Firma de Schnorr

En criptografía, la firma Schnorr es una firma digital producida por el algoritmo de Schnorr del mismo nombre. Se trata de un esquema de firma digital simple de implementar, uno de los primeros cuya seguridad se basa en la supuesta dificultad computacional de computar logaritmos discretos. El algoritmo es eficiente y las firmas generadas son pequeñas en tamaño. Su patente expiró en febrero de 2008.

Abajo: para firmar un mensaje M {\displaystyle M} : La firma del mensaje consiste en el par ( s , y ) {\displaystyle (s, e)} . Tenga en cuenta que s , y ∈ Z q {\displaystyle S, e\in \ mathbb {Z} _{q}} ; si q & lt; 2 160 {\displaystyle q< 2^{160}} , entonces el tamaño de la firma no supera los 40 bytes. Es relativamente simple de notar demostrar y v = y {\displaystyle E_{v} = e} si el mensaje firmado es el mismo que el mensaje verificado: r v = Gram s y y = Gram k − x y Gram x y = Gram k = r {\displaystyle r_{v} = g^{s}y^{e} = G^{k-xe}g^{xe} = G^{k} = r} , entonces y v = H ( r v ∥ M ) = H ( r ∥ M ) = y {\displaystyle E_{v} = H (R_{v} \ parallel M) = H (R \ parallel m) = e} Si y v = y {\displaystyle E_{v} = e} luego se verifica la firma. Información pública: Gram {\displaystyle G} , Gram {\displaystyle g} , q {\displaystyle q} , y {\displaystyle y} , s {\displaystyle S} , y {\displaystyle e} , r {\displaystyle r} . Información privada: k {\displaystyle k} , x {\displaystyle x} . Esto muestra cómo solo un mensaje firmado correctamente será verificado con éxito. Sin embargo, esta propiedad por sí sola no implica que el plan sea seguro. El esquema de firma digital aplica la transformación Fiat-Shamir al Protocolo de identificación Schnorr. Por lo tanto (en cuanto a los argumentos de Fiat y Shamir) es seguro si H {\displaystyle \mathrm {H} } se modela como un oráculo Aleatorio. Su seguridad puede ser cuestionada en un modelo de grupo genérico, suponiendo que H {\displaystyle \mathrm {H} } tanto "resistente a la primera y segunda pre-imagen con prefijo Aleatorio" . Especialmente, H {\displaystyle \mathrm {H} } no necesita convertirse en resistencia a la colisión. En 2012, Seurin proporcionó una prueba exacta del esquema de firma de Schnorr. Es decir, con la hipótesis ROMDL, cualquier reducción algebraica debe perder un factor f ( ϵ F ) q h {\displaystyle f ({\epsilon} _{f}) q_{h}} en su coeficiente de tiempo-éxito, f ≤ 1 {\displaystyle f\leq 1} es una función que se mantiene cerca de 1 hasta " ϵ F {\displaystyle {\epsilon } _ {F}} no se hace más pequeño que 1" , ϵ F {\displaystyle {\epsilon } _ {F}} es la probabilidad de falsificar un error a lo sumo q h {\displaystyle q_{h}} preguntando al Oráculo al azar En particular, Seurin realiza la prueba de seguridad utilizando el lema de bifurcación, demostrando que es el mejor resultado posible para cualquier sistema de firma digital, basado en un único homomorfismo de grupos que incluyen firmas como la de Schnorr o Guillou–Quisquater. Al igual que otros esquemas de firma digital, como DSA, ECDSA y ElGamal, la reutilización del nonce secreto k {\displaystyle k} en dos firmas distintas Schnorr puede permitir a un observador derivar la Clave Privada. En el caso de la firma Schnorr, la clave se puede obtener simplemente restando los dos valores de s {\displaystyle S} : Para aislar el valor de x {\displaystyle x} de hecho, es suficiente que y ′ ≠ y {\displaystyle is \ neq y} : The exploit is also applicable for nonce not sufficiently random.

El proceso anterior alcanza un nivel de seguridad de T-bit con firmas de 4 T-bits. Por ejemplo, un nivel de seguridad de 128 bits requeriría un total de 512 bits (64 bytes) en firmas digitales. La seguridad está limitada por ataques logarítmicos discretos en el grupo, que poseen una raíz cuadrada compleja. En el artículo original de Schnorr de 1991, se sugirió que dado que no se requiere resistencia a la colisión en el hash, las funciones de hash más cortas pueden ser igual de Seguras, los desarrollos recientes sugieren que se puede lograr un nivel de seguridad de T - bit con firmas de 3 t - bits. De hecho, con firmas cortas, un nivel de seguridad de 128 bits solo requeriría 384 bits (48 bytes) en firmas digitales, todo lo cual podría lograrse truncando el tamaño de e a la mitad de la longitud del campo de bits de S.

Criptosistemas de firma digital

Firma ciega

En el cifrado, las firmas ciegas fueron introducidas por David Chaum como una forma de firma digital en la que el contenido de un mensaje se oculta antes de ser...
Esta página se basa en el artículo de Wikipedia: Fuente, Autores, Licencia Creative Commons Reconocimiento-CompartirIgual.
This page is based on the Wikipedia article: Source, Authors, Creative Commons Attribution-ShareAlike License.
contactos
Política de privacidad , Descargos de responsabilidad