تحليل يك طرح جديد

محسن تورانيامضارمز

ResearcherID :A-9528-2009

ارائه شده در پانزدهمین کنفرانس ساالنه کامپیوتر انجمن

کامپیوتر ایران

1388تهران- اسفند ماه

2

ای بر امضارمز مقدمه

مفهوم امضارمز (Signcryption)

مفهوم بازگشايي امضارمز (Unsigncryption)

امضا رمز با پیشنهاد شد. Zheng توسط 1997 امضارمز در ◄تركيب توابع رمزنگاري و امضاي ديجيتال در يك گام منطقي

نمايد تا هزينه محاسبات و سربار ارتباطي را كاهش تالش ميكه مبتنی بر خم بیضوی ی امضارمزهایطرحیکی از دهد. در % و تعداد 58 پيشنهاد شد، بار محاسباتي در حدود Zhengتوسط

% نسبت به طرحهاي 40بيتهاي الزم براي ارسال در حدود .امضا-سپس-رمز مبتني بر خم بيضوي كاهش يافت

كارايي، درستيبايست واجد ويژگيهاي هر طرح امضارمز مي ◄موردنظر ی اصلی ويژگيها،امنیتمقوله باشد. در امنيتو

عبارتند از:

بدون داشتن کلید خصوصی بلند مدت فرستنده یا :محرمانگي -گیرنده، دستیابی به اطالعات جزئی درباره متن امضارمز شده

غیر ممکن باشد.محاسباتی برای حمله کننده از لحاظ

تهیه امضارمز جعلی که توسط الگوریتم :ناپذيري جعل -بازگشایی امضارمز قابل تایید باشد، از لحاظ محاسباتی برای

حمله کننده غیرممکن باشد.

فرستنده نتواند امضارمزهای قبلی خود را منکر :انكارناپذيري -شود. گیرنده هم بتواند به هر شخص ثالثی ثابت کند که

امضارمز را فرستنده تهیه نموده است.

گیرنده بتواند مطمئن باشد که پیام دریافت شده، :صحت -همان متنی است که توسط فرستنده، امضارمز شده است.

امنيت پيشرو در محرمانگي پيامبرخي طرحها ويژگيهايي نظير :آورند را نيز فراهم ميقابليت تاييد همگانيو

اگر کلید خصوصی بلند مدت :امنيت پيشرو در محرمانگي پيام -فرستنده لو رفت، کسی نباید بتواند متن اصلی متون امضارمز

شده قبلی را بازگشایی کند.

هر شخص ثالثی بدون اطالع از کلید :قابليت تاييد همگاني -خصوصی بلند مدت فرستنده یا گیرنده بتواند امضارمز را تایید

کند.

3

طرح امضارمز مورد بررسي

4

طرح امضارمز مورد بررسي

طرح هوانگ و

همكاران

طرح امضارمز

مورد بررسی

نمادهاي مورد

استفاده

)(mod)( nhhrHsd A

علت انجام اصالحات بر طرح هوانگ در طرح

مورد بررسی:

“ منجر به نقض تعریف حمله تبانیبیان شده که ”

”امنیت پیشرو در محرمانگی پیام“ می شود. بدین

ترتیب که اگر ایو کلید خصوصی بلند مدت آلیس را

بدست آورده باشد، ممکن است با باب تبانی کند

ایو کلید خصوصی آلیس را به باب بدین ترتیب که

را k تا باب با کلید خصوصی خود، کلید جلسه بدهد

برای آن امضارمز خاص را بدست آورده و متن

را بدست آورد. سپس باب می تواند پارامتر Mاصلی

h را حساب نموده، عدد تصادفی r مربوطه را با

استفاده از کلید خصوصی آلیس )که ایو به باب

استخراج داده( طبق رابطه

خاص استخراج شده را به ایو rباب این نماید. اگر

r، ایو هم خواهد توانست با استفاده از بدهد

kدریافتی )از باب( و کلید عمومی باب، کلید جلسه

آن جلسه خاص را Mرا بدست آورده و متن اصلی

!رمزگشایی نماید

nsdhr A mod)(1

5

مشكالت طرح امضارمز مورد بررسي

ناپxxذيري، جعل ◄ جعxxل نقض و امضxxارمز پxxذيري

انكارناپذيري و صحت پیام

عxدم مقxاومت در برابxر افشxاي پxارامتر تصxادفي )کلیxد ◄

خصوصی کوتاه مدت(

انجxام دهنxده ◄ بلندمxدت خطxر افشxاي كليxد خصوصxي

امضارمز

UKS آسيب پذيري در برابر حمله ◄

عدم توجه به تصديق كليد عمومي در رمزنگاری خم بيضوي ◄

بxراي ◄ تاييديxه بازگشxاينده امضxارمز در صxورت ارسxال امكxان افشxاي كليxد خصوصxي

فرستنده

ساير موارد )انتخاب پارامترهای حوزه و ...(◄

6

- جعل پذيري امضارمز1 مشكالت طرح مورد بررسي:

نقض جعxل )بxه نxام ديگxران امضxارمز معتxبر توليxد نمايxد توانxد مي بxه راحxتيكسxي هxر ◄(ناپذيري

ه فقxط شxخص دارنxده كليxد خصوصxي متنxاظر بxا كليxد كxتوانxد اثبxات نمايxد كسxي نمي ◄ (نقض انكارناپذيري)را تهيه نموده است معتبر عمومي گواهي شده، امضارمز

از آنجxا کxه جعxل امضxارمز بxه راحxتی امکان پxذیر اسxت، گیرنxده نمی توانxد مطمئن باشxد ◄نقض )کxه امضxارمز بازگشxایی و تاییxد شxده واقعxا از طxرف فرسxتنده ارسxال شxده اسxت

,]1,1[ (صحت پیام nsr R

),( 21 rrrGR

),( lkrUK B

)(MEC k

)||( 1rCHh

GsUP A

hss

),,,( PsRC

روش جعل امضارمز

امضارمز جعل شده در رابطه تایید امضارمز صدق نموده و

باب و هر شخص ثالثی )مثال

قاضی( آن را واقعا از آلیس خواهند دانست!

7

عدم مقاومت در برابر افشاي پارامتر - 2 مشكالت طرح مورد بررسي:تصادفي

( يا كليد زودگذر random parameterمقاومت در برابر افشاي پارامتر تصادفي ) ◄(Ephemeral key از ويژگيهاي فوق العاده مهم و اساسي در پروتكلهاي مبادله )

كليد است و از ویژگیهایی است که در طراحی تمام پروتكلهاي استاندارد و امن مورد توجه قرار می گیرد. این مقاومت بدان معناست که با افشای پارامتر

تصادفی، کلید جلسه نباید لو برود.

همانند يك كليد خصوصي كوتاه r در طرح امضارمز مورد بررسي، عدد تصادفي ◄ k است. با افشای کلید جلسه Rكند که کلید عمومی متناظر با آن مدت رفتار مي

به راحتی قابل محاسبه است:

لذا پروتکل برقراری کلید مورد استفاده، مقاومتی در برابر افشای پارامتر تصادفی ندارد.

با انجام تغییر کوچکی در تابع تولید کلید جلسه )مثال به صورت زیر( می توان ◄این مقاومت را ایجاد نمود.

),( lkrUK B

)()( 11 ABBA UrRdUdrrK

8

خطر افشاي كليد خصوصي بلندمدت - 3 مشكالت طرح مورد بررسي: انجام دهنده امضارمز

افشاي كليد خصوصي زودگذر، منجر به افشاي كليد خصوصي بلند مدت انجام دهنده امضارمز ◄نيز خواهد شد. به عبارتی، امنیت کلید خصوصی بلند مدت آلیس وابسته به امنیت و محرمانگی

بلندمدتي كه قرار است مثال ، كليدافشای آنبا عدد تصادفی است که وی تولید خواهد کرد و افشا خواهد شد.به طور کاملبراي چندين سال مورد استفاده قرار گيرد،

چنانچه در پیاده سازی، احتیاطهای الزم صورت نگرفته باشد، خطر افشای کلید خصوصی ◄بلندمدت کاربران فوق العاده جدی خواهد بود. به عنوان مثال:

( ممکن است از وسايل با محدوديت منابع گرفته تا سرورهاي بزرگ)كاربردها از در بسياري -از قبل، كارايي و سرعت عمليات در استفاده هاي ( r , R )ود تا با محاسبه و ذخيره زوجشتالش

. چنين زوجهاي ذخيره شده اي معموال در فضاي حافظه معمولي ذخيره یابدبعدي افزايش مي شوند، حال آنكه كليدهاي خصوصي معموال در محيطهاي سخت افزاري حفاظت شده ذخيره

مي شوند.

در ادوات با )به خصوص دومين امكان، استفاده از نقاط ضعف توليدكننده هاي اعداد تصادفي -( r , R ممکن است حمله کننده بتواند لیستی از محتملترین )است. در چنين حاالتي( محدوديت منابع

های موجود در لیست را استفاده Rها تهیه نموده و کلید خصوصی بلندمدت هر کاربری که یکی از کرده باشد، بدست آورد.

)||( 1rCHh

),,,( PsRC

)(mod)( nhhrHsd A

روش استخراج کلید خصوصی بلندمدت آلیس

)در فرض افشای کلید خصوصی کوتاه (r مدت

با داشتن شنود شده

9

UKS- آسيب پذيري در برابر حمله 4 مشكالت طرح مورد بررسي:

برابxر ◄ در مقxاومت ( Unknown Key-Share attack) حملxه اشxتراك كليxد مجهxول اسxت. مفهxوم کلیxد مبادلxه پروتکلهxای امنیxتی ویژگیهxای از مهمxترین یکی

و همکxاران مxورد توجxه قxرار گxرفت و پس از Diffie توسxط 1992اولیxه آن در توسعه یافت. PKC’99آن در مقاله ای در

، بxا وجxود آنكxه طxرفين ارتبxاط كليxد جلسxه مشxتركي را بxه UKS در حملxه ◄اند، ديxدگاه متفxاوتي از طxرف مقابxل خxود در مبادلxه كليxد اشxتراك گذاشxته

.دارند

، قxرار نيسxت ايxو كليxد جلسxه را بدسxت آورد. بنxابراين وي قxادر UKS در حملxه ◄نمي شxده مبادلxه پيامهxاي تغيxير يxا رمزگشxايي از بxه نxوعي بxه و باشxد

مفروضxات اشxتباه طxرفين دربxاره هxويت طxرف مقابxل خxود سxوء اسxتفاده نمايد. مي

)UKSحملxه ◄ آغxازگر عليxه بxر مي توانxد يكطرفxه، Initiator خگوxپاس يxا )(Responder.صورت پذيرد )

يكطرفxه UKS از آنجxا كxه طxرح مxورد بررسxی تxك مسxيره اسxت، صxرفا حملxه ◄ايxو در ارتبxاط بxر عليxه پاسxخگو بxر روي آن قابxل بررسxي اسxت. در اين حملxه،

بين آليس و بxاب مداخلxه نمxوده و كxاري مي كنxد تxا بxاب بxه اشxتباه بxاور كنxد كxه ، از شxخص ديگxري بxه )و در نتیجxه امضxارمز واصxله(كليxد جلسxه برقxرار شxده

غxير از آليس )مثال ايxو( بxه دسxت آمxده اسxت، در حxالي كxه آليس معتقxد اسxت xه را بxد جلسxه كليxاب رای كxال بxارس وی بxرای را امضxارمز )و نمxوده تولیxد

ست.داشته( ا

10

UKS- آسيب پذيري در برابر حمله 4 مشكالت طرح مورد بررسي:)ادامه(

يكطرفxه، تxاكنون دو نxوع حملxه شxناخته شxده اسxت كxه هxر دوي آنهxا UKS در مقولxه حمالت ◄.)از نوع بر عليه پاسخگو( بر روي طرح مورد بررسی قابل اعمال است

، فرض بر آن است که حمله کننده براي كليد عمومي Public Key Substitution UKS attack در ◄نمايد ولي اطالعي از كليد خصوصي متناظر آليس، به نام خود گواهينامه ديجيتال اخذ مي

با آن كليد عمومي ندارد. حمله کننده، ارتباط آليس و باب را مختل نموده، امضارمز آليس فرستد. از آنجا كه است، را عينا توام با گواهينامه ديجيتالي خود می

ولی به جای آنکه باب، شود امضارمز در رابطه بازگشایی صدق می نماید و تاييد ميامضارمز را از آلیس بداند، آن را از حمله کننده خواهد دانست.

نمايد: ، حمله کننده به طريق زير عمل ميUKS نوع دوم حمله برای انجام◄

توليد كليد خصوصي ، كليد عمومي و اخذ -گواهينامه معتبر

ايجاد اختالل در ارتباط آليس و باب و تعويض با كه در -آن

در نتيجه باب، امضارمز دريافتي را از حمله کننده خواهد دانست زیرا

EA UU

]1,1[ nd REGdU EE

),,,( PsRC ),,,( PsRC AE UUPP

EUPGs

فرض كنيد باب مثالي از اهميت و عواقب این حمله:◄يك شعبه بانك و آليس دارنده يك حساب بانكي در بانك

هاي ديجيتالي توسط شعبه مركزي باب باشد. گواهينامهبانك صادر شده و در داخل هر گواهينامه، اطالعات

فرض كنيد حساب هر صاحب حساب ذكر شده است. قرار باشد پس از تاييد موفقيت آميز امضارمز، مبالغ

امضارمز شده به حسابي واريز شوند كه مشخصات آن در گواهينامه ديجيتالي فرستنده امضارمز آمده است. با

به معتبر این حمله، پولها به صورت کامال قانونی و حساب حمله كننده واريز خواهند شد!

11

عدم توجه به تصديق كليد عمومي در رمزنگاری خم سایر مشكالت طرح مورد بررسي:

بيضوي

تاييxد كليxد عمxومي توسxط گواهينامxه را مxورد توجxه قxرار داده اسxت امxا تصxديق كليxد مxورد بررسxیطxرح ◄را مدنظر قرار نداده است. ( Public Key Validation)عمومي

عمxومي تصxديق كليxد عمxومي در رمزنگxاري ◄ مبتxني بxر خم بيضxوي موضxوع مهمي اسxت كxه حتمxا كليxد كليxد عمxومي . در غxیر این صxورت، امکxان انتخxاب کلیxد عمxومی نxامعتبر وجxود دارد. مي بايسxت انجxام پxذيرد

نxامعتبر، كليxدي از مرتبxه پxايين و واقxع بxر يxك خم نxامعتبر اسxت كxه مي توانxد بxراي انجxام حملxه خم نxامعتبر (Invalid curve attack ).مورد استفاده قرار گيرد

تصxدیق کلیxد عمxومی می بایسxت هم در مxورد کلیxد عمxومی بلندمxدت و هم در مxورد کلیxد عمxومی کوتxاه ◄( مورد توجه قرار گیرد.Rمدت )

و مxورد توجxه قxرار نگرفتxه و انجxام نمي شxودPKIتصxديق كليxد عمxومي بxه طxور سxنتي در اسxتانداردهاي ◄ انجxام مي دهxد، صxرفا اثبxات مxالكيت كليxد اسxت. در چxنين مxواردي، اخxذ گواهينامxه بxراي كليxدهاي CAنچxه كxه آ

PKC’03در عمxومي نxامعتبر امكان پxذير و سيسxتم در معxرض حمالت و آسxيب پذيريهاي مختلxف مي باشxد. اي كxه از الگxوريتم CA كxه بxه واسxطه آن مي تxوان بxراي يxك كليxد عمxومي نxامعتبر، از شxدالگxوريتمي ارائxه

ECDSA .در پروسه اثبات مالكيت استفاده مي نمايد، گواهينامه ديجيتال اخذ نمود

محxول شxود، تصxدیق CA بxه PKI اگرچxه ممکن اسxت تصxدیق کلیxد عمxومی بلندمxدت در اسxتانداردهای جدیxد ◄ قرار گيرد.( می بایست در داخل خود طرح مورد توجه Rکلید عمومی موقت )

12

امكان افشاي كليد خصوصي بازگشاينده امضارمز در سایر مشكالت طرح مورد بررسي: صورت ارسال تاييديه براي فرستنده

(، امکان حمله خم نامعتبر وجود دارد و R به علت عدم تصدیق کلید عمومی کوتاه مدت )◄در صورت ارسال تاییدیه دریافت از سوی باب )برای آلیس(، امکان افشای کلید خصوصی

بلندمدت باب وجود دارد.

آليس يك خم نامعتبر با فرض کنید تاییدیه به صورت باشد. ◄ از مرتبه كوچك انتخاب نموده و بر روي اين خم نقطه معادله

استفاده نموده، امضارمز را از در تراكنشهاي خود به جاي . او را انتخاب مي نمايد را براي باب ارسال مي دارد. انجام داده و چهار تايي

محاسبه نموده و مراحل بازگشايي و باب كليد جلسه را از رابطه ◄ را به انضمام تاييد امضارمز را انجام مي دهد. هنگامي كه باب رسيد

قادر خواهد آليس با توجه به كوچكي مرتبه نقطه انتخابي ، براي آليس مي فرستد اي را بيابد كه در رابطه بود به راحتي

صدق نمايد. از اين رو آليس با

. می نمایدصدق را بيابد كه در رابطه ، ای الش خواهد توانستت

)'(MMACt k

)'(, MMACtM kbaxxy 32

iQieR),,,( PsCQi

),( lkQdK iB M

iQ

iQlkK ),()'(MMACt k2ie

ied22B

ee dd

ii

iQ

هxاي مختلxف كxه آليس اين عمxل را بxراي ◄مي تواننxxد از خمهxxاي نxxامعتبر مختلفي انتخxxاب

شxرط آنكxه مرتبxه ه بx )شxده باشxند تكxرار مي كنxدانتخxاب شxده دو بxه دو نسxبت بxه هم نقxاط

. بxدين تxرتيب، آليس تعxدادي معادلxه (اول باشxند كxه در داشxتخواهxد بxه صxورت

آنها

آليس بxxxه راحxxxتي قxxxادر خواهxxxد بxxxود كليxxxد ◄خصوصxي بلنxد مxدت بxاب را از روي اين معxادالت

( CRTی )و بxا اسxتفاده از قضxيه باقيمانxده چيxند.بدست آور

iQ

iQ22

Be

e ddi

i

1),gcd(, ji eeji

13

موارد جزئیسایر مشكالت طرح مورد بررسي:

qF

. برای تامین مي باشدنجزو ويژگيهاي ضروري يك طرح امضا رمز مستقیم ويژگي تاييد همگاني ◄ با ی هر كسرفته چرا کهاز بين هوانگ ويژگي بعضا زايد، يكي از ظرافتهاي امنيتي طرح این

بدست آورد.را خواهد توانست پارامتر ،مشاهده و شنود امضارمز آليس

شرایطی ذکر شده است که کافی خم بيضوي حوزه در طرح مورد بررسی، برای پارامترهای ◄ ذکر شده شرایط مهم دیگری نیز وجود دارند که باید مورد عالوه بر شرايطنیست. در واقع،

توجه قرار گیرد. از جمله:

به منظور مقاوم سازي خم بيضوي در برابر حمالت زيرگروههاي كوچك، مي بايست مرتبه -اشد واول ب، عدد (n)عدد Gنقطه

باشد(.تعريف شده خم بيضوي بر روي ميدان متناهي )اگر

، خم بيضوي مي بايست غير فوق تكين حمالت شناخته شدهبرخی دیگر از به منظور جلوگيري از -در عمل كفايت ) بايد داشته باشيم به ازاي باشد و

مي كند( و

برابرR خارج نشده است كه در چنين حالتي، r از محدوده تغييرات مجاز انتخاب مقدار ◄O .خواهد بود

بر تاييد كليد عمومي با استفاده از گواهينامه ديجيتالي تاكيد شده، ولي به تصديق خود ◄گواهينامه اشاره اي نشده است. در چنين مواردي، يا مي بايست پروسه تصديق را به كل خارج از

ست به بقيه موارد نيز اطرح دانست و ذكر ننمود و يا در صورت طرح يكي از اين موارد، الزماشاره شود.

)||( 1rCHh

qn 4

qF

fi 11| iqn20fqn

0r

14

گيري نتيجه

يxكدر اين مقالxه◄ بيضxوي طxرح امضxارمز ، خم بxر مxورد بررسxي و مبتxني

تحليل قرار گرفت.

مشxخص شxد كxه طxرح امضxارمز مxورد بررسxي فاقxد ويxژگي جعxل ناپxذيري و ◄

در نتيجxه انكxار ناپxذيري -كxه هxر دو از اساسxي ترين ويژگيهxاي امنيxتي هxر طxرح

امضارمز هستند- مي باشد.

مشxxخص شxxد كxxه پروتكxxل برپxxايي كليxxد جلسxxه مxxورد اسxxتفاده در طxxرح ◄

اسxت. امضxارمز مxورد بررسxي، پxروتكلي ضxعيف اشxكال داراي همچxنين و

آسيب پذير است.UKSنشان داده شد كه طرح مورد بررسي، در برابر حمله

بxرخي ظرافتهxاي خxاص رمزنگxاري كليxد عمxومي در خمهxاي كxه مشxخص شxد ◄

بيضxxوي در اين طxxرح مxxورد توجxxه قxxرار نگرفته انxxد كxxه همين امxxور، وقxxوع

اي بxره نxيز حملxسxناريوي تعxدادي از حمالت را ممكن خواهنxد سxاخت. تعxدادي

اين طxرح معxرفي شxد كxه بxه واسxطه آنهxا، حمله كننxده خواهxد توانسxت كليxد

خصوصxي انجxام دهنxده امضxارمز )و در حxالتي كليxد خصوصxي بازگشxاينده

امضارمز( را استخراج نمايد.

15

با تشکر از حضور و توجه شما