חתימה דיגיטלית מבוססת פונקציית גיבוב
חתימה דיגיטלית מבוססת פונקציית גיבוב[1][2] היא שם כולל לשיטות חתימה דיגיטלית חד-פעמית אשר ביטחונן מסתמך אך ורק על פונקציית גיבוב קריפטוגרפית ולא על קושיין המשוער של בעיות מתורת המספרים או בעיות אחרות שאין לגביהן הוכחה מתמטית שהן קשות. פונקציות גיבוב קיימות ונחקרות מזה זמן רב ואף שברובן עשויות אד הוק הן עדיין נמצאות בשימוש מעשי נרחב, נחשבות לבטוחות ומעולם לא נפרצו (דוגמאות הן SHA-2, BLAKE, SHA-3 או Skein). בנוסף הדעה הרווחת לגבי מרביתן, אם כי זה לא הוכח[3], שהן פוסט-קוונטיות. כלומר גם בהינתן מתקיף המצויד במחשב קוונטי לא יוכל לפרוץ את האלגוריתם, כלומר לא ימצא התנגשות בזמן פולינומי. חתימה מבוססת גיבוב בדרך כלל מהירה ובטוחה מאוד והיא נחשבת כיום לתשובה האטרקטיבית ביותר נגד קריפטואנליזה קוונטית כאשר היא תהיה רלוונטית.
חסרונות חתימה דיגיטלית מבוססת גיבוב הן; אורך החתימה גדול מהמקובל בתקנים המעשיים וכן היא חד-פעמית, מסיבה זו היא נקראת "תלוית זיכרון" (stateful), יש צורך לנהל מעקב גם על ידי החותם וגם על ידי המאמת באמצעות מונה כלשהו, כדי לדעת כיצד לחתום או איך לאשר את החתימה על מסמך נתון. זהו מצב בלתי אפשרי במקרה הגרוע או שאינו נוח למימוש מעשי במקרה הטוב. תאורטית ידוע שאפשר לבנות חתימה דיגיטלית מבוססת פונקציית גיבוב נטולת זיכרון (stateless). נושא המחקר העיקרי כיום הוא להפוך פונקציה כזו לאלגוריתם פרקטי, שניתן יהיה לחתום באופן מאסיבי על מסמכים רבים כמעט ללא הגבלה ועם חתימות באורך סביר. כך שניתן יהיה להציעה כחלופה מיידית לאלגוריתמים המקבילים בתקנים הבינלאומיים ללא שינויים מרחיקי לכת במערכת.
רקע
הרעיון להשתמש בפונקציית גיבוב (או בכל פונקציה חד-כיוונית) לצורך חתימה דיגיטלית עלה לראשונה על ידי לזלי למפורט שהמציא ב-1979 את חתימת למפורט. חתימת למפורט היא חד-פעמית במובן שכל זוג מפתחות; מפתח חתימה/מפתח אימות ניתנים לשימוש רק פעם אחת. כדי להדגים זאת, נניח שאליס מעוניינת להעביר לבוב מסר פשוט "כן" או "לא" ('0' או '1'), באופן כזה שהוא ידע בוודאות שההוראה הגיעה ממנה ולא ממתחזה. דרך אחת לפתור את הבעיה, תחילה אליס בוחרת פונקציה חד-כיוונית בלתי הפיכה מוסכמת (כלומר ידועה לכל), בוחרת אקראי כלשהו ומשתמשת בה כדי לחשב את ושומרת בסוד את . היא שולחת לבוב את כהתחייבות וכן מסכמת איתו מראש שעבור המסר "כן" אליס תחשוף בפניו את הסוד כהוכחה, אחרת המסר יהיה "לא". לאחר מכן נניח שאליס שלחה לבוב את . בוב בודק שמתקיים ואם כן הרי שההוראה "כן" הגיעה מאליס ולא מאף אחד אחר, משום שבעצם ידיעת אליס הוכיחה שהמסר הגיע ממנה. מעצם ההגדרה של הפונקציה יהיה קשה מאוד למי שאינו יודע מהו לנחש ערך כזה המקיים .
כאן הוא המפתח הפרטי או "מפתח החתימה" ו- הוא המפתח הציבורי או "מפתח האימות". היות שבמהלך האימות אליס למעשה חשפה את המפתח הפרטי שלה, היא לא יכולה להשתמש בו שוב לחתימה על מסר אחר. לכן עבור כל סיבית '0' או '1' נוספת היא צריכה לחשב ולשלוח חדש, כלומר החתימה מתנפחת לממדים ארוכים מאוד ביחס למסר. אפשר להרחיב את הרעיון החתימה החד-פעמית באופן כזה שאליס תחתום על מספר סיביות בו זמנית כפי שעושה חתימת למפורט, אם כי הבעיה נותרת בעינה, מפתחות החתימה והאימות עדיין ארוכים מאוד וכל חתימה מתאימה למספר מוגבל של סיביות. בוב צריך לוודא שאכן שייך לאליס אבל זהו נושא נפרד.
עץ מרקל
- ערך מורחב – עץ מרקל
רלף מרקל הראה[4] שאפשר להקטין את המפתח האימות בדרך מקורית, במקום לשלוח עבור כל מסר אחר, אפשר להשתמש בעץ גיבוב שהוא עץ בינארי מושלם בגובה שבו כל צומת היא גיבוב של שני הצמתים הבנים מהעלים ועד לשורש העץ. מפתח האימות יהיה שורש העץ איתו יהיה אפשר לאמת עד מסמכים המקבילים ל- העלים, כל עלה הוא חתימה חד-פעמית של מסמך אחד. האימות נעשה על ידי בדיקת המסלול מהעלה ועד לשורש העץ. כל עלה מאומת על ידי חתימה חד-פעמית (OTS) שכוללת בתוכה גם מידע הנקרא "מסלול אימות" (authentication path) שהוא בעצם ערכם של עלים אחים לאורך המסלול מהעלה לשורש העץ על מנת לאפשר בניית מסלול אימות. בדרך זו אפשר להפוך חתימה חד-פעמית לחתימה "רב פעמית" חלקית, כי בעוד שנדרשים מפתחות חתימה שונים עבור כל המסמכים, הרי שנדרש מפתח אימות אחד בלבד.
עץ מרקל מהווה שיפור משמעותי אך למרות זאת אינו פרקטי מכמה סיבות:
- היות שמדובר בחתימה חד-פעמית המפתח הפרטי עדיין חייב להיות שונה עבור כל מסמך, לכן החותם צריך לאחסן בזיכרון את כל מפתחות החתימה במקום שמור.
- מספר החתימות מוגבל למספר העלים בעץ, עבור עץ בגובה אפשר לחתום על לכל היותר מסמכים.
- על מנת להבטיח שכל עלה מנוצל רק פעם אחת יש צורך לנהל מעקב אחרי חתימות שבהן כבר השתמשו ואת המונה יש צורך לכלול בחתימה. דרישה זו עלולה להיות בעייתית במיוחד אם ארעה תקלה ונמחקו נתונים ואבד המונה.
- החתימה מתנפחת בסדר גודל לוגריתמי כי יש צורך לשלוח מלבד החתימה ערכי גיבוב נוספים על מנת לאפשר למאמת לבנות מסלול אימות מהמסמך לשורש המצוי בידו.
כדי לפתור את הבעיות האמורות הוצעו מספר שיפורים. הראשון הוא חלוקת העץ לתת-עצים. למשל אם העץ מכיל יער של שכבות של עצים המסודרים בערמה זה על גבי זה, כל אחד בגובה , במהלך החתימה על מסר נתון החותם משתמש רק בעץ אחד מתוכם. במקרה כזה המפתח הציבורי עבור מסרים יקטן ל- ערכים לכן החתימה מצטמצמת מ- ל-. בנוסף אפשר לצמצם את החתימה על ידי ניצול העובדה שהיא סדרתית. כלומר שימוש באלגוריתם חכם לחיפוש בעץ שמאפשר צמצום החתימה מ- ל-. שילוב שני הרעיונות יחד מאפשר לצמצם עוד את החתימה ל-.
עץ מרקל זכה לשיפורים רבים כמו FMTseq שהוא עץ חיפוש פרקטלי של נאור, שנהב ואבישי וול[5], אלגוריתם Bleichenbacher-Mauer[6] המשתמש בגרפים או אלגוריתם עץ מרקל המורחב XMSS[7][8][9] המשתמש בתת-עצים רבים וכן אלגוריתם SPHINCS[10]. בשני האחרונים נוסף אלמנט מיסוך. כלומר כל ערך מחובר ב-XOR עם מסכה אקראית כלשהי לפני הפעלת פונקציית הגיבוב. המחיר הוא עליה קלה בסיבוכיות אבל הרווח הוא גדול, כי אלגוריתם מרקל המקורי דורש שאורך החתימות יהיה סיביות כדי להגיע לרמת ביטחון של סיביות בגלל התקפת יום הולדת. עם המסכה האקראית ניתן להגיע לביטחון של סיביות עם פרמטר שזהו שיפור בפקטור של חצי ביעילות האלגוריתם והפחתה דומה באורך החתימות.
חתימה דיגיטלית מוכחת כבטוחה נגד התקפת מסר נבחר
רעיון דומה לעץ מרקל הוצע ב-1984 על ידי שפי גולדווסר, סילביו מיקלי ורונלד ריבסט במאמר חשוב[11] המדגים מהיבט תאורטי מוכח כיצד אפשר להשתמש בזוג פונקציות חד-כיוונית עם דלת מלכודת הנקראות "Claw Free" לחתימה דיגיטלית. פונקציות שנקראות Claw-free הן שתי פונקציות שבלתי אפשרי למצוא ו- כך שמתקיים כמתואר בתרשים. הם הוכיחו שהשיטה שלהם בטוחה נגד "התקפת מסר-נבחר אדפטיבית" בהנחה שבעיית פירוק לגורמים היא בעיה קשה. אף על פי שהסכמה שלהם הודגמה עם פונקציית RSA הרי שאפשר לבנות חתימה כזו מכל פונקציה חד-כיוונית שעונה על התנאי האמור ולאו דווקא כזו המבוססת על פירוק לגורמים או לוגריתם בדיד.
התקפת מסר-נבחר אדפטיבית היא מודל ביטחון תאורטי החזק ביותר של פונקציית חתימה דיגיטלית. לפי מודל זה האויב או המתקיף רשאי לקבל מאורקל חתימות תקפות עבור מסרים כלשהם לפי בחירתו ותפקידו לנסות לשבור את אלגוריתם החתימה על בסיס חתימות אילו וכן הוא רשאי לבקש חתימות נוספות גם לאחר שההתקפה החלה (מכאן הכינוי אדפטיבית). "שבירה" מחולקת לכמה רמות מהקל אל הכבד.
- שבירה מוחלטת (total break). מציאת דרך לגלות את המפתח הפרטי (דלת המלכודת הסודית) של החותם ואז לזייף בקלות חתימה על כל מסמך ולטעון שנחתם על ידי החותם הלגיטימי.
- זיוף כללי (universal forgery). מציאת דרך לעקוף את אלגוריתם החתימה כך שהתוקף מסוגל לדמות אותו ולזייף חתימות על מסמכים כלשהם מבלי לגלות את מפתח החתימה של החותם הלגיטימי.
- זיוף סלקטיבי (selective forgery). מציאת דרך לזייף חתימה על מסמך ספציפי אחד או יותר שנבחרו על ידי המתקיף.
- זיוף קיומי (existential forgery). זיוף חתימה על לפחות מסמך אחד כלשהו אפילו חסר משמעות ואפילו אם לתוקף אין שליטה על תוכנו.
ההגדרה האחרונה היא המחמירה ביותר ומבחינה תאורטית עדיף להגיע לסכמה שתהיה מוכחת כעמידה גם כנגד איום זה. הרעיון של אלגוריתם GMR הוא כדלהלן:
בהינתן שתי תמורות עם דלת מלכודת הנקראות Claw-free ופרמטר ביטחון יהיה קל לבחור באופן אקראי אלמנט מתחום הפונקציות, אך בהינתן תמורות כלשהן יהיה קשה מבחינה חישובית למצוא כך שמתקיים ללא ידיעת דלת המלכודת. התכונה Claw-free משליכה גם על חד-כיווניות. למשל אם כך ש- ו-, אז הפונקציות ו- הן תמורות חד-כיווניות ומתאימות להגדרה Claw-free, כמו כן מתקיים ודלת המלכודת היא המספרים הראשוניים ו-. אם נתון רק מי שמחזיק במידע הסודי שהוא דלת המלכודת יכול לחשב את הערכים כך שמתקיים . תכונה זו נקראת "הוכחת אימות אטומית" של על ידי כי רק מי שיכול להפוך את הפונקציה מסוגל לייצר את הערכים הללו מהערך כך שהתנאי האמור יתקיים.
המפתחות הציבוריים לאימות החתימה על מסרים יהיו שני זוגות של תמורות חד-כיווניות . המפתחות הפרטיים המשמשים לחתימה הם דלתות המלכודת של הפונקציות הללו כך שהחותם יכול באמצעותן לחשב את הפונקציות ההופכיות שלהן בקלות. כעת אם נתון המסמך תחילה החותם מייצר ומאמת מספר אקראי ואיתו הוא מאמת את . את עצמו מאמתים בעזרת עץ אימות. מתחילים מ- שהוא שורש העץ שנקרא מפתח ציבורי ומכל נקודת אימות או בהתאמה אפשר לאמת שני ערכים חדשים במקרה של צד ימין ובמקרה של צד שמאל . בדרך זו נוצר עץ שגדל כלפי מטה ככל שנדרשות יותר חתימות כמתואר בתרשים. כל צומת מאמת את הצמתים הבנים. מכל צומת נתון קיים "מסלול אימות משורשר" לשורש . החתימה כוללת שני חלקים מלבד המסר עצמו.
- הערכים ו- המקיימים:
- וכן המאמתים שרק החותם יכול היה לחשב, אך כל אחד יכול לבדוק בקלות. את המאמתים הוא בוחר כך:
- פונקציית אימות אטומית של המסר על ידי .
החתימה היא הערכים . ואימות החתימה מתבצע בשני שלבים, תחילה מאמתים את על ידי הפונקציות הציבוריות ואז מאמתים את המסמך על ידי הפונקציות . לפיכך הזמן הדרוש לחישוב חתימה הוא ואורכה הכולל הוא כאשר הוא פרמטר ביטחון המייצג את אורך החתימה בסיביות. שים לב שגם אלגוריתם GMR נקרא תלוי זיכרון כיוון שכל חתימה תלויה בחתימות קודמות (כל תלוי באימות שלו על ידי ערכים קודמים)
עץ אימות נטול זיכרון
ב-2004 הציע עודד גולדרייך[12] שני שיפורים משמעותיים לאלגוריתם האמור כדי להופכו לאלגוריתם נטול זיכרון. ראשית הוא הציע שכל צומת (שאינו עלה) בעץ יכיל חתימה חד-פעמית על ערך הגיבוב של המפתח הציבורי של הצמתים הבנים שלו. המפתח הסודי יהיה גרעין התחלתי אקראי אשר ישמש לבניית העץ כולו באמצעות מחולל פסאודו-אקראי. מעצם הגדרתו של מחולל כזה אם מתחילים מגרעין התחלתי קבוע, תמיד יתקבל רצף זהה, עובדה זו מסייעת בשיחזור כל עלה רק כאשר הוא נדרש ואין צורך לבנות את כל העץ בזיכרון. שנית הוא הציע במקום לנהל מעקב אחרי החתימות שהשתמשו בהם באמצעות מונה כלשהו, לבחור עלה באופן שערכו נגזר מהמסר, מייצגים את ערך הגיבוב של המסר כמספר כלשהו באורך סיביות ואז המספר הזה משמש כאינדקס לבחירת העלה המתאים לחתימה. בשיטה זו חתימה אחת תכיל את כל המפתחות הציבוריים של כל החתימות החד-פעמיות של הצמתים במסלול מהעלה לשורש העץ, את כל המפתחות הציבוריים של הצמתים האחים לאורך המסלול וכן את החתימה החד-פעמית של המסר עצמו.
החתימה כעת נטולת זיכרון כי אין צורך לשמור מונה כלשהו ואין סיכוי שתהיה התנגשות, כלומר עלה אחד שאיתו נחתמו שני מסמכים שונים. שיטה אחרת שהציע היא לבחור עלה באופן אקראי אם מרשים סבירות מאוד קלושה להתנגשות. במקרה כזה אין צורך בגיבוב המסר לפני החתימה כדי לבחור עלה מתאים.
לסיכום מפתח החתימה הפרטי באורך סיביות, חישוב החתימה על המסמך דורש מפתחות ו- חתימות. את מפתחות החתימה של כל הצמתים במסלול אין צורך לצרף לחתימה על המסמך כי אפשר לחשב אותם מהמפתחות הציבוריים. אך בכל זאת החסרון הוא שחתימה חד-פעמית אחת היא באורך מפתחות הציבוריים. שילוב של שיטת גולדרייך עם חתימת וינטרניץ מגיע לאורך חתימה של 1 מגה בית במקרה שפרמטר הביטחון הוא .
אלגוריתם SPHINCS-256 משלב כמעט את כל הטכניקות המתוארות בנוסף לכמה שיטות חדשות כדי להפוך חתימה חד-פעמית לחתימה דיגיטלית רב-פעמית נטולת זיכרון ויעילה, עם ביטחון ברמה של ועם מפתחות באורך 1 קילו בית וחתימה באורך 41 קילו בית.
תקנים
NIST הכינו טיוטה[13] לתקן חדש לחתימה דיגיטלית מבוססת גיבוב הנחשבת בטוחה נגד קריפטואנליזה קוונטית (כאשר הדבר יהיה רלוונטי), היא מהירה ויעילה המשלבת כמה רעיונות ביניהם שהוא וריאציה של חתימת וינטרניץ, XMSS ו-. בהתבסס על הצעה של Mecgrew ו-Curcio[14].
הערות שוליים
- ^ Hash Based Digital Signature Schemes, Anders Fog Bunzel, Aarhus University
- ^ Hash-based Digital Signature Schemes, Johannes Buchmann Erik Dahmen Michael Szydlo, 2008
- ^ Fang Song. A note on quantum security for post-quantum cryptography. Cryptology ePrint Archive, Report 2014/709, 2014. http://eprint.iacr.org/
- ^ A Certified Digital Signature, Ralph C. Merkle
- ^ One-Time Signatures Revisited: Practical Fast Signatures Using Fractal Merkle Tree Traversal
- ^ D. Bleichenbacher and U. Maurer, “On the efficiency of one-time digital signatures,” 1996.
- ^ Johannes Buchmann, Erik Dahmen, and Andreas Hülsing. XMSS - a practical forward secure signature scheme based on minimal security assumptions. In Bo-Yin Yang, editor, Post-Quantum Cryptography 2011, volume 7071 of Lecture Notes in Computer Science, pages 117-129. Springer Berlin / Heidelberg, 2011
- ^ Johannes Buchmann, Erik Dahmen, Elena Klintsevich, Katsuyuki Okeya, and Camille Vuillaume. Merkle signatures with virtually unlimited signature capacity. In Jonathan Katz and Moti Yung, editors, ACNS 2007, volume 4521 of Lecture Notes in Computer Science, pages 31-45. Springer Berlin / Heidelberg, 2007
- ^ Johannes Buchmann, L. C. Coronado García, Erik Dahmen, Martin Döring, and Elena Klintsevich. CMSS - an improved Merkle signature scheme. In Indocrypt 2006, volume 4329 of Lecture Notes in Computer Science, pages 349-363. Springer, 2006
- ^ SPHINCS: practical stateless hash-based signatures
- ^ A “PARADOXICAL” SOLUTION TO THE SIGNATURE: PROBLEM, Shafi Goldwasser, Silvio Micali, Ronald L. Rivest
- ^ Two Remarks Concerning the Goldwasser-Micali-Rivest Signature Scheme, Oded Goldreich
- ^ ttp://csrc.nist.gov/groups/ST/post-quantum-2015/papers/session5-hulsing-paper.pdf Hash-based Signatures: An Outline for a New Standard]
- ^ Hash-Based Signatures draft-mcgrew-hash-sigs-04
30248916חתימה דיגיטלית מבוססת פונקציית גיבוב