5.1 1.5.2 1.5.3 1.5.4 1.6 Hệ chữ ký số

1.6.1 1.6.2 1.6.3 Chương 2 NGHIÊN CỨU HỆ MẬT VÀ CHỮ KÝ SỐ RSA

2.1 Tính an toàn các thuật toán mã hoá

2.2 Hệ mật RSA

2.2.1 2.2.2

2.2.3 Quá trình giải mã 272.2.4 Chuyển đổi văn bản rõ 282.2.5 Tính không an toàn của hệ mật RSA 292.2 Hệ chữ ký số RSA 32

2.2.1 Định nghĩa hệ chữ ký số RSA 322.2.2 Hệ thống ký hiệu an toàn cho lược đồ ký số 33

2.2.3 Tính an toàn 34

Chương 3 CHỮ KÝ SỐ RSA-PSS 35

3.1 Tổng quan về sơ đồ chữ ký RSA-PSS 35

3.1.1 RSA-PSS hoạt động như thế nào ? 36

3.1.2 Ưu thế của RSA-PSS 383.1.3 Các công trình chuẩn 393.1.4 Một số nhận xét về lược đồ ký RSA-PSS 403.2 Định nghĩa lược đồ ký PSS2000 40

3.2.1 Lược đồ ký điện tử PSS96 403.2.2 Lược đồ ký điện tử PSS2000 41

3.2.3 Lược đồ tổng quát hóa 433.2.4 Định nghĩa lược đồ RSA-GENPSS 44

3.2.5 Các mô hình an toàn 473.2.6 Một số xem xét về vấn đề lưu trữ 48

3.2.7 Phân tích cấu trúc hàm băm 49

3.2.8 Phân tích chuỗi cố định E (bc) 51

Chương 4 SỰ CHUẨN HOÁ CỦA LƯỢC ĐỒ KÝ RSA-PSS 54

4.1 Nguyên lý chung 544.2 Các hàm chuyển đổi dữ liệu 55

4.2.1 Hàm cơ sở chuyển đổi từ dạng số sang dạng chuỗi Octet 55

4.2.2 Hàm chuyển đổi từ dạng Octet sang dạng số nguyên 55

2

4.3 Các phép toán mật mã cơ sở 56

4.3.1 Phép toán cơ sở RSASP1 56 4.3.2 Phép toán cơ sở RSAVP1 57 4.3.3 Phương pháp định dạng cho cho chữ ký với phần nối thêm vào 58 4.4 Lược đồ ký với phần nối thêm vào 64

4.4.1 Thao tác sinh chữ ký 65 4.4.2 Thao tác kiểm tra chữ ký 66 4.5 Tiêu chuẩn tham số sử dụng trong chữ ký số RSA-PSS 67

Chương 5 CHỨNG MINH TÍNH AN TOÀN TỐI ƯU CHO LƯỢC ĐỒ KÝ DỰA VÀO PHƯƠNG PHÁP XÁC SUẤT 70

5.1 Các định nghĩa 70

5.2 Một biến thể của PSS 72

5.3 Áp dụng PSS 76

5.4 Chứng minh tính an toàn tối ưu cho PSS 80

5.5 Bàn luận thêm 85

Chương 6 CHỨNG MINH TÍNH AN TOÀN CHO LƯỢC ĐỒ KÝ RSA-PSS 86

6.1 Kết quả chính 86

6.2 RSA-PSS với việc khôi phục thông điệp 93

6.3 Các mô hình an toàn của lược đồ ký RSA-PSS với việc khôi phục thông điệp 95

KẾT LUẬN 97

TÀI LIỆU THAM KHẢO 98

MỞ ĐẦU

Trong kỷ nguyên công nghệ thông tin, Internet tại Việt Nam đã và đang cónhững bước phát triển mạnh mẽ, tạo nền tảng cho những ứng dụng hết sức đa dạng vàphong phú như chính phủ điện tử, giao dịch điện tử, truyền thông giải trí Tuy nhiênmột vấn đề lâu nay vẫn gây lo ngại cho các cấp quản lý cũng như đông đảo quầnchúng và giới doanh nghiệp, đó là tính an toàn Trên thực tế, rất nhiều website vàthông tin dữ liệu về sản phẩm dịch vụ do không đảm bảo tính toàn vẹn đã bị sụp đổ.Các hacker có thể thâm nhập vào những hệ thống của các “đại gia” như Microsoft,Cisco, ở Việt Nam thì VDC, FPT cũng bị hacker thâm nhập Việc bị cướp tên miềncũng xảy ra nhiều lần

Cho tới nay, việc mã hoá dữ liệu là một phương pháp đủ mạnh để bảo vệnhững dữ liệu quan trọng hoặc riêng tư không bị xâm phạm bởi chú ý, tò mò Tuynhiên, ngày càng có nhiều tin tặc có thể thêm, tráo đổi dữ liệu, mạo danh một cách táotợn và thiện nghệ Chữ ký điện tử giúp người ta tin tưởng vào tính nguyên vẹn củathông báo, xác thực được người ký thông báo và tạo chứng cứ không thể chối bỏđược về trách nhiệm của người ký Đó là lý do tại sao sự an toàn trong dữ liệu cầnphải tích hợp các chữ ký điện tử, các chứng thực điện tử và phương pháp quản lý khoátheo trật tự cấp bậc Nếu áp dụng một cách khôn ngoan các phương pháp này vào việcquản lý dữ liệu cùng với sự hỗ trợ của những khuôn mẫu thực thi, thì chúng ta sẽ cómột nền tảng an toàn lưu trữ đa tầng, toàn diện, có khả năng đối đầu được với tìnhtrạng đe doạ đa chiều trước mắt và trong tương lai Thị trường an toàn thông tin tạiViệt Nam đang bước vào giai đoạn giao thời khi cơ cở hạ tầng truyền thông cơ bản đãhình thành rõ nét, nhu cầu sử dụng ngày càng nhiều các thiết bị của thời đại kỹ thuậtsố…Đã đến giai đọan cần phải nắn nót và trau chuốt lại hệ thống của mình, nếu khôngbảo đảm an toàn tốt, chúng ta sẽ đánh mất nhiều thứ

Có rất nhiều hệ mã hoá đã được biết đến trong lĩnh vực mật mã học Nhưngkhông phải hệ mã hoá nào cũng đáp ứng đủ các thuộc tính cần thiết của hệ mật: tính bí

mật, tính nguyên vẹn, tính xác thực, tính không bị từ chối và tính chống chối lặp Có

ba hệ mã hóa thông dụng đã đứng vững và được sử dụng để xây dựng các lược đồ kýđiện tử: RSA, hệ mã hoá dựa trên logarit rời rạc, và hệ mã hoá dựa trên đường congelliptic Các hàm một chiều sử dụng trong hệ mã này được xem là an toàn theo thừanhận,tức là không có thuật toán nào hữu hiệu để tính hàm ngược của chúng Trongkhoảng mười năm trở lại đây, vấn đề này đang thu hút rất nhiều sự quan tâm của cộngđồng mật mã trên thế giới RSA được liệt vào một trong các giải thuật mã hóa bất đốixứng được dùng thông dụng nhất cho đến ngày hôm nay (ra đời năm 1977 tại MIT),RSA được đặt tên từ ba nhà khoa học phát minh ra nó: Ron Rivest, Adi Shamir, vàLeonard Adleman Nó được dùng hàng ngày trong các giao dịch thương mại điện tửqua web browser (SSL), PGP, dùng cho chữ ký số đảm bảo tính toàn vẹn của cácthông điệp khi lưu chuyển trên Internet, phân phối & cấp phát các khoá bí mật

Mật mã khoá công khai liên quan đến các khái niệm, định nghĩa và cấu trúc củacác hệ thống tính toán, liên quan đến tính an toàn Để thiết kế các hệ thống mật mãphải dựa trên cơ sở vững chắc Nó dựa trên các công cụ toán học cơ bản như: lýthuyết số học-cụ thể lý thuyết đồng dư thức, logarit rời rạc, lý thuyết về độ phức tạptính toán (hàm một chiều) cũng như khả năng phân tích các thuật toán…

Người ta đang cố gắng đưa ra những lược đồ ký sao cho tính không thể giảmạo được của nó có thể đánh giá thông qua độ an toàn của các hàm một chiều mà nó

sử dụng Trong phạm vi luận văn này lược đồ ký sử dụng hàm một chiều của hệ mãRSA-PSS được đi sâu nghiên cứu, trong đó nêu ra một số phương pháp chứng minh

cho tính an toàn của lược đồ đó Luận văn gồm 6 chương:

Chương 1: Trong phần này luận văn trình bày những nghiên cứu lý thuyết về hệ mậtkhoá công khai bao gồm: Lịch sử ra đời và phát triển, định nghĩa hệ mật khoá côngkhai và xem xét tính an toàn của hệ mật khoá công khai

Chương 2: Chương này nghiên cứu cụ thể hệ mật khoá công khai và hệ chữ ký sốRSA Những lý thuyết được đề cập đến bao gồm: Nghiên cứu quá trình tạo khoá, mã

8

hoá, giả mã, và tính không an toàn của hệ mật RSA Đồng thời cũng nghiên cứu tính

an toàn của lược đồ ký số RSA

Chương 3: Giới thiệu tổng quan lược đồ ký RSA-PSS bao gồm Cơ chế hoạt động, ưuthế, các công trình chuẩn và một số nhận xét quý báo về lược đồ ký này Sau đấy địnhnghĩa và nghiên cứu cụ thể lược đồ ký PSS2000

Chương 4: Nghiên cứu sự chuẩn hoá của lược đồ ký RSA-PSS, cụ thể là các tiêuchuẩn tham số sử dụng trong chữ ký số RSA-PSS để áp dụng lược đồ vào các ứngdụng thực tế an toàn

Chương 5: Chứng minh tính toàn cho lược đồ ký dựa vào phương pháp xác suất.Chương 6: Chứng minh tính toàn cho lược đồ ký RSA-PSS và giới thiệu các mô hình

an toàn của lược đồ ký RSA-PSS với việc khôi phục thông điệp

Chương 1 NGHIÊN CỨU HỆ MẬT KHOÁ CÔNG KHAI

1.1 Lịch sử ra đời và phát triển

Trong hầu hết lịch sử mật mã học, khóa dùng trong các quá trình mã hóa và giải

mã phải được giữ bí mật và cần được trao đổi bằng một phương pháp an toàn khác(không dùng mật mã) như gặp nhau trực tiếp hay thông qua một người đưa thư tincậy Vì vậy quá trình phân phối khóa trong thực tế gặp rất nhiều khó khăn, đặc biệt làkhi số lượng người sử dụng rất lớn Mật mã khóa công khai đã giải quyết được vấn

đề này vì nó cho phép người dùng gửi thông tin mật trên đường truyền không an toàn

mà không cần thỏa thuận khóa từ trước

Mật mã khóa công khai được thiết kế đầu tiên bởi James H Ellis, Clifford Cocks, vàMalcolm Williamson tại GCHQ (Anh) vào đầu thập kỷ 1970 Sau này được phát triển

và biết đến là một trường hợp đặc biệt của RSA Tuy nhiên những thông tin này chỉđược tiết lộ vào năm 1997

Năm 1976, Whitfield Diffie và Martin Hellman công bố một hệ thống mật mã khóabất đối xứng trong đó nêu ra phương pháp trao đổi khóa công khai Công trình nàychịu ảnh hưởng từ xuất bản trước đó của Ralph Merkle về phân phối khóa công khai.Trao đổi khóa Diffie-Hellman là phương pháp có thể áp dụng trên thực tế đầu tiên đểphân phối khóa bí mật thông qua một kênh thông tin không an toàn Kỹ thuật thỏathuận khóa của Merkle có tên là hệ thống câu đố Merkle

Thuật toán đầu tiên cũng được Rivest, Shamir và Adleman tìm ra vào năm 1977 tạiMIT Công trình này được công bố vào năm 1978 và thuật toán được đặt tên là RSA.RSA sử dụng phép toán tính hàm mũ môđun (môđun được tính bằng tích số của 2 sốnguyên tố lớn khác nhau) để mã hóa và giải mã cũng như tạo chữ ký số An toàn củathuật toán được đảm bảo với điều kiện là không tồn tại kỹ thuật hiệu quả để phân tíchmột số rất lớn thành thừa số nguyên tố.[3]

10

Kể từ thập kỷ 1970, đã có rất nhiều thuật toán mã hóa, tạo chữ ký số, thỏa thuận khóa được phát triển Các thuật toán như ElGamal (mật mã) do Netscape phát triển hayDSA do NSA và NIST dựa trên các bài toán lôgarit rời rạc Vào giữa thập kỷ 1980,Neal Koblitz bắt đầu cho một dòng thuật toán mới: mật mã đường cong elliptic vàcũng tạo ra nhiều thuật toán tương tự Mặc dù cơ sở toán học của dòng thuật toán nàyphức tạp hơn nhưng lại giúp làm giảm khối lượng tính toán, đặc biệt khi khóa có độdài lớn.

1.2 Định nghĩa hệ mật khoá công khai

từ K ×C →P, được gọi là phép giải mã Với mỗi k ∈ K, ta định nghĩa ek: P →C,

dk : : C →P là hai hàm cho bởi:

x ∈ P: ek(x) = E(k,x); ∀ y ∈ C: dk(y) = D(k,y);

ek và dk được gọi lần lượt là hàm lập mã và hàm giải mã ứng với khóa mật mã k.Các hàm đó phải thỏa mãn hệ thức: ∀ x ∈ P: dk(ek(x)) = x

Bây giờ chúng ta xem một bài toán truyền thông tin giữa hai thành phần là Bob và Alice được minh hoạ như hình vẽ dưới đây

Chọn một số ngẫu nhiên lớn để sinh cặp kkhóa.

Dùng khoá công khai để mã hóa, nhƣng dùng khoá bí mật để giải mã

Hình vẽ 1.1 Minh họa sau hệ mật khoá công khaiBob chọn cặp khoá (e,d) Bob gửi khoá mã hoá e (đƣợc gọi là khoá công khai) choAlice qua một kênh nào đó nhƣng giữ lại khóa giải mã d an toàn và bảo mật (đƣợcgọi là khóa bí mật) Sau đó Alice có thể gửi một thông điệp m cho Bob bằng cách ápdụng phép biến đổi mã hóa đƣợc xác định bởi khóa công khai của Bob để có đƣợcc=Ee(m) Bob giải mã bản mã c bằng cách áp dụng phép biến đổi ngƣợc Dd đƣợc xácđịnh duy nhất bởi d

12

Ta có thể mô phỏng trực quan một hệ mật mã khoá công khai như sau : Bob muốn gửicho Alice một thông tin mật mà Bob muốn duy nhất Alice có thể đọc được Để làmđược điều này, Alice gửi cho Bob một chiếc hộp có khóa đã mở sẵn và giữ lại chìakhóa Bob nhận chiếc hộp, cho vào đó một tờ giấy viết thư bình thường và khóa lại(như loại khoá thông thường chỉ cần sập chốt lại, sau khi sập chốt khóa ngay cả Bobcũng không thể mở lại được-không đọc lại hay sửa thông tin trong thư được nữa).Sau đó Bob gửi chiếc hộp lại cho Alice Alice mở hộp với chìa khóa của mình và đọcthông tin trong thư Trong ví dụ này, chiếc hộp với khóa mở đóng vai trò khóa côngkhai, chiếc chìa khóa chính là khóa bí mật.

Do khóa mã e không cần phải giữ bí mật mà nó được công khai, nên bất kỳ thực thểnào cũng có thể gửi các thông điệp đã được mã hóa cho Bob mà chỉ có Bob mới giải

mã được nó Hình 2 minh họa cho điều này, trong đó A1,A2,A3 là các thực thể khácnhau Chú ý rằng nếu thực thể A1, gửi thông điệp m1 sau khi mã hóa nó thành c1 thì A1

không thể khôi phục lại m1 từ c1

Hình vẽ 1.2 Minh hoạ quá trình trao đổi khoá công khaiVới mật mã khoá công khai như đã mô tả ở trên, giả sử rằng việc biết khóa công khai

e cũng không cho phép tính toán được khóa bí mật d Điều này được giả thiết rằng có

sự tồn tại của hàm sập một cửa

1.3 Tính an toàn của hệ mật mã

Tính an toàn của một hệ mật mã phụ thuộc vào độ khó của bài toán thám mãkhi sử dụng hệ mật đó Người ta đã đề xuất ra một số cách hiểu cho khái niệm an toàncủa hệ thống mật mã, để trên cơ sở các cách hiểu đó nghiên cứu tính an toàn của nhiều

hệ mật mã khác nhau, sau đây là một số cách hiểu chung nhất:

1. An toàn vô điều kiện: Giả thiết người thám mã có được thông tin về bản mã Theoquan niệm lý thuyết thông tin, nếu những hiểu biết về bản mã không thu hẹp được

độ bất định về bản rõ đối với người thám mã, thì hệ mật mã là an toàn vô điềukiện, hay theo thuật ngữ của C.Shannon, hệ là bí mật hoàn toàn Như vậy, hệ là antoàn vô điều kiện, nếu độ bất định về bản rõ sau khi người thám mã có được cácthông tin (về bản mã) bằng độ bất định về bản rõ trước đó

2. An toàn chứng minh được: Một hệ thống mật mã được xem là có độ an toànchứng minh được nếu ta có thể chứng minh được là bài toán thám mã đối với

hệ thống đó khó tương đương với một bài toán khó đã biết, thí dụ bài toánphân tích một số nguyên thành tích các thừa số nguyên tố v v ( khó tươngđương có nghĩa là nếu bài toán này giải được thì bài toán kia cũng giải đượcvới cùng một độ phức tạp như nhau)

3. An toàn tính toán: Hệ mật được xem là an toàn tính toán, nếu mọi phươngpháp thám mã đã biết đều đòi hỏi một nguồn năng lực tính toán vượt mọi khảnăng (kể cả phương tiện thiết bị ) tính toán của một kẻ tấn công

1.4 Thám mã chống lại hệ mật khoá công khai

Tính an toàn của một hệ mật được định nghĩa bằng một cuộc tấn công Các tấncông tích cực đã được mô hình hoá thành 3 mô hình thông thường Các mô hìnhnày được sử dụng để phân tích các hệ mật mã trong tài liệu này[4]

1. Tấn công bản rõ được chọn (Chosen-plaintext attack -CPA)

14

Kẻ tấn công chọn bản rõ và sử dụng sự trợ giúp của hàm mã hoá để thu đượcbản mã tương ứng Mục đích của kẻ tấn công là phá vỡ hệ mật mã bằng cách

sử dụng cặp bản rõ - bản mã

2 Tấn công chọn bản mã (Chosen-ciphertext attack -CCA)

Kẻ tấn công chọn bản mã và sử dụng sự trợ giúp của hàm giải mã để thu đượcbản rõ tương ứng Mục đích của nguời tấn công là phá vỡ hệ mật mã bằngcách sử dụng cặp bản rõ- bản mã Việc tấn công thành công nếu anh ta có thểlấy lại thông tin bản rõ nào đó từ một bản mã đích chặn bắt bởi người tấncông sau khi hàm giải mã kết thúc

3. Tấn công chọn thích hợp bản mã (Adaptive chosen-ciphertext attack - CCA2)

Đây là kiểu tấn công CCA trong đó sự trợ giúp của hàm giải mã của hệ mật

mã đích luôn sẵn sàng, ngoại trừ bản mã đích

Như vậy chúng ta có thể hình dung 3 kiểu tấn công này với các tình huống như sau:

1 Ở mô hình CPA, kẻ tấn công được quyền sở hữu một hàm mã hoá

2 Ở mô hình CCA kẻ tấn công được quyền sử dụng hàm giải mã: Hàm giải mã

sẽ dừng lại khi người tấn công đưa cho nó bản mã đích

3. Ở mô hình CCA2 kẻ tấn công được quyền sử dụng một hàm giải mã mà anh

ta muốn Trước hoặc sau khi kẻ tấn công có được bản mã đích, anh ta không cung cấp bản mã đích cho hàm giải mã

CPA và CCA được xem như là các mô hình thám mã chống lại hệ mật khoá khoácông khai trong đó mục tiêu của người tấn công là phá vỡ hệ mật mã đích bằng cách

sử dụng cặp bản rõ-bản mã anh ta có được từ các kiểu tấn công Chúng ta nên chú ýđến ba điểm sau đây được xác định cho một hệ mật khoá công khai[4]

1. Hàm mã hoá của hệ mật luôn dùng được đối với mọi người, do khi một khoácông khai được công khai thì mọi người dễ dàng điều khiển hoàn toàn hàm mã

hoá Mặt khác CPA có thể luôn được dùng để chống lại một hệ mật khoá côngkhai Vì vậy, chúng ta có thể gọi một tấn công đối với hệ mật khoá công khai

là CPA nếu việc tấn công không sử dụng bất kỳ hàm giải mã nào Do đó bất kỳ

hệ mật nào cũng phải chống lại CPA, nếu không nó không phải là một hệ mật

mã sử dụng được

2. Thông thường, lý thuyết toán làm cơ sở cho hầu hết các hệ mật khóa côngkhai có một vài thuộc tính của một cấu trúc đại số như là: tính kết thúc, tínhkết hợp, tính đồng cấu Kẻ tấn công có thể khai thác các thuộc tính này vàthiết lập một bản mã qua một số tính toán khéo léo Nếu kẻ tấn công được trợgiúp bởi một phép giải mã, thì những tính toán khéo léo của anh ta có thể chophép anh ta có được một số thông tin văn bản gốc, hoặc thậm chí khoá bí mậtcủa hệ mật đích Do đó, hệ mật khoá công khai dễ bị tấn công bởi CCA vàCCA2

3. Dường như CCA bị giới hạn Trong các ứng dụng người dùng bị tấn côngthường không biết việc tấn công đó Do đó người dùng có thể không bao giờbiết khi nào nên bắt đầu dừng hỗ trợ sự trợ giúp giải mã Chúng ta thường giả

sử rằng người dùng bình thường không biết được sự tồn tại của việc giả mạo,

do đó thông thường sự trợ giúp của hàm giải mã luôn sẵn sàng Mặt khác, bất

kỳ hệ mật khoá công khai nào nên chống lại CCA do kẻ giả mạo luôn luôn tìm

ra cách để thực hiện sự trợ giúp của hàm giải mã

1.5 Sự cần thiết của việc xác minh hệ thống khóa công khai.

Giả thiết rằng hệ mật khóa công khai là một hệ thống lý tưởng, không yêu cầumột kênh truyền an toàn để truyền khóa mã hóa Điều này ngụ ý rằng hai thực thể cóthể truyền thông tin cho nhau bằng một kênh không an toàn mà không cần phải gặpnhau để trao đổi khóa Thật chẳng may điều này không đảm bảo Hình 3 minh họa một

kẻ giả mạo có thể làm cho hệ thống thất bại mà không cần phải phá vỡ hệ thống mãhóa Đây chính là kiểu giả mạo về danh nghĩa Ở tình huống này người giả mạo làmgiả thực thể B bằng cách gửi cho thực thể A một khoá công khai e’ mà A nghĩ rằng đó

16

là khóa công khai của B Kẻ giả mạo chặn lấy thông điệp đƣợc mã hoá do A gửi cho

B, giải mã với khoá bí mật riêng d’, rồi lại mã hoá thông điệp bằng khoá công khai ecủa A và gửi nó cho B Điều này cho thấy cần thiết phải xác minh khoá công khai để

có đƣợc sự xác minh nguồn gốc dữ liệu của khoá công khai A phải đƣợc thuyết phụcrằng anh ta đang mã hóa bằng khoá công khai hợp lệ của B Do vậy, công nghệ mật

mã khoá công khai phải chấp nhận một số giải pháp để giải quyết vấn đề này

Hình 1.3 Minh hoạ Kẻ giả mạo tấn công vào quá trình trao đổi

thông tin giữa hai thực thể

1.5 So sánh hệ mật khóa đối xứng và hệ mật khóa công khai

Sơ đồ khóa đối xứng và khóa công khai có những điểm thuân lợi và khôngthuận lợi khác nhau Phần này nêu ra những đặc điểm này

1.5.1 Lợi thế của hệ mật khóa đối xứng.

1. Mật mã khóa đối xứng có tốc độ xử lý cao Sự bổ sung phần cứng nào đó

có thể thu được tốc độ mã hoá hàng trăm mega byte trên một giây

2. Khóa dùng cho hệ mật khóa đối xứng tương đối ngắn

3. Hệ mật khóa đối xứng có thể sử dụng như một nguyên thuỷ để tạo ranhiều công nghệ mật mã khác nhau bao gồm bộ sinh số giả ngẫu nhiên,hàm băm, lược đồ ký số có hiệu suất tính toán cao

4. Hệ mật khóa đối xứng có thể được sử dụng để xây dựng các hệ mật tốt hơn Các phép biến đổi đơn giản và dễ dàng phân tích

1.5.2 Điểm yếu của hệ mật khóa đối xứng.

1. Trong bài toán truyền thông tin giữa hai thực thể thì khoá phải được giữ

bí mật ở cả hai người

2. Trong một mạng lớn thì có nhiều cặp khóa cần phải quản lý, do đó muốnquản lý khoá hiệu quả yêu cầu sử dụng một thành phần thứ ba được tincậy không điều kiện

3. Việc truyền thông tin giữa hai thực thể A và B trong một hệ mật khoá đốixứng yêu cầu thay đổi khoá thường xuyên, có thể là phải thay đổi đối vớimỗi phiên truyền tin

4. Công nghệ chữ ký số dựa trên hệ mật khóa đối xứng càng lớn mạnh thìyêu cầu các khoá phải lớn hơn đối với việc xác minh công khai hoặc phải

sử dụng thành phần thứ ba tin cậy

1.5.3 Lợi thế của hệ mật khóa công khai

1. Chỉ cần giữ bí mật đối với khoá bí mật

2. Việc quản lý khóa trong một mạng yêu cầu sự hiện diện của duy nhấtmột bộ phận được tin cậy chứ không phải là một thành phần thứ ba tin

18

cậy không điều kiện Phụ thuộc vào chế độ sử dụng, thành phần thứ bađược tin cậy có thể chỉ yêu cầu chế độ “off-line’ chứ không phải chế độthời gian thực.

3. Phụ thuộc vào chế độ sử dụng, một cặp khoá khoá bí mật và khoá côngkhai vẫn không được thay đổi đối với một định kỳ thời gian đáng kể

Ví dụ qua nhiều phiên truyền tin hoặc thậm chí vài năm

4. Nhiều lược đồ ký khóa công khai mang lại nhiều công nghệ chữ ký sốtương đối hiệu quả Khoá được sử dụng để mô tả hàm kiểm tra côngkhai nhỏ hơn nhiều so với bản sao của khóa đối xứng

5. Trong một mạng lớn, số lương khoá cần thiết ít hơn nhiều so với trường hợp dùng khóa đối xứng

1.5.4 Điểm yếu của hệ mật khóa công khai

1. Tốc độ xử lý đối với hầu hết các phương pháp mã hóa khóa công khai chậm hơn so với mã hoá khóa đối xứng

2. Kích thước khoá lớn hơn khóa đối xứng rất nhiều

3. Không có lược đồ khóa công khai nào được chứng minh là an toàn.Lược đồ mã hoá khoá công khai hiệu quả nhất được phát minh đểkhẳng định tính an toàn của chúng dựa vào một tập hợp nhỏ các bàitoán lý thuyết số được thừa nhận là khó

4. Hệ mật khoá công khai công không có bề dày lịch sử bằng hệ mật khóa đối xứng Nó đã được phát minh vào giữa thập niên 1970

Bảng tổng kết sự so sánh giữa hệ mật khóa đối xứng và hệ mật khóa công khai

20

1.6 Hệ chữ ký số

1.6.1 Định nghĩa hệ chữ ký số

Một sơ đồ chữ ký bao gồm các thành phần sau đây

1. M là một tập hữu hạn các thông báo có thể có

2. S là một tập hữu hạn các chữ ký có thể có

3. K là một tập hữu hạn các khoá ký và K' là tâp hữu hạn khoá kiểm thử

4. Một thuật sinh khoá hiêu quả Gen : N →K × K' trong đó K là khoá bí mật, K' là khoá công khai

5. Thuật toán ký Sign : M × K →S

6. Thuật toán kiểm thử Ver : M × S × K' → {true, false}

Với mỗi sk ∈ K và m ∈ M nào đó, chúng ta biểu diễn phép toán ký bởi

s ←Signsk(m) với ý nghĩa " s là một chữ ký của m và được tạo ra bằng cách

sử dụng khoá sk"

Với mỗi khoá bí mật sk, gọi pk là khoá công khai tương ứng với nó, và với mỗi m

∈ M, s ∈ S điều cần thiết là: Verifypk(m, s) = true nếu Signsk(m) ≡ s (mod N) ngượclại trả về false

Chữ ký số khóa công khai dựa trên nền tảng mật mã hóa khóa công khai Để có thể trao đổi thông tin trong môi trường này, mỗi người sử dụng có một cặp khóa: một công khai và một bí mật Khóa công khai được công bố rộng rãi còn khóa bí mật phải được giữ kín và không thể tìm được khóa bí mật nếu chỉ biết khóa công khai

Với sơ đồ trên, mỗi chủ thể sở hữu một bộ khoá K và K', công bố công khai khoá đểmọi người có thể kiểm thử chữ ký của mình, và giữ bí mật khoá thực hiện chữ ký trêncác thông báo mà mình muốn gửi đi Các hàm Ver và Sign phải tính được một cách dễdàng (trong thời gian đa thức), tuy nhiên hàm Sign là khó tính được nếu không biếtkhoá bí mật, điều này đảm bảo bí mật cho việc ký, tức là đảm bảo chống giả mạo chữký

21

Sơ đồ tạo và kiểm thử chữ ký số đƣợc minh họa nhƣ sau:

Toàn bộ quá trình gồm 3 thuật toán: Thuật toán tạo khóa, thuật toán tạo chữ ký số,thuật toán kiểm tra chữ ký số

Hình 1.4 : Minh hoạ tiến trình ký và kiểm tra chữ kýXét ví dụ sau: Bob muốn gửi thông tin cho Alice và muốn Alice biết thông tin đó thực

sự do chính Bob gửi Bob gửi cho Alice bản tin kèm với chữ ký số Chữ ký này đƣợctạo ra với khóa bí mật của Bob Khi nhận đƣợc bản tin, Alice kiểm tra sự thống nhấtgiữa bản tin và chữ ký bằng thuật toán kiểm tra sử dụng khóa công cộng của Bob Bản

chất của thuật toán tạo chữ ký đảm bảo nếu chỉ cho trước bản tin, rất khó (gần nhưkhông thể) tạo ra được chữ ký của Bob nếu không biết khóa bí mật của Bob Nếuphép thử cho kết quả đúng thì Alice có thể tin tưởng rằng bản tin thực sự do Bob gửi.Thông thường, Bob không ký trên toàn bộ bản tin với khóa bí mật mà chỉ thực hiệnvới giá trị băm của bản tin đó Điều này khiến việc ký trở nên đơn giản hơn và chữ kýngắn hơn Tuy nhiên nó cũng làm nảy sinh vấn đề khi 2 bản tin khác nhau lại cho racùng một giá trị băm Đây là điều có thể xảy ra mặc dù xác suất rất thấp.

1.6.2 Các ưu điểm của chữ ký số

Việc sử dụng chữ ký số mang lại một số lợi ích sau:

1. Khả năng nhận thực

Các hệ thống mật mã hóa khóa công khai cho phép mã hóa văn bản với khóa bímật mà chỉ có người chủ của khóa biết Để sử dụng chữ ký số thì văn bản không cần phảiđược mã hóa mà chỉ cần mã hóa hàm băm của văn bản đó (thường có độ dài cố định vàngắn hơn văn bản) Khi cần kiểm tra, bên nhận tính lại giá trị băm và kiểm tra với chữ kýcủa văn bản nhận được Nếu 2 giá trị này phù hợp thì bên nhận có thể tin tưởng rằng vănbản xuất phát từ người sở hữu khóa bí mật Tất nhiên là chúng ta không thể đảm bảo100% là văn bản không bị giả mạo vì hệ thống vẫn có thể bị phá vỡ

Vấn đề nhận thực đặc biệt quan trọng đối với các giao dịch tài chính Chẳnghạn một chi nhánh ngân hàng gửi một gói tin về trung tâm dưới dạng (a, b), trong đó

a là số tài khoản và b là số tiền chuyển vào tài khoản đó Một kẻ lừa đảo có thể gửi

một số tiền nào đó để lấy nội dung gói tin và truyền lại gói tin thu được nhiều lần đểthu lợi (tấn công truyền lại gói tin) Vì vậy, cần có biện pháp chống lại tấn công này

2. Tính toàn vẹn

Cả hai bên tham gia vào quá trình thông tin đều có thể tin tưởng là văn bản không

bị sửa đổi trong khi truyền vì nếu văn bản bị thay đổi thì hàm băm cũng sẽ thay đổi và lậptức bị phát hiện Quá trình mã hóa sẽ ẩn nội dung của gói tin đối với bên thứ 3 nhưngkhông ngăn cản được việc thay đổi nội dung của nó Một ví dụ cho trường

23

hợp này là tấn công đồng cấu: tiếp tục ví dụ nhƣ ở trên, một kẻ lừa đảo gửi 1.000.000

đồng vào tài khoản của a, chặn gói tin (a, b) mà chi nhánh gửi về trung tâm rồi gửi gói tin (a, b 3 ) thay thế để lập tức trở thành tỷ phú!(nếu gói tin (a, b) không đƣợc ký).

3. Tính không thể phủ nhận

Trong giao dịch, một bên có thể từ chối nhận một văn bản nào đó là do mìnhgửi Để ngăn ngừa khả năng này, bên nhận có thể yêu cầu bên gửi phải gửi kèmchữ ký số với văn bản Khi có tranh chấp, bên nhận sẽ dùng chữ ký này nhƣmột chứng cứ để bên thứ ba giải quyết Tuy nhiên, khóa bí mật vẫn có thể bị lộ

và tính không thể phủ nhận cũng không thể đạt đƣợc hoàn toàn

Chương 2 NGHIÊN CỨU HỆ MẬT VÀ CHỮ KÝ SỐ RSA

2.1 Tính an toàn các thuật toán mã hoá

Trong phạm vi của hệ mật khoá công khai, các thuật toán mã hoá giáo khoa thường cómột tính chất không an toàn đuợc phát biểu ở tính chất sau:

Tính chất 1 -Tính không an toàn của các thuật toán mã hoá gíáo khoa

Trong pham vi của mục này, tính an toàn cho một hệ mật được xem xét theo hai nghĩasau đây:

1. An toàn All-or-nothing: Đối với một bản mã là kết quả của một thuật toán

mã hoá nào đó, nhiệm vụ của kẻ tấn công là lấy lại toàn bộ khối bản rõ cókích thước được qui định rõ bởi một tham số an toàn của hệ mật mã; hoặcđối với một cặp bản rõ -bản mã có được qua một phép mã hoá đã cho,nhiệm vụ của kẻ tấn công là phát hiện toàn bộ khoá bí mật cơ sở hoặc là thấtbại Chúng ta nên chú ý đặc biệt đối với nghĩa của từ "nothing" Nó cónghĩa là kẻ tấn công không có bất kỳ sự hiểu biết nào về sự bí mật đíchtrước hoặc sau khi tấn công

2. Kẻ tấn công bị động: Kẻ tấn công không điều khiển hoặc sửa đổi bản mãkhi sử dụng dữ liệu anh ta được sở hữu, và không yêu cầu chủ sở hữu khoácung cấp dịch vụ mã hoá hoặc giải mã

Đầu tiên chúng ta giải thích tại sao tính chất 1.1 là tính chất không an toàn Cụ thể là,

dữ liệu thuần tuý có thông tin phụ không bí mật đối với kể tấn công Chẳng hạn nhưmột số dữ liệu luôn ở trong một giới hạn nhỏ: đa số tiền lương thường là ít ỏi, hoặcnếu có nhiều hơn thì cũng chỉ là một con số có ý nghĩa rất nhỏ trong mật mã Một ví

dụ khác đó là một mật khẩu thường là một xâu bit tạo thành tám ký tự Thông thường,biết các thông tin phụ giúp kẻ giả mạo thành công và có được toàn bộ bản rõ

25

Tính chất 1.2 cũng không an toàn bởi lý do sau đây Chúng ta không nên mong đợimột kẻ tấn công tốt bụng và luôn ở thế bị động Hành vi điển hình của kẻ tấn công là

sẽ thử tất cả các cách mà anh ta có, bao gồm việc dàn xếp để liên hệ với người dùngđích, gửi một bản mã tới người sau để được giải mã với bản rõ được trả về cho ngườitrước đó Cách tương tác này được xem như là một người dùng (một sở hữu khoácông khai) cung cấp một dịch vụ giải mã ngẫu nhiên cho kẻ tấn công [4]

Trước đó, vào năm 1973, Clifford Cocks, một nhà toán học người Anh làm việc tạiGCHQ, đã mô tả một thuật toán tương tự Với khả năng tính toán tại thời điểm đó thìthuật toán này không khả thi và chưa bao giờ được thực nghiệm Tuy nhiên, phátminh này chỉ được công bố vào năm 1997 vì được xếp vào loại tuyệt mật

Thuật toán RSA được MIT đăng ký bằng sáng chế tại Hoa Kỳ vào năm 1983 (Số đăng

ký 4, 405, 829) Bằng sáng chế này hết hạn vào ngày 21 tháng 9 năm 2000 Tuy nhiên,

do thuật toán đã được công bố trước khi có đăng ký bảo hộ nên sự bảo hộ hầu nhưkhông có giá trị bên ngoài Hoa Kỳ Ngoài ra, nếu như công trình của Clifford Cocks

đã được công bố trước đó thì bằng sáng chế RSA đã không thể được đăng ký

2.2.1 Quá trình tạo khóa

Giả sử Alice và Bob cần trao đổi thông tin bí mật thông qua một kênh không

an toàn (ví dụ như Internet) Với thuật toán RSA, Alice đầu tiên cần tạo ra cho mìnhcặp khóa gồm khóa công khai và khóa bí mật theo các bước sau:

Chọn 2 số nguyên tố lớn p và q với p ≠ q lựa chọn ngẫu nhiên và độc lập.

Tính: n = p.q.

Tính: giá trị hàm số Ơle φ(n)=(p−1)(q−1)

Chọn một số tự nhiên e sao cho 1< e < θ (n) và là số nguyên tố cùng nhau với θ(n)

Tính: d sao cho de ≡1(modθ(n) )

Một số lưu ý

Các số nguyên tố thường được chọn bằng phương pháp thử xác suất

Các bước 4 và 5 có thể được thực hiện bằng giải thuật Euclid mở rộng

Bước 5 có thể viết cách khác: Tìm số tự nhiên x sao cho d = x( p−1)(q −1)+1

cũng là

e

số tự nhiên Khi đó sử dụng giá trị d mod (p-1)(q-1).

Từ bước 3, PKCS#1 v2.1 sử dụng λ = LCM(p-1, q-1) thay cho φ(n)=(p−1)(q−1)

Khóa công khai bao gồm: n, e- số mũ công khai (số mũ mã hóa).

Khóa bí mật bao gồm: n, d- số mũ bí mật (số mũ giải mã).

2.2.2 Quá trình mã hóa

Giả sử Bob muốn gửi đoạn thông tin M cho Alice Đầu tiên Bob chuyển M thành một số m < n theo một hàm có thể đảo ngược (từ m có thể xác định lại M) được

thỏa thuận trước

Lúc này Bob có m và biết n cũng như e do Alice gửi Bob sẽ tính c là bản mã hóa của

m theo công thức c = m e mod n

Hàm trên có thể tính dễ dàng sử dụng phương pháp tính hàm mũ (theo môđun) bằng(thuật toán bình phương và nhân) Cuối cùng Bob gửi c cho Alice.

m ed≡m (mod p) và m ed≡m (mod q)

Do p và q là hai số nguyên tố cùng nhau, áp dụng định lý số dư Trung Quốc, ta có:

m ed≡ m (mod pq).

hay c d≡ m (mod n).

2.2.4 Chuyển đổi văn bản rõ

Trước khi thực hiện mã hóa, ta phải thực hiện việc chuyển đổi văn bản rõ

(chuyển đổi từ M sang m) sao cho không có giá trị nào của M tạo ra văn bản mã không

an toàn Nếu không có quá trình này, RSA sẽ gặp phải một số vấn đề sau:

Nếu m = 0 hoặc m = 1 sẽ tạo ra các bản mã có giá trị là 0 và 1 tương ứng

Khi mã hóa với số mũ nhỏ (chẳng hạn e = 3) và m cũng có giá trị nhỏ, giá trị m e cũng

nhận giá trị nhỏ (so với n) Như vậy phép môđun không có tác dụng và có thể dễ dàng tìm được m bằng cách khai căn bậc e của c (bỏ qua môđun).

RSA là phương pháp mã hóa xác định (không có thành phần ngẫu nhiên) nên kẻ tấncông có thể thực hiện tấn công lựa chọn bản rõ bằng cách tạo ra một bảng tra giữa bản

rõ và bản mã Khi gặp một bản mã, kẻ tấn công sử dụng bảng tra để tìm ra bản rõtương ứng

Trên thực tế, ta thường gặp 2 vấn đề đầu khi gửi các bản tin ASCII ngắn với m là nhóm vài ký tự ASCII Một đoạn tin chỉ có 1 ký tự NUL sẽ được gán giá trị m = 0 và cho ra bản mã là 0 bất kể giá trị của e và N Tương tự, một ký tự ASCII khác, SOH, có giá trị 1 sẽ luôn cho ra bản mã là 1 Với các hệ thống dùng giá trị e nhỏ thì tất cả ký tự ASCII đều cho kết quả mã hóa không an toàn vì giá trị lớn nhất của m chỉ là 255 và

2553 nhỏ hơn giá trị n chấp nhận được Những bản mã này sẽ dễ dàng bị phá mã.

Để tránh gặp phải những vấn đề trên, trên thực tế RSA thường bao gồm một hình thức

chuyển đổi ngẫu nhiên hóa m trước khi mã hóa Quá trình chuyển đổi này phải đảm bảo rằng m không rơi vào các giá trị không an toàn Sau khi chuyển đổi, mỗi bản rõ

khi mã hóa sẽ cho ra một trong số khả năng trong tập hợp bản mã Điều này làm giảm

tính khả thi của phương pháp tấn công lựa chọn bản rõ (một bản rõ sẽ có thể tươngứng với nhiều bản mã tuỳ thuộc vào cách chuyển đổi).

Một số tiêu chuẩn, chẳng hạn như PKCS, đã được thiết kế để chuyển đổi bản rõ trướckhi mã hóa bằng RSA Các phương pháp chuyển đổi này bổ sung thêm bít vào M Cácphương pháp chuyển đổi cần được thiết kế cẩn thận để tránh những dạng tấn côngphức tạp tận dụng khả năng biết trước được cấu trúc của bản rõ Phiên bản ban đầucủa PKCS dùng một phương pháp đặc ứng (ad-hoc) mà về sau được biết là không antoàn trước tấn công lựa chọn bản rõ thích ứng (adaptive chosen ciphertext attack) Cácphương pháp chuyển đổi hiện đại sử dụng các kỹ thuật như chuyển đổi mã hóa bấtđối xứng tối ưu (Optimal Asymmetric Encryption Padding - OAEP) để chống lại tấncông dạng này Tiêu chuẩn PKCS còn được bổ sung các tính năng khác để đảm bảo antoàn cho chữ ký RSA (Probabilistic Signature Scheme for RSA - RSA-PSS)

2.2.5 Tính không an toàn của hệ mật RSA

Mục này khảo sát tính an toàn của thuật toán mã hoá RSA Đối với trường hợp khoángẫu nhiên và thông điệp ngẫu nhiên, sự tồn tại của một CPA hiệu quả chống lại hệmật RSA có nghĩa là giả thuyết RSA phải thất bại

Định nghĩa 1: Hệ mật RSA là an toàn "all-or-nothing" chống lại CPA nếu và chỉ nếu

giả thuyết RSA vững chắc

Ở đây, ý nghĩa của "all-or-nothing" đã được giải thích ở phần 2.1 và CPA đã được nhắc đến ở mục 1.4

Đầu tiên chúng ta hãy tìm hiểu an toàn kiểu "all-or-nothing" Từ "all" ở đây có nghĩa

là phải tìm toàn bộ khối bản rõ trong trường hợp thông thường: thông điệp có kíchthước của modulo Trong các ứng dụng thực tế, một bản rõ cụ thể chứa vài thông tinphụ không bí mật Hệ mật RSA không che giấu vài thông tin phụ về một bản rõ Ví dụ,nếu một bản rõ được biết như là một con số bé hơn 1.000.000 (ví dụ một cuộc đấu giá

bí mật hoặc là số tiền lương), sau đó được cho một bản mã, một kẻ tấn công có thểtìm ra bản

29

rõ trong quá trình mã hoá trial-and-error.

Thông thường, cho một bản rõ m (< N), với một xác suất đáng kể, chỉ cần m lần thử

để xác định m nếu bộ nhớ đáp ứng được kích thước m Tính chất nhân của hàm RSA như sau:

(m1× m2 )e ≡ m1e× m2e ≡ c1× c2 (mod N)

Phân tích bản rõ thành thừa số có được các bản mã tương ứng Thường một bài toánphân tích thừa số của bản mã RSA là khó do tính chất biến đổi hỗn hợp của hàm mãhoá sẽ là cách chung nhất làm cho một bản mã có kích thước của modulo đó Tuynhiên tính chất luỹ thừa cho thấy rằng nếu một bản rõ dễ dàng phân tích thành thừa sốthì bản mã cũng dễ dàng như thế Tính lỏng lẻo của sự phân tích thành thừa số nguyên

tố dẫn đến một cuộc tấn công gặp ở giữa.[4]

Tấn công gặp ở giữa và tấn công tích cực vào hệ mã RSA

MALICE thực hiện như sau

Từ (1), (2), một tấn công vào ở giữa, điều kiện ở (3) sẽ chỉ ra trước 2 2

bước tính toán i e (mod N) Như vậy thì Malice biết bản rõ i, j và anh

ta khôi phục lại m = i.j.

Hãy làm một phép đo chi phí của Malice Không gian lưu trữ cho cơ sở dữ liệu là

gồm cả thời gian cho việc tìm kiếm nhị phân là hàm mũ của modulo Vậy tổng thời

gian phải trả có độ phức tạp là O B(2 2l+ 1 ( 2l +log3N)) Nếu chi phí cho không gian lưu

có thể thực hiện với một xác suất đáng kể (để phân tích khoá DES thành hai số nguyên

28 bit), sử dụng không gian lưu trữ 228.1024 = 238 bit =32 gigabit và tính toán đồng dưthức luỹ thừa 229 Chi phí không gian lưu trữ và thời gian có thể đáp ứng được bởi

máy tính cá nhân có cấu hình tốt, trong khi tìm kiếm khóa DES trực tiếp từ quá trình

mã hoá yêu cầu tính toán đồng dư thức luỹ thừa 256 có thể không thực hiện đượcthậm chí sử dụng một thiết bị tốt

Bây giờ chúng ta biết rằng chúng ta không nên sử dụng hệ mật RSA để mã hoá một khoáhoặc mật khẩu ngắn hơn 264 bit Điều gì xảy ra nếu trong một ứng dụng chúng ta phảithực hiện mã hoá RSA cho các số nguyên bé, thậm chí là một thông điệp dài bằng

31

một bit Như vậy chúng ta nên sử dụng các phương pháp mã hoá.được giới thiệu ở chương 3.

Cần chú ý rằng các phương pháp chuyển đổi bản rõ, chẳng hạn như lược đồ ký PSS giữ vai trò quan trọng đối với quá trình mã hóa cũng như chữ ký điện tử vàkhông được dùng khóa chung cho đồng thời cho cả hai mục đích trên.

RSA-2.2.2 Hệ thống ký hiệu an toàn cho lược đồ ký số

Tính chất 1-Hệ thống ký hiệu an toàn cho lược đồ ký

Chúng ta nói rằng một lược đồ ký là an toàn nếu một kẻ giả mạo không thể tính toán được để đưa ra một cặp bản rõ-chữ ký hợp lệ Nghĩa là, kẻ tấn công có được khóa công khai và sự mô tả của lược đồ ký, được yêu cầu đưa ra một cặp bản rõ-chữ ký hợp lệ không bao giờ được sử dụng bởi người ký đích Kẻ tấn công là không hợp lệ nếu không có gắng đưa ra sự giả mạo thông qua các nhiệm vụ, ví dụ sử dụng các cặp bản rõ-chữ ký có sẵn khác hoặc liên lạc với người ký đích của quá trình ký để sử dụng các chữ ký hợp lệ trên các bản rõ qua lựa chọn của anh ta.[4]

Hệ thống an toàn cho lược đồ ký này không đầy đủ cho các ứng dụng bởi vì tính chấtnày yêu cầu rằng kẻ tấn công quá yếu hoặc môi trường ký cực kỳ khó để tấn công.Trong thực tế, cặp bản rõ-chữ ký là riêng cho một khoá công khai và một lược đồ kýluôn dùng được vì chúng không có gì bí mật Thường thì kẻ tấn công có quyền yêucầu một người ký sử dụng các chữ ký trên các bản rõ qua lựa chọn của anh ta Mộtkiểu tấn công như thế là hợp lý vì nó có thể chọn các bản rõ phù hợp Tấn công theokiểu CPA, kẻ tấn công được cho một bản rõ đích hoặc có thể chọn các thông điệp dựavào bản rõ đích (có thể thực hiện các phép biến đổi đại số trên bản rõ đích) và gửithông điệp chính anh ta chọn cho người ký đích để chúng được ký Điều này dườngnhư người ký trợ giúp kẻ tấn công sinh ra chữ ký giả mạo Nhiệm vụ của kẻ giả mạo

là giả mạo một chữ ký trên bản rõ đích

Chính bản thân một khoá công khai không cung cấp một "dịch vụ giải mã ngờnghệch" cho kẻ tấn công Mức độ thận trọng có thể là hợp lý nếu việc sở hữu khoákhông đủ mạnh, thậm chí yêu cầu người dùng có tính thận trọng cao hơn không phải

là giải pháp đúng cho các tấn công thích hợp Trong trường hợp ký, chúng ta khôngthể yêu cầu lâu hơn hoặc khuyến cáo người dùng cung cấp "các dịch vụ ký ngờ

Bài toán RSA là bài toán tính căn bậc e môđun n (với n là hợp số): tìm số m sao cho

m e ≡c mod n, trong đó (e, n) chính là khóa công khai và c là bản mã Hiện nay phương

pháp triển vọng nhất giải bài toán này là phân tích n ra thừa số nguyên tố Khi thực hiện được điều này, kẻ tấn công sẽ tìm ra số mũ bí mật d từ khóa công khai và có thể

giải mã theo đúng quy trình của thuật toán Nếu kẻ tấn công tìm được 2 số nguyên tố

p và q sao cho: n = pq thì có thể dễ dàng tìm được giá trị (p-1)(q-1) và qua đó xác

định d từ e Chưa có một phương pháp nào được tìm ra trên máy tính để giải bài toán này trong thời gian đa thức (polynomial-time) Tuy nhiên người ta cũng chưa chứng

minh được điều ngược lại (sự không tồn tại của thuật toán)

Số lớn nhất có thể được phân tích ra thừa số nguyên tố có độ dài 663 bít với phươngpháp phân tán trong khi khóa của RSA có độ dài từ 1024 tới 2048 bít Một số chuyêngia cho rằng khóa 1024 bít có thể sớm bị phá vỡ (cũng có nhiều người phản đối việcnày) Với khóa 4096 bít thì hầu như không có khả năng bị phá vỡ trong tương lai gần

Do đó, người ta thường cho rằng RSA đảm bảo an toàn với điều kiện n được chọn đủ lớn Nếu n có độ dài 256 bít hoặc ngắn hơn, nó có thể bị phân tích trong vài giờ với

máy tính cá nhân dùng các phần mềm có sẵn Nếu n có độ dài 512 bít, nó có thể bịphân tích bởi vài trăm máy tính tại thời điểm năm 1999 Vì vậy hiện nay người takhuyến cáo sử dụng khóa có độ dài tối thiểu 2048 bít.[12]

34

Chương 3 CHỮ KÝ SỐ RSA-PSS 3.1 Tổng quan về sơ đồ chữ ký RSA-PSS

Mật mã xác suất là một ý tưởng được đề xuất bởi Goldwasser và Micali từnăm 1984, xuất phát từ yêu cầu giải quyết một vấn đề sau đây: Giả thiết ta có một hệmật mã khoá công khai, và ta muốn lập mật mã cho bản rõ chỉ gồm một bit Điều đóthường gặp khi ta muốn bí mật truyền đi một thông tin chỉ có nội dung là có hoặckhông, tức là một thông tin đặc biệt quan trọng nhưng chỉ gồm một bit Nếu ta dùng

hệ mật mã công khai thường, thì một bản mật mã đã được truyền đi sẽ là ek(0) hoặc

ek(1), và khi lấy được bản mã truyền đi trên kênh truyền thông tin công cộng, chỉ cần

so sánh bản mã nhận được đó với hai bản ek(0) và ek(1) đã được tính sẵn là đủ biếtđược thông tin mật được truyền đi là 0 hay 1 Các hệ mật khoá công khai sở dĩ cóđược tính bảo mật là vì từ thông tin bản mã khó lòng khai thác được thông tin gì vềbản rõ, nhưng rõ ràng điều đó không còn được đảm bảo nếu số các bản rõ là rất ít,chẳng hạn như khi các bản rõ có độ dài cực ngắn, hay trong trường hợp trên, số cácbản rõ chỉ là hai, cụ thể là 0 và 1.[2]

Mục đích của việc xây dựng mật mã xác suất là để đảm bảo không một thông tin nào

về bản rõ có thể khai thác được (trong thời gian đa thức) từ bản mã; điều này đối vớicác hệ mật khoá công khai, có thể được thực hiện bằng cách tạo cho một bản rõ nhiềubản mã khác nhau theo cách ngẫu nhiên với việc sử dụng các số ngẫu nhiên trong tiếntrình lập mã

“PSS” ám chỉ tới lược đồ chữ ký xác suất (Probabilistic Signature Scheme) khởi đầubởi Mihir Bellare và Phillip Rogaway Công trình của Bellare và Rogaway đã nângmức trong cộng đồng nghiên cứu cho một lược đồ chữ ký an toàn Thực hành dựa trên

hệ chữ ký RSA RSA-PSS là một cập nhập kết quả của họ dành cho các chuẩn côngnghiệp

RSA-PSS gần đây đã được đưa vào các công cụ phần mềm của hãng RSA Security là RSA BSAFE Crypto-C và Crypto-J toolkits.[10]

3.1.1 RSA-PSS hoạt động như thế nào ?

RSA-PSS, giống như hầu hết các lược đồ chữ ký số, tuân theo kiểu mẫu “băm-rồi-ký’

Giả sử M là văn bản cần phải ký Chữ ký được tính trên văn bản M theo 3 bước:

1. Áp dụng hàm băm một chiều vào văn bản M để sinh ra giá trị băm mHash.

2. Biến đổi giá trị băm mHash thành văn bản đã mã hoá EM.

3. Áp dụng thành tố chữ ký vào văn bản đã mã hoá EM sử dụng khoá bí mật để sinh ra chữ ký S.

Điều đó có thể được biểu diễn ở dạng công thức như sau:

S= SigPrim (khoá bí mật, Transform (Hash (M)))

Ở đây, SigPrim ký hiệu thành tố chữ ký Với hệ mật RSA, đó là công thức kinh điển:

Giả thiết rằng văn bản đã mã hoá có thể được khôi phục từ chữ ký, đó là trường hợp cho các lược đồ được mô tả ở đây, chữ ký được kiểm tra trong 3 bước:

1. Áp dụng hàm băm một chiều vào văn bản để sinh ra giá trị băm mHash.

2. Áp dụng thành tố kiểm định vào chữ ký S để khôi phục văn bản đã mã hoá

EM.

3. Xác định xem văn bản đã mã hoá EM có là biến đổi hợp lệ của giá trị băm

mHash (Nếu chỉ có một biến đổi hợp lệ cho mỗi giá trị băm, thì người ta có

thể chỉ cần biến đổi mHash một lần và so sánh với EM; nhưng nếu có hơn

một biến đổi hợp lệ, thì quá trình xử lý tiếp là cần thiết)

Trong lược đồ chữ ký PKCS #1 v1.5, thao tác Transform bao gồm một phép đệm cốđịnh, giá trị băm đơn thuần được nối vào đầu bằng một chuỗi tiếp đầu ngữ có dạng 00

01 ff ff … ff ff 00 (theo dạng hex), sau đó là một chuỗi định ra hàm băm Trong

RSA-36

PSS, thao tác Transform là ngẫu nhiên hơn nhiều Thay cho một phép đệm cố định,lược đồ sinh ra một giá trị “salt” ngẫu nhiên, sau đó áp dụng hàm băm và hàm sinhmặt nạ vào giá trị salt và giá trị băm để sinh ra văn bản mã hoá Biến đổi được minhhoạ ở dưới đây, bao gồm các bước sau:

1. Sinh ra một giá trị ngẫu nhiên salt.

2. Nối phần đệm cố định, giá trị băm mHash và salt để tạo ra chuỗi M’.

3. Áp dụng hàm băm vào chuỗi M’ để tính ra giá trị băm H.

4. Nối phần đệm cố định và giá trị salt để tạo ra khối dữ liệu DB

5. Áp dụng hàm sinh mặt nạ vào chuỗi H để tính ra giá trị mặt nạ dbMask.

6. Áp dụng phép toán XOR đối với giá trị mặt nạ dbMask với khối dữ liệu DB

Do có hàm băm và hàm sinh mặt nạ, văn bản đã được mã hoá EM hầu như hoàn toàn

ngẫu nhiên đến mức không có một cấu trúc đặc biệt có thể phân biệt nó với chuỗingẫu nhiên có cùng độ dài với giả thiết rằng 2 hàm được xem như là các “hộp đen”(đó chính là “các tiên đoán ngẫu nhiên”) Chỉ có các phần không ngẫu nhiên là phầnđệm bc ở cuối (được đưa vào để tương thích với các chuẩn khác) và có thể một số bit

0 ở đầu (khi EM được xem như là số nguyên modulo n) Thêm vào đó, phép biến đổi

là được ngẫu nhiên hoá bởi vì giá trị salt ngẫu nhiên: có nhiều bản mã hoá có thể, cho nên có nhiều chữ ký có thể cho một văn bản đã cho M Điều này giúp đỡ cho phân tích

độ an toàn được mô tả về sau

Hình 3.1 Minh hoạ hoạt động của lược đồ ký RSA-PSS

3.1.2 Ưu thế của RSA-PSS

Ưu thế chính của RSA-PSS đối với lược đồ chữ ký PKCS#1 v1.5 kinh điển ởchỗ các phương pháp hiện đại về phân tích độ an toàn có thể liên hệ độ an toàn của nóvới độ an toàn của bài toán RSA Trong khi chưa có tấn công nào được biết đối vớilược đồ kinh điển và việc giải bài toán RSA cơ sở (tức là phân tích modulus) làphương pháp tốt nhất được biết để giả mạo chữ ký, thì không có một mối liên hệ nàogiữa lược đồ chữ ký số PKCS#1 v1.5 với bài toán RSA được chứng minh RSA-PSS,ngược lại, có một chứng minh như vậy nếu người ta mô hình hoá các hàm băm của

nó như là các “tiên đoán ngẫu nhiên” như vẫn thường được làm

Trong các năm gần đây có một xu hướng hướng tới các kỹ thuật mật mã được gọi là

38

“an toàn chứng minh được” Nếu một lược đồ chữ ký không có chứng minh an toàn,thì có thể về mặt lý thuyết các chữ ký dễ bị giả mạo, trong khi bài toán nằm dưới vẫn

là khó giải Mặc dù theo lý thuyết độ phức tạp không cho phép chúng ta chứng minhrằng bài toán cơ sở, tức là RSA, là chắc chắn khó giải, chúng ta sẽ có một sự tin tưởngrằng nếu bài toán đó là thực sự khó giải, thì các chữ ký cũng khó giả mạo như vậy.RSA-PSS mang lại tin cậy cao độ vào việc thu gọn khoảng cách giữa giả thuyết bàitoán RSA là khó giải và khẳng định rằng các chữ ký là khó giả mạo Thực ra, RSA-PSS có một trong những khoảng cách nhỏ nhất như vậy trong số các kỹ thuật “an toànchứng minh được” hiện thời; theo cách nói thông thường, phép chứng minh cho độ antoàn của RSA-PSS là rất “chặt” Việc ngẫu nhiên hoá trong lược đồ chữ ký đóng mộtvai trò quan trọng trong việc đạt được tính chặt và là một trong những đóng góp cơbản từ lược đồ PSS của Bellare và Rogaway

Một ưu thế nữa của RSA-PSS là, do việc ngẫu nhiên hoá, kẻ tấn công không biết xem

trước văn bản đã được mã hoá EM như thế nào Điều này làm cho các tấn công “phân

tích lỗi” kiểu như được đề xuất bởi Bellcore một số năm trước đây khó có thể thựchiện được (xem RSA Laboratories’ [14])

3.1.3 Các công trình chuẩn

RSA-PSS đã được thêm vào phiên bản 2.1 của PKCS #1: RSACryptography Standard, nó đã được công bố bởi RSA Laboratories vào tháng 6 năm

2002 Tài liệu này đã được công bố lại là IETF RFC 3447

Lược đồ chữ ký số này đã được khuyến cáo bởi dự án NESSIE của châu Âu, nó cũngnhận được đánh giá đồng tình bởi dự án CRYPTREC của Nhật Bản RSA-PSS cũng

có ở trong phiên bản dự thảo (gần như cuối) của IEEE P1363a Một lược đồ đồnghành cung cấp khả năng “khôi phục văn bản” cũng được đưa vào chuẩn quốc tếISO/IEC 9796-2:2002

RSA Laboratories cũng khuyến khích chuyển dần sang dùng RSA-PSS như là cácchuẩn khác như: SHA-256 hay AES RSA Laboratories hoan nghênh các đề nghị cho