Схема подписи Меркла - Merkle signature scheme
В криптография на основе хешей, то Схема подписи Меркла это схема цифровой подписи на основе хеш-деревья (также называемые деревьями Меркла) и одноразовые подписи, такие как Подпись Лэмпорта схема. Он был разработан Ральф Меркл в конце 1970-х годов и является альтернативой традиционным цифровым подписям, таким как Алгоритм цифровой подписи или ЮАР.
Преимущество схемы подписи Меркла состоит в том, что она устойчива к квантовый компьютер алгоритмы. Традиционные алгоритмы с открытым ключом, такие как RSA и ElGamal, станут небезопасными в случае создания эффективного квантового компьютера (из-за Алгоритм Шора ). Однако схема подписи Меркла зависит только от наличия безопасных хэш-функции. Это делает схему подписи Меркла очень настраиваемой и устойчивой к квантовым вычислениям. Обратите внимание, что подпись Меркла - это одноразовая подпись с конечным потенциалом подписи; работа Мони Наор и Моти Юнг на сигнатуре, основанной на односторонних перестановках и функциях (и изобретении универсальная односторонняя хеш-функция ) дают возможность расширить подпись, подобную Мерклу, до полной схемы подписи.[нужна цитата ]
Генерация ключей
Схема подписи Меркла может использоваться для подписи ограниченного количества сообщений одним открытым ключом. . Количество возможных сообщений должно быть степенью двойки, поэтому мы обозначим возможное количество сообщений как .
Первый шаг генерации открытого ключа заключается в создании пары закрытых / открытых ключей какой-либо схемы одноразовой подписи (например, схемы подписи Лампорта). Для каждого , хеш-значение открытого ключа вычисляется.
С этими хеш-значениями а хеш-дерево построен путем размещения этих хеш-значения в виде листьев и рекурсивное хеширование для формирования двоичного дерева. Позволять обозначим узел в дереве с высотой и положение влево-вправо . Затем хеш-значения листья. Значение для каждого внутреннего узла дерева - это хэш конкатенации двух его дочерних элементов. Например, и . Таким образом, дерево с листья и узлов построено.
Закрытый ключ схемы подписи Меркла - это весь набор пары. Одна из основных проблем схемы заключается в том, что размер закрытого ключа линейно зависит от количества отправляемых сообщений.
Открытый ключ это корень дерева, . Индивидуальные открытые ключи могут быть обнародованы без нарушения безопасности. Однако, поскольку они не нужны в открытом ключе, практичнее держать их в секрете, чтобы минимизировать его размер.
Генерация подписи
Чтобы подписать сообщение со схемой подписи Меркла подписывающая сторона выбирает пару ключей , подписывает с использованием схемы одноразовой подписи, а затем добавляет дополнительную информацию, чтобы доказать, что это действительно была одна из исходных пар ключей (а не новая, созданная фальсификатором).
Сначала подписывающая сторона выбирает пара, которая ранее не использовалась для подписи какого-либо другого сообщения, и использует схему одноразовой подписи для подписи сообщения, что приводит к подписи и соответствующий открытый ключ . Чтобы доказать верификатору сообщения, что фактически была одной из исходных пар ключей, подписывающая сторона просто включает промежуточные узлы дерева Меркла, чтобы проверяющий мог проверить был использован для вычисления открытого ключа в корне дерева. Путь в хэш-дереве из к корню быть узлы, назовите их , с участием быть листом и являясь корнем.
Мы знаем это ребенок . Чтобы позволить верификатору вычислить следующий узел учитывая предыдущее, им нужно знать другого ребенка , родственный узел . Мы называем этот узел , так что . Следовательно, узлы нужны, чтобы реконструировать от . Пример пути аутентификации показан на рисунке справа.
Эти узлы , то , и одноразовая подпись вместе составляют подпись используя схему подписи Меркла: .
Обратите внимание, что при использовании Подпись Лэмпорта схема подписания, содержит часть закрытого ключа .
Проверка подписи
Получатель знает открытый ключ , сообщение , а подпись . Сначала получатель проверяет одноразовую подпись сообщения с использованием открытого ключа одноразовой подписи . Если действительная подпись , получатель вычисляет путем хеширования открытого ключа одноразовой подписи. Для , узлы пути вычисляются с . Если равно публичному ключу схемы подписи Меркла подпись действительна.
использованная литература
- Э. Дахмен, М. Дринг, Э. Клинцевич, Дж. Бухманн, Л.С. Коронадо Гарка. «CMSS - улучшенная схема подписи Меркла». Прогресс в криптологии - Indocrypt 2006, 2006.
- Э. Клинцевич, К. Окея, К. Вийом, Я. Бухманн, Э. Дахмен. «Подписи Меркла с практически неограниченным количеством подписей». 5-я Международная конференция по прикладной криптографии и сетевой безопасности - ACNS07, 2007.
- Ральф Меркл. «Системы секретности, аутентификации и открытого ключа / Сертифицированная цифровая подпись». Кандидат наук. докторская на кафедре электротехники Стэнфордского университета, 1979 г. [1]
- Мони Наор, Моти Юнг: Универсальные односторонние хеш-функции и их криптографические приложения. STOC 1989: 33-43
- С. Микали, М. Якобссон, Т. Лейтон, М. Шидло. «Фрактальное представление дерева Меркла и его обход». RSA-CT 03, 2003 г.
внешние ссылки
- Эффективное использование деревьев Меркла - Лаборатории RSA объяснение первоначальной цели деревьев Меркла + подписей Лампорта как эффективной схемы одноразовой подписи.
- Введение в подписи на основе хешей и подписи Меркла от Адама Лэнгли.
- Серия из 4 частей Дэвида Вонга о подписях на основе хешей.