Vietebooks Nguyn Hong Cng Trang 19 dùng để xây dựng c. Ta nói rằng, nếu y x a (mod p) thì đáp dụng ứng (respond) d G mà Bob có thể là sẽ chỉ phủ hợp chính xác một trong q cặp đợc ( e 1 ,e 2 ). Vì sinh ra G, nên ta có thể viết một phần tữ bất kỳ thuộc G nh một số mũ của , trong đó số mũ đợc xác minh duy nhất theo modulo q. Vì thế có thể viết c = i ,d = j , x = k và y = l với i, j, k, l Z p và mọi phép tính số học là theo modulo q. Xét 2 đồng d thức sau: c y e 1 e 2 (mod p) d x e 1 e 2 (mod p) Hệ thống này tơng đơng hệ đồng thức sau: i l e 1 +a e 2 (mod q) j k e 1 + e 2 (mod q) Bầy giờ giả thiết rằng: y x a (mod p) nên rút ra : l a k (mod q) Vì thế, ma trận hệ số của các đồng d thức theo modulo q này có định thức khác 0 và nh vây tồi tại nghiệm duy nhất cho hệ thống thống. Nghiã là, mỗi d G là một đáp ứng với một trong q cặp (e 1 ,e 2 ) đợc sắp có thể. Hệ thống quả là, xác suất để Bob đa cho Alice một đáp ứng(trả lời) d cần đợc xác minh đúng bằng 1/q. Định lý đợc chứng minh. Hình 6.8. Thủ tục từ chối. 1. Alice chọn e 1 ,e 2 một cách ngẫu nhiên, e 1 ,e 2 Z q * 2. Alice tính c = y e 1 e 2 mod p và gửi nó cho Bob. 3. Bob tính d = ? 4. Alice xác minh xem d có x e 1 e 2 (mod p) không 5. Alice chọn f 1 ,f 2 ngẫu nhiên , f 1 ,f 2 Z q * 6. Alice tính C = y f 1 f 2 mod p và gửi cho Bob 7. Bob tính D = ???????? 8. Alice xác minh xem D có x f 1 f 2 (mod p) không 9. Alice kết luận rằng y là giả mạo khi và chỉ khi ( d -e 2 ) f 1 (D -f 2 ) e 1 (mod p) Comment [NVH1]: Vietebooks Nguyn Hong Cng Trang 20 Bây giờ quay trở lại giao thức từ chối. Giao thức này gồm hai 2 thực hiện giao thức xác minh và đợc nêu trong hình 6.8. Các bớc 1- 4 và 5- 8 gồm 2 lần thực hiện không thành công giao thức xác minh. Bớc 9 bớc tính kiểm tra phù hợp cho Alice xác định xem liệu có phải đang lập các câu trả lời của anh ta theo thứ tự chỉ ra hay không. Dới đây là ví dụ minh hoạ. Ví dụ 6.6 Nh trớc đây, giả sử p = 467, = 4, a = 101, và = 449. Giả thiết bức điện x = 286 đợc ký y = 83 và Bob muốn thiết phục Alice rằng chữ ký không hợp lệ. Giả sử Alice bắt đầu bằng việc chọn các giá trị ngẫu nhiên e 1 =45, e 2 =237. Alice tính c =305 và Bob trả lời d = 109. Sau đó Alice tính 286 125 4 237 mod 467 =149 Vì 149 # 109 nên Alice thực hiện bớc 5 của giao thức. Bây giờ giả sử Alice chọn giá trị ngẫu nhiên f 1 = 125, f 2 = 9. Alice tính C = 270 và Bob trả lời với D =68. Alice tính 1 86 125 4 9 mod 467 =25 Vì 25 # 68 nên Alice tiếp tục sang bớc 9 của giao thức kiểm tra tính phù hợp. Bớc kiểm tra này thành công vì: (109 ì4 -9 ) 125 188 (mod 467) và (68 ì4 -9 ) 45 188 (mod 467) Vì thế Alice tin rằng chữ ký không hợp lệ. Bây giờ, ta phải chứng minh hai vấn đề: 1. Bob có thể thuyết phục Alice rằng, chữ ký không hợp lệ là giả mạo. 2. Bob không thể là Alice tin rằng chữ ký không hợp lệ là giả mạo trừ một xác suất rất bé. Định lý 6.2 Nếu y x a (mod p) và cả Alice lẫn Bob thực hiện theo giao thức từ chối thì ( d -e 2 ) f 1 (D -f 2 ) e 1 (mod p) Chứng minh: Dùng các yếu tố d ??? Vietebooks Nguyn Hong Cng Trang 21 c y e 1 e 2 (mod p) và a (mod p) Ta có: ( d -e 2 ) f 1 ???? Tợng tự, dùng các yếu tố D ???? (D -f 2 ) e 1 y e 1 f 2 (mod p) vì thế phép kiểm tra tính phù hợp trong bớc 9 thành công. Bây giờ xét xác suất để Bob có thể thử từ chối một chữ ký hợp lệ. Trờng hợp này không giả thiết Bob thực hiên theo thủ tục. Nghĩa là Bob có thể không xây dng D Và d nh trong giao thức. Vì thế trong định lý tiếp theo chỉ là giả thiết rằng, Bob có thể tạo ra các D và d thoả mãn điều kiện trong các bớc 4,8và 9 của giao thức nêu trên hình 6.8. Định lý 6.3 Giả sử y x a (mod p) và Alice thực hiện theo giao thức từ chối. Nếu d x e 1 e 2 (mod p) và D x 1 2 (mod p) thì xác suất để: ( d -e 2 ) 1 (D - 2 ) e 1 (mod p) = 1-1/q chứng minh: giả sử rằng, các đồng d thức sau đợc thoả mãn y a (mod p) d x e 1 e 2 (mod p) D x 1 2 (mod p) ( d -e 2 ) 1 (D - 2 ) e 1 (mod p) ta sẽ nhận đợc mâu thuẩn nh trình bay sau đây: có thể viết lại bớc 9- bớc kiểm tra tính phù hợp nh sau D d 0 1 2 trong đó d 0 = d 1/e 1 -e 2 /e 1 mod p là giá trị chỉ phụ thuộc vào các bớc 1- 4 trong giao thức. áp dụng định lý 6.1, ta kết luận đợc y là chữ ký hợp lệ đối với d 0 với xác suất 1- 1/q. Song ta đã giả thiết y là chữ ký hợp lệ đối với x, nghĩa là là ta có (với xác suất cao) x a d 0 a (mod p) có nghĩa là x = d 0 Vietebooks Nguyn Hong Cng Trang 22 Tuy nhiên do d x e 1 e 2 (mod p) có nghĩa là x d 1/e 1 -e 2 /e 1 (mod p) Và từ chỗ d 0 d 1/e 1 -e 2 /e 1 (mod p) suy ra x # d 0 ta nhận đợc mâu thuẩn. Nh vậy Bob có thể lừa dối Alice theo cách này với xác suất 1/q. 6.6 các chữ ký fail- stop Sơ đồ chữ ký Fail- stop dùng để tăng độ mật trớc khả năng một đối thủ mạnh có thể giả mạo chữ ký. Nếu Oscar khả năng giả mạo chữ ký của Bob thì Bob có khả năng chứng minh đợc (với xác suất cao) rằng chữ ký của Oscar là giả mạo. Phần này sẽ mô tả một sơ đồ Fail- stop do Van Heyst va Pedersen đua ra năm 1992. Đầu là sơ đồ chữ ký 1 lần (chỉ một bức điện có thể ký bằng một cho trớc chỉ 1 lần). Hệ thống gồm các thuật toán ký, thuật toán xác minh và thuật toán chứng minh giả mạo. Hình 6.9 mô tả các thuật toán ký và xác minh của sơ đồ Fail- stop của Van Heyst va Pedersen. Không khó khăn nhận thấy rằng, chữ ký do Bob tao ra sẽ thoả mãn điều kiện xác minh nên ta lại trở các kía cạnh an toàn toàn của sơ đồ này và các thức làm việc của tính chất Fail- Safe (tự động ngừng khi có sai số). Trớc hết, ta thiết lập vài yếu tố quan trọng có liên quan đến các khoá của sơ đồ. Đầu tiên đa ra một định nghĩa: Hai khoá ( 1 , 2 , a 1 , a 2 , b 1 , b 2 ) và ( 1 , 2 , a 1 , a 2 , b 1 , b 2 ) là tơng đơng nếu 1 = 1 , 2 = 2 . Và dễ dàng nhận thấy tồi tại q 2 khoá trong lớp tơng đơng bất kỳ. Sau đây là vài bổ đề. Vietebooks Nguyn Hong Cng Trang 23 Bổ đề 6.4 Giả sử K và Klà các khoá tơng đơng và giả thiết chữ ký ver K (x,y) = true(đúng). Khi đó chữ ký ver K (x,y) = true. Chứng minh Giả sử K =( 1 , 2 , a 1 , a 2 , b 1 , b 2 ) và K= ( 1 , 2 , a 1 , a 2 , b 1 , b 2 ) trong đó : 1 = a 1 a 2 mod p = a 1 a 2 mod p 2 = b 1 b 2 mod p = b 1 b 2 mod p Giả sử x đợc bằng cách dùng K và tạo ra các chữ ký y =( y 1 , y 2 ) trong đó: y 1 = a 1 +xb 1 mod q y 2 = a 2 +xb 2 mod q Hình 6.9 Sơ đồ chữ ký Fail- stop. Cho p = 2q+1 là số nguyên tố sao q là nguyên tố và bài toán logarithm rời rạc trong Z p là khó giải. cho Z p * là phần tử bậc q. Giả sử 1 a 0 q-1và định nghĩa = a 0 mod p. Các giá trị p, q, , và a 0 đều do ngời có thẩm quyền (đợc tin cậy) chọn. Các số p, q, và công khai và cố định còn a 0 đợc giữ bí mật. Cho p =Z p và a = Z q ì Z q . khoá có dạng: K =( 1 , 2 , a 1 , a 2 , b 1 , b 2 ) trong đó a 1 , a 2 , b 1 , b 2 Z q 1 = a 1 a 2 mod p còn 2 = b 1 b 2 mod p Với K =( 1 , 2 , a 1 , a 2 , b 1 , b 2 ) và x Z p * , ta định nghĩa sig k (x) =(y 1 , y 2 ) trong đó y 1 = a 1 +xb 1 mod q còn y 2 = a 2 +xb 2 mod q Với y =( y 1 , y 2 ) Z q ì Z q ta có: Xác minh ver(x, y ) = true 1 2 x y 1 y 2 (mod p ) Vietebooks Nguyn Hong Cng Trang 24 Bây giờ giả sử ta xác minh y bằng cách dùng K y 1 y 2 a 1 + xb 1 a + xb 2 (mod p) a 1 a 2 ( b 1 b 2 ) x (mod p) 1 2 x mod p Nh vậy, y cũng sẽ đợc xác minh bằng K. Bổ đề 6.5 Giả sử K là khoá còn y = sig K (x). Khi đó tồn tại đúng q khoá K tơng đơng với K sao cho y= sig K (x). Chứng minh Giả sử 1 và 2 là các thành phần công khai của K. Ta muốn xác định số bội 4 ( a 1 , a 2 , b 1 , b 2 )sao cho các đồng d thức sau đây đợc thoả mãn. 1 a 1 a 2 (mod p) 2 b 1 b 2 (mod p) y 1 a 1 +xb 1 (mod q) y 2 a 2 +xb 2 (mod q). Vì sinh ra G nên tồn tại các số mũ duy nhất c 1 , c 2 , a 0 Z q sao cho 1 c 1 (mod p) 2 c 2 (mod p) và a 0 (mod p) vì thế nó điều kiện cần và đủ để hệ các đồng d thức sau đây đợc thoả mãn: c 1 a 1 +a 0 a 2 (mod q) c 2 b 1 +a 0 b 2 (mod q) y 1 a 1 + xb 1 (mod q) y 2 a 2 + xb 2 (mod q) Hệ thống này có thể viết dới dạng phơng trình ma trận trong Z q nh sau: = x 0 0 x 0 a 1 0 0 1 0 0 1 0 0 0 a 1 2 b 1 b 2 a 1 a 2 y 1 y 2 c 1 c . cao) rằng chữ ký của Oscar là giả mạo. Phần này sẽ mô tả một sơ đồ Fail- stop do Van Heyst va Pedersen đua ra năm 1992. Đầu là sơ đồ chữ ký 1 lần (chỉ một bức điện có thể ký bằng một cho. 6.6 các chữ ký fail- stop Sơ đồ chữ ký Fail- stop dùng để tăng độ mật trớc khả năng một đối thủ mạnh có thể giả mạo chữ ký. Nếu Oscar khả năng giả mạo chữ ký của Bob thì Bob. 1 86 125 4 9 mod 46 7 =25 Vì 25 # 68 nên Alice tiếp tục sang bớc 9 của giao thức kiểm tra tính phù hợp. Bớc kiểm tra này thành công v : (109 4 -9 ) 125 188 (mod 46 7) và (68 4 -9 ) 45