تحليل يک طرح جديد امضارمز

صفحه 1:
تحلیل یک طرح جدید امضارمز 

صفحه 2:
۱ مقدمه‌ای بر امضارمز > امشارمز در ۱۹۷ توسط ‎aly ZHONG‏ شد. امضا رمز با تركيب توابع رمزتكارى و أمضاى ديجيتال در يك كام منطفى تلاش مى نمايد تا هزينه محاسبات و سرب ارتباطى را کاهش دهد. در یکی از طرحهای امضارمزیمبتنی برخم بیضوی که توسط 210610 اد شد. پر محاسباتی در حدود ۵۸و تعدادیتهی از رای ارسال در حدود 1۴۰ نسبت به طرحيهاى امضا-سيس-رعز مبتنى بر خم بيضوى كاهش يافت. > هر طرح امضارمز مى بايست واجد ويزكيهاى درستى. كارالى و امنيت باشد. در مقوله. امنيت. ويزكيهاى اصلى موردنظر عبارتند از: - محرماتكى: بدون داشتن كليد خصوصي بلند مدت فرستنده يا كيرنده. دستيايى به اطلاعات جزئى درباره متن امضارمز شده براى حمله كننده از لحاظ محاسباتى غير ممكن. باشد. جعلتابذيرى: تبهيه لمضارمز جعلى كه توسط الكوريتم بازكشابى امضارمز قابل تاييد باشد. از لحاظ محاسباتى براى حمله كتنده غيرممكن باشد. انكارةايذيرى: فرستنده نتوائد امضارمزهاى قبلى خود را منكر شود كيرنده هم بتوائد به اهر شخص تالثى تابت كند كه امشارمز را فرستنده تيهيه نموده است. صحت: كيزنده بتواتد مطمئن باشد كه ييام درياقت شده: همان متنى انست که توسط افرستنده. امشارمز شده است. برخى طرحها ويزكيهابى نظير امنيت يبشرو در محرمانكى هيام و قابليت تاييد همگانی را اتيز فراهم مى أورئد: امنيت بيشرو در محرماتكى ييام: اكر كليد خصوصى بلند مدت فرستنده لو رفت. كسى تباید تاد متن اصلى متون امضارمز شده قبلى را بازكشابى كند. قابليت تابيد همكانى: هر شخص تالثى بدون اطلاع از لید خصوصی پلند مدت فرستنده يا كيرنده بتواند امضارمز را تيد كند. 8-8 ۳ 8 از ]سوت و مفهوم امضارمز ‎(Signcryption)‏ سس ات لل © 'مفهوم بازكشابي امضارمز ‎(Unsigncryption)‏ 

صفحه 3:
طرح امضارمز مورد بررسى 5-2-2-2 معرفى و تحليل يك طرح جديد امضارمز مهد علاه ند ‎dane‏ پژوهشکده بردازش هوشمند علائم کامپوتر و نوری اطلاعات رق ارت و ناور لمات اسع يرق ‎Om‏ دانشكاد امام ين (ع) عقدكة صن دريف ‎arefastarifedu soleimanipour@ihu.ae ir ‘malaghband @emailcom‏ ‎a Soy ee pull Cpe Sa 3‏ پیشهادشده ات بوسطه اگوریت‌ای مار ‎ ‎ ‏و رمنگری با هم ترکیب ۵ ‎ ‎ ‎ ‎ ‏جمل ‎Of‏ و اک تلید مگانی مستفیم را تیدا مد یک ترا دزد اقا ‎ans‏ ‎ ‏زب كيد خصوصى فرستنه بطور مستقيم و نها در ‎he Se‏ ‏که وهای ‏که کید خضصوصی فرستهه آشکار ‎ 

صفحه 4:
طرح امضارمز مورد بررسى " ‏متن اسلی‎ M 7 ‏من رمزشده‎ 1 dene glad Alice ‏كليد عمومي اخصوصى‎ AYUn Bob ‏كليد عنومى اخصوصى‎ dein 1 ‏ومزنكارى و رمزكشانى متقارن با كليد جل‎ 8 ‎G‏ نقطه يايه خم بيضوى 0 نقطه خم بيضوى در نیت ‎DAVE‏ ‏خمادهای مورد استفاده ‏علت اتجام اصلاحات بر طرح هوانگ در طرح مورد بروسی: ‎ ‏بیان شده که "حملهنبنی" منجر بمنقض تعریف ۱۳ محرمانكى بيام" مى شود. بدینتتیب که اگر او کلید خصوصی‌پند دت آلیس را بدست آورده باشد. ممکن است با باب تبائی کند بدین توتیب که انه كليد خصوصى 1 ياب با كليد خصوصى خود. كليد جلسه 4 رقبواى آن امضارمز خاص را بدست آورده ومتن اصلی 4 را بدست آورد. سيس باب مىتوائد يارامشر 8 را حساب تموده. عدد تصادفی + موبوطه را با استفاده از كليد خصوصى آليس (كه ايو به باب داده) طبق راب 91۹ )ترا نماد ار باب این خاص استخاجر ‎lash eat‏ دهد او هم خواهد توانست با استفاده از درافتی(ز ياب) و كليد عمومى باب. كليد جلسه را بدست آورده و متن اصلی 0 آن جلسه خاص را رمزگشایی نعاید! ‎ ‏به باب يدهن ‎ ‎Alice Bob Signeryption Unsigneryption ‏کین‎ Ue ‏لکد‎ ‎6> 0 gps oe st ‎ ‎WANE MEI Uy ame at ‎ ‏كاه عرف سير ‎ReGen,‏ ‏000 جلك رمس نمدم مكدع ‎enue hao)‏ ید ید ری ره ‎s=d,—hriedn) SG +H‏ طرح هوانگ و همکاران ‎Alice Bob‏ ‎‘Signerypton Unsigncryption ‎ ‎DATE Ore ‏تابد ند موی )تاد اکن ‎ae‏ ‎ ‎ ‎ ‎ ‏را 1 عابم دمر ‎Karan) CRP‏ جشت. ‎cE)‏ ‏۳ ا امرس ‏ید ابید یط - )و میتی ‏طرح امضارمز مورد بررسی. 

صفحه 5:
۱ مشکلات طرح امضارمز مورد بررسی > جعل پذیری امضارمز و نقض جعل ناپذیری, انکارناپذبری و صحت پیام * عدم مقاومت در برابر افشای پارامتر تصادفی (کلید خصوصی کوتاه مدت) * خطر افشای کلید خصوصی بلندمدت انجام دهنده امضارمز > آسیب پذیری در برابر حمله ‎UKS‏ > عدم توجه به تصديق كليد عمومی در رمزنگاری خم بیضوی > امكان افشاى كليد خصوصى بازكشاينده امضارمز در صورت ارسال تاييديه براى فرستئده > ساير موارد (انتخاب بارامترهاى حوزه و ...) 

صفحه 6:
برس ۱- جعل پذیری امضارمز > هر کسی به راحتی می‌تواند به نام دیگران امضارمز معتبر تولید نماید (نقض جعل نایذیری) * کسی نمی‌تولند اثبات نملید که فقط شخص دارنده کلید خصوصی متناظربا کلید عمومی گواهی شده, امضارمز معتبر را تهیه نموده است (نقض انکارنایذبری) > از آنجا که جعل امضارمزبه راحتی امکان پذیر است. گیرنده نمی‌تولند مطمئن باشد که امضارمز بازگشلیی و تایید شده واقعا از طرف فرستنده ارسال شده است (نقض صحت بیام) Alice Bob Signeryption Unsignerypion ‏ات‎ ‏رباع‎ k=4,R=(k)) ‏امشارز عل ده فر‎ Kedah) (Caer) ۷-۵, ‏رال تابد مارم‎ cpu ‏واي هر جاده جلششدة‎ ۲ ۸6۱ Cli) Hatta ۱ 1 ۱ ‏قاضي) أن اوقتا‎ ‏دودمم دم‎ P=U,- SG at al ll 2d, —Hbekmodn) ‏ةر‎ s=s+h (CRSP) ‏روش جعل امضارمز‎ 

صفحه 7:
اي ا 17۳ * مقاومت در برابر افشای پارامتر تصادفی (0876۳1616۳ 121100112) يا كليد زودكذر (/[ع؟1 8216126181). از ویژگیهای فوق العاده مهم و اساسی در پروتکلهای مبادله کلید است و از ویژگیهایی است که در طراحی تمام پروتکلهای استاندارد و ام مورد توجه قرار می‌گیرد. این مقاومت بدان معناست که با اقشای پارامتر تصادفى. كليد جلسه نباید لو برود. > در طرح امضارمز مورد بررسی. عدد تصادفی ۶ همانند یک کلید خصوصی کوتاه مدت رفتار می‌کند که کلید عمومی متناظر با آن ۸ است. با افشای کلید جلسه ‏ به راحتی قابل محاسبه است: ۰ (»)2 ولا لذا پروتکل برقراری کلید مورد استفاده. مقاومتی در برابر افشای پارامتر تصادفی ندارد. > با انجام تغییر کوچکی در تابع تولید کلید جلسه (مثلا به صورت زیر) می‌توان این مقاومت را اجاد نمود. ‎Ka(r+ gd,)Us =d;(R+ RU) Alice Bob‏ ‎Unsgneypion|‏ رو ید ید موی رز باس وان ‎ ‎ ‏طلقا اراس ‎ene‏ ‏۷-۸ و كشك ‎cn‏ ‏داد ری رخا + ‎-Mbrkmedny‏ ,£24 ‎ 

صفحه 8:
‎Mn‏ خطر افشاى كليد خصوصى بلندمدت انجام دهنده امضارمز ‎ ‏> افشاى كليد خصوصى زودكذر. منجر به افشاى كليد خصوصى بلند مدت انجام دهنده امضارمز نيز خواهد شد. به عبارتى. امنيت كليد خصوصی بلند مدت آليس وابسته به امنيت و محرمانكى عدد تصادفى است كه وى توليد خواهد كرد و با افشاى آن. كليد بلندمدتى كه قرار است مثلا براى جندين سال مورد استفاده قرار كيرد. به طور كامل افشا خواهد شد. ‏> جنانجه در بياددسازى. احتياطهاى لازم صورت تكرفته باشد. خطر افشاى كليد خصوصى بلندمدت كاربران فوقالعاده جدى خواهد بود. به عنوان مثال: ‏- در بسيارى از كاربردها (از وسايل با محدودیت منابع گرفته تا سرورهای بزرگ) ممکن است تلاش شود تا با محاسبه و ذخیره زوج ( 1( از قبل.کاریی و سرعت عملیات در استفادههای بعدی افزايش يابد. جنين زوجهاى ذخيره شدداى معمولا در فضاى حافظه معمولى ذخير: می‌شوند. حال آنکه کلیدهای خصوصی معمولا در محیطهای سخت افزاری حفاظت شده ذخیره می‌شوند. ‎ ‏- دومين امكان. استفاده از نقاط ضعف توليدكنندههاى اعداد تصادفى (به خصوصي در ادوات با محدودیت منابع) است. در چنین حالاتی ممكن است حمله کنندهبتواندلیستی از محتملترین ( 71۴ ها تهيه نموده و كليد خصوصى بلندمدت هر كاربرى که یکی از ۸ های موجود هر ليست را استفاده كرده باشد. بدست آورد. ‎ ‎ ‎ ‎ ‏ا 0 ‎(CRSP) asi,‏ مواق مد وه ات عو ‎enw 1‏ عبت لك ‎tees > d,=s+ H(hp- h (mod)‏ روش استخراج كليد خصوصى بلندمدت آليس ل ‎“Heke‏ ‏(در فرش افشاى كليد خصوصى كوناء مدت 6 ادم ‎ ‎ ‎ 

صفحه 9:
7165 ‏آسیب پذیری در برابر حمله‎ ane * مقاومت در برابر حمله اشتراک کلید مجهول ‎crete 51: (Unknown Key-Share attack)‏ ویژگیهای امنیتی پروتکلهای مبادله کلید است. مفهوم اولیه لّن در ۱۹۹۲ توسط 1216616 و همکاران مورد توجه قرار گرفت و پس از آن در مقاله‌ای در 16099 توسعه یافت. * در حمله 165[]. با وجود آنکه طرفین ارتباط کلید جلسه مشترکی را به اشتراک گذاشته‌اند. دیدگاه متفاوتی از طرف مقابل خود در مبادله کلید دارند. > در حمله 15]. قرار نیست ‎gal‏ کلید جلسه را بدست آورد. بنابرلین وی قادر جه رمزگشلیی یا تذ پیامهای مبادله شده نمی‌باشد وبه نوعی از مفروضات اشتباه طرفین درباره هویت طرف مقلبل خود سوء استفاده می‌نماید. > حمله 17165 یکطرفه. می‌تواند بر علیه آغازگر (132112101) یا پاسخگو (1650012062) صورت پذیرد. > از آنجا که طرح مورد بررسی تک مسیره است. صرفا حمله 15[] یکطرفه بر علیه پاسخگو بر روی آن قابل بررسی است. در لين حمله. ليو در ارتباط بين آليس و باب مداخله نموده و کاری می‌کند تا باب-به اشتباه باور کند که کلید جلسه برقرار شده (و در نتيجه امضارمز واصله). از شخص دیگری‌به غیر از آلیس (مثلا لیوابه دست آمده است. در حللی که آلیس معتقد است که کلید جلسه را برای باب تولید نموده (و امضارمز را برای وی ارسال داشته) است. 

صفحه 10:
ع- آسيب يذيرى در برابر حمله 17165 (ادامه) > در مقوله حملات 10165 يكطرفه. تاكنون دو نوع حمله شناخته شده است كه هر دوى آنها (از نوع بر عليه ياسخكو) بر روى طرح مورد بررسی قابل اعمال است. ‎Key Substitution UKS attack jo‏ علاط فرش بر آن است که حملهکننده برای کلید عمومی آلیس, به نام خود كواهينامه ديجيتال اخذ مى نمايد ولى اطلاعى از كليد خصوصى متناظر با آن كليد عمومى ندارد. حمله كننده. ارتباط آلیس و باب را مختل نموده. امضارمز آلیس را عینا توام با گواهینامه دیجیتالی خود می‌فرستد. نیا است. امضارمز در رابطهبازگشایی صدق مئنمايد و تاييد مى شود ولى به جاى آنكه باب. امضارمز را از آليس بدائد. آن را از حمله کننده خواهد دانست. ‏> برای انجام نوع دوم ‎ATS slat‏ چوله کننده به ‎aries‏ عمل تى نمايدة ‎P=P+Up- Be ES EIRSP) (CRP YS: ‏ویلبد خصومی‎ ‏ایجاد اختلال در ارتباط آليس و باب و تعویش با بزا- تركو ولآن در نتيجه بابء امضارمز دريافتى را از حمله كننده خواهد دانست زیرا ‏مثالى از اهمیت و عزاقت ابر جملة: فرض كنيد باب يف شعبة بالف و آليس ‏دارنده یک حساب پانکی در بانک یاب باشد. گواهینامه‌های دیجیتالی توسط ‎ie‏ ‏شعبه مرکزی بانک صادر شده و در داخل هر كواهينامه. اطلاعات حساب هر مر صاحب حساب ذکر شده است. قرض کنید قزر باشد پس از تیید موفقیت آهیز ‎eau) Ghar eo‏ امضارمز: مبالغ امضارمز شده به حسابى واريز شوند که مشخصات آن در ‏كواهينامه ديجيتالى فرستنده امضارمز آمده است. با اين حمله. بولها به صورت كاملا قانونى و معتبر به حساب حمله کننده واريز خواهند شدط ‎ ‎ ‎ 

صفحه 11:
‎arene ceca‏ را ‎ ‏> طرح مورد بررسی نایید کلید عمیمی توسط گواهینامه را مورد توجه قررداده است لا تصدیق ‎(Public Key Validation) jayac ls‏ را مدنظر قرارنداده است. ‏* تصدیق کلید عمومی در رمزنگاری کلید عمومی مبتنی بر خم بیضوی موضوع مهمی است که حنما می‌بایست لنجام پذیرد. در غیر این صورت. امکان لنتخاب کلید عمومى نامعتبر وجود دارد. كليد عمومى نامعتبر. كليدى از مرتبه بايين و وافع بریک خم نامعتبر است که مى تولند براى انجام حمله خم نامعتبر (616ها2 6925۷6 10۷2118 مورد استفاده قرار گیرد. ‏> تصدیق کلید عمومی مىبايست هم در مورد كليد عمومى بلندمدت و هم در مورد كليد عمومى کوته مدت (4)مورد وجه قرار گرد ‏> تصديق كليد عمومى به طور سنتى در استانداردهاى 8161 مورد توجه قرار تكرفته وانجام میشود و آنچه که 0۸ نجام م‌دهد. صرفا اثبات مالکیت كليد اسث. در جنين مواردى. اخذ كواهينامه براى كليدهاى عمومى نامعتبر امكانيير و سيستم در معرض حملات و آسيبيذيريهاى مختلف می‌باشد. در 360*03 الكوريتمى ارلئه شد كمبه واسطه كن مىتوان براى يك كليد عمومى نامعتبر: از :)ا كه از الكوريتم ‎ECDSA‏ در پروسه بات مالکیت استفاده م نمايد. كواهينامه ديجيتال اخذ تعود. ‏> اكرجه ممكن است تصديق كليد عمومى بلندمدت در استانداردهاى جديد ‎dg Syne CA PKI‏ تصدیق کلید عمومی موفت (8)می‌بایست در داخل خود طرح مورد توجه قرار كيرد. ‏تصدیق کلید عمومی ( :11 ‎ ‎coca SAR. ‏میدن متاهی 2 باشند‎ poe Vg * rein Alo es ccd sania pe eek aed Wa ‎ 

صفحه 12:
RCC Re ES eRe a | eS Tee RM eee] ec Peron ve COPS EN Cos eer > به علت عدم تصدیق کلید عمومی کوتاهمدت ( 8 مکان حمله شم تمعتبر وجود درد و در صورت ارسال تبیدیهدریافت از سوی باب (برای آلیس). امکان افشای کلید خصوصی بلندمدت باب وجود دارد. > فرض كنيد تابيديه به صورت (/,۸/-* ,1 باشد. آلیس یک خم نامعتبر با معادله ‎SUEY HAD‏ نموده و برروى اين خم نقطه از یه کوچک, واانتگاب می‌نعید. و در تراکنشهای خود به جای از أحتفا» نموده. امضارمز را انجام داده و چهارتایی یامه راسال می‌دارد. ‎inet BO cs see eae‏ << چٍ ‎pat, a,‏ (1/1)011الر؟/آليس مىفرستد. آليس با ‎Ho eS Uae‏ قادر خلوأهد بود به راحتى ‎ball ay ool jl al AGM) aay 205 whe RED ESQ>‏ 942 ‏كه در رابطه ‏ 5 ‎ ‎ ‏ی ‎os‏ وم اد ‎ ‏آلیس لين عمل را براى © هاى مختلف که می‌توانند از خمهای سوریو تامعتبر مختلفی انتغاب شده باشتد تکرارمی‌کند (به شرط آنکه ‏مرت تقاط 3۱ قتقاب شده دویه و تست چم هم ول شنت ‎ ‏بدين ترتيب, آلیس تعدادی معادلمبه صورت ‏ :764 "بل خواهد ‏داشت که در آنها 21 (© ,9606 رز 1لا تا رم > آلیس‌به راحتي قادر خواهد بود کلید خصوصی بلند مدت یاب را ‎Se‏ دس ‏از روی لین معادلات وبا استفاده از قضیه باقيمانده جينى ‎(CRT)‏ ۱ مسر ‎ ‏یدست آورد. #4 ‎ 

صفحه 13:
۳ eerie > ویژگی تابید همگاتی مستقیم جزو ویژگبهای ضروری یک طرح امضا رمز نمی‌باشد. براى تامين اين ویژگی بعضا زابد. یکی از ظرافتهای منیتی طرح هوانگ از بين رفته جرا كه هر كسى با مشاهده وشتوة امضارمز اليس. خواهد توانست بارامتر 2( 1:16[ بدست آوود > در طرح مورد بررسى. براى بارامترهاى حوزه خم بيضوى شرايطى ذكر شده است كه كافى نيست. در واقع. علاوه بر شرايط ذكر شده اشرايظ مم ديكرى تيز وجود حارئد كه بايد مورد توجه قرار كيرد از مله در 5 ‎Paige‏ ‏ا ‎a‏ وه حص کر خم بیضوی بر روی ‎yal ate cline‏ حملات شناخته شده, خم بیضوی می‌بایست غیر فوق تکین باشد و به ازای * اگپاید داشته در عمل کفایت می‌کند) و © 2# > مقدار 70 از محدوده تغیبرات مجاز انتخاب1 خارج نشده است که در چنین حالتی. #برابر 0 خواهد بود. > بر تاییدکلید عمومى با استفاده از كواهينامه ديجيتالى تاكيد شده: ولى به تصديق خود گواهینمهاشارهای نشده است. در چنین مواردی. يا مى بايست بروسه تصديق را به كل خارج از طرح دانست و ذكر ننمود و يا در صورت طرح بكى از اين موارد. لازم است به بقيه موارد نيز اشاره شود. ‎eS‏ ند 

صفحه 14:
»در این مقاله. یک طرح امضارمز مبتنی بر خم بیضوی مورد بررسی و تحلیل قرار گرفت. + مشخص شد که طرح امضارمز مورد بررسی فلقد ویژگی جعل ناپذیری و در نتیجه انکار ناپذیری که هر دو از اساسی ترین ویژگیهای امنیتی هر طرح امضارمز هستند- می‌باشد. > مشخص شد که پروتکل برپلیی کلید جلسه مورد استفاده در طرح امضارمز مورد بررسی. پروتکلی ضعیف و دارای اشکال است. همچنین نشان داده شد که طرح مورد بررسی. در برابر حمله 15[ آسیب پذیر است. > مشخص شد که برخی ظرافتهای خاص رمزنگاری کلید عمومی در خمهای بیضوی در لین طرح مورد توجه قرار نگرفته‌لند که همین امور. وقوع تعدادی از حملات را ممکن خواهند ساخت. تعدادی سناریوی حمله نیز براى اين طرح معرفى شد كه به واسطه آنها. حمله کننده خواهد توانست کلید خصوصی انجام دهنده امضارمز )9 در حالتی کلید خصوصی بازگشاینده امضارمز) را استخراج نماید. 

صفحه 15:
با تشکر از حضور و توجه شما