Xây dựng thuật toán chữ ký số dựa trên một dạng bài toán khó mới

Công nghệ thông tin

XÂY DỰNG THUẬT TOÁN CHỮ KÝ SỐ DỰA TRÊN MỘT DẠNG

BÀI TOÁN KHÓ MỚI

Nguyễn Đức Thụy¹, Lưu Hồng Dũng²

Tóm tắt:

Bài báo đề xuất một phương pháp xây dựng thuật toán chữ ký số dựa trên tính khó

của bài toán logarit rời rạc kết hợp khai căn trên Z_p. Đây là một dạng bài toán khó mới,

lần đầu được đề xuất và ứng dụng để xây dựng các thuật toán chữ ký số. Từ phương

pháp được đề xuất có thể xây dựng một lớp thuật toán chữ ký số có độ an toàn cao cho

các ứng dụng trong thực tế.

Từ khóa: Digital signature, Digital signature algorithm, Digital Signature Schema, Discrete logarithm

problem.

1. ĐẶT VẤN ĐỀ

Trong [1,2] đề xuất một phương pháp xây dựng thuật toán chữ ký số dựa trên

tính khó của việc giải bài toán logarit rời rạc trên Z_p. Ưu điểm của phương pháp

mới đề xuất là từ đó có thể triển khai một lớp thuật toán chữ ký số cho các ứng

dụng khác nhau. Tuy nhiên, độ an toàn của các thuật toán chữ ký được xây dựng

theo phương pháp này chỉ được đảm bảo bởi độ khó của việc giải bài toán logarit

rời rạc - DLP (Discrete Logarithm Problem) trên Z_p. Do đó, nếu có một giải thuật

thời gian đa thức cho bài toán này (DLP) thì tính an toàn của các thuật toán sẽ bị

phá vỡ hoàn toàn. Nâng cao độ an toàn cho các thuật toán chữ ký số dựa trên tính

khó của việc giải đồng thời 2 bài toán khó là một hướng tiếp cận đang nhận được

nhiều sự quan tâm của các nhà nghiên cứu, trong [3 – 10] các tác giả đã đề xuất

một số thuật toán chữ ký xây dựng trên đồng thời hai bài toán phân tích số và

logarit rời rạc. Trong bài báo này, cũng với mục đích nâng cao độ an toàn cho các

thuật toán chữ ký số, nhóm tác giả tiếp tục phát triển phương pháp đề xuất trong

[1,2] trên cơ sở tính khó của việc giải một bài toán khó mới, ở đây được gọi là bài

toán logarit rời rạc kết hợp khai căn trên Z_p. Đây là một dạng bài toán khó lần đầu

được đề xuất và ứng dụng cho việc xây dựng thuật toán chữ ký số và có nhiều triển

vọng tạo ra các thuật toán có độ an toàn cao cho các ứng dụng thực tế.

2. XÂY DỰNG LƯỢC ĐỒ CHỮ KÝ SỐ DỰA TRÊN BÀI TOÁN LOGARIT

RỜI RẠC KẾT HỢP KHAI CĂN TRÊN Zp

2.1. Một số bài toán khó ứng dụng trong mật mã và bài toán logarit rời rạc

kết hợp khai căn trên Z_p

2.1.1. Bài toán logarit rời rạc trên Z_p

Bài toán logarit rời rạc trên Z_plà cơ sở xây dựng hệ mật khóa công khai

ElGamal [11]. Bài toán có thể được phát biểu như sau: Cho p là số nguyên tố, g là

*

phần tử sinh của nhóm Z_p. Với mỗi số nguyên dương y ∈ Z_p, hãy tìm x thỏa mãn

phương trình:

g ^xmod p = y

174

N.Đ. Thụy, L. H.Dũng “Xây dựng thuật toán chữ ký số … bài toán khó mới”

Nghiên cứu khoa học công nghệ

Giải thuật cho bài toán DLP có thể được viết như một thuật toán tính hàm

DLP(.) với biến đầu vào là y còn giá trị hàm là nghiệm x của phương trình:

x = DLP(y)

Ở hệ mật ElGamal, bài toán logarit rời rạc được sử dụng với vai trò hàm một

chiều trong việc hình thành khóa của các thực thể trong cùng hệ thống với bộ tham

số {p, g} dùng chung.

2.1.2. Bài toán khai căn trên Z_p

Bài toán khai căn (FRP) trên Z_pcó thể được phát biểu như sau: Cho p là số

*

nguyên tố, với mỗi số nguyên dương y ∈ Z_p, hãy tìm x thỏa mãn phương trình:

k

(x) mod p = y

Trong [12], tác giả N.A. Moldovyan đã chứng minh bài toán khai căn trên là

khó nếu thỏa mãn:

p = N.k^S+1

Ở đây: N là một số nguyên chẵn, k là một số nguyên tố và S ≥ 2. Ngoài ra, p và

k còn phải có kích thước thỏa mãn: |p| ≥ 1024 bit và: |k| ≥ 160 bit.

2.1.3. Bài toán logarit rời rạc kết hợp khai căn trên trường Z_p

Bài toán logarit rời rạc kết hợp khai căn trên trường Z_p(Bài toán DLRP) được đề

xuất ở đây có thể phát biểu như sau:

Bài toán DLRP: Với mỗi số nguyên dương

^*, hãy tìm các số x₁và x₂

y ∈ Z_p

thỏa mãn phương trình sau:

x₂

( )

x₁mod p = y

Trường hợp x₁là hằng số thì DLRP trở thành DLP, còn nếu x₂là 1 số nguyên

S

tố (hằng số) và thỏa mãn điều kiện theo [12]:

, với: N là một số

p = N × (x₂) +1

nguyên chẵn và S ≥ 2, thì DLRP sẽ trở thành FRP. Dễ thấy rằng, việc giải được

DLRP là khó hơn cả DLP và FRP. Ngay cả khi có các giải thuật thời gian đa thức

cho DLP và FRP thì cũng không có nghĩa là sẽ giải được DLRP.

2.2. Xây dựng lược đồ chữ ký dựa trên tính khó của bài toán DLRP

2.2.1. Thuật toán sinh khóa

Ở phương pháp xây dựng thuật toán chữ ký mới đề xuất, DLRP được sử dụng

để hình thành cặp khóa bí mật và công khai của đối tượng ký. Trong đó, p là tham

số hệ thống (tham số miền) do nhà cung cấp dịch vụ tạo ra, ở đây p là số nguyên tố

cần phải được chọn sao cho việc giải bài toán DLP là khó. Cặp (x₁, x₂) là khóa bí

mật và y là khóa công khai tương ứng của mỗi đối tượng ký trong hệ thống. Để tạo

khóa x₁mỗi thực thể ký cần tạo trước số nguyên tố q thỏa mãn: q|(p – 1) và một số

^*. Khóa x₁được tạo theo:

α

∈ Z_p

p−1

q

x₁=

α

mod p

Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san CNTT, 11 – 2018

175

Công nghệ thông tin

Khóa x₂là một giá trị được chọn ngẫu nhiên trong khoảng (1, q). Sau đó, các

khóa công khai được tạo ra từ (x₁, x₂) theo:

x₂

y₁= x₁mod p

( )

,

y₂= x₂mod p

( )^x¹

(1)

Chú ý rằng tham số q cũng sẽ được sử dụng với vai trò của một khóa bí mật

tương tự như x₁và x₂trong thuật toán ký.

Thuật toán sinh khóa có thể được mô tả lại như trên Bảng 1 sau đây:

Bảng 1. Thuật toán sinh khóa

Input: p – số nguyên tố, lq – độ dài (tính theo bit) của số nguyên tố q.

Output: q, x₁, x₂, y₁, y₂.

[1]. generate q: len(q) = lq, q|(p-1)

[2]. select α: 1<

α

< p

p−1)/ q

x₁← α ⁽

mod p

[3].

[4]. if (x₁= 1) then goto [2]

[5]. select x₂:

1< x₂< q

x₂

(x₁) mod p

[6]. y₁← ,

x₁

y₂← x₂mod p

( )

[7]. return {q, x₁, x₂, y₁, y₂}

Chú thích:

- len(.) là hàm tính độ dài (theo bit) của một số nguyên.

- q, x₁, x₂: Khóa bí mật.

- y₁, y₂: Khóa công khai của đối tượng ký (U).

2.2.2. Thuật toán ký

Giả sử (r,s) là chữ ký lên bản tin M, u là 1 giá trị trong khoảng (1,q) và r được

tính từ u theo công thức:

r = x₁

( )

^umod p

(2)

Và s được tính từ v theo công thức:

s = x₁

^vmod p

(3)

(

)

Ở đây: v cũng là 1 giá trị trong khoảng (1,q).

Cũng giả thiết rằng phương trình kiểm tra của lược đồ có dạng:

y₂

r.s mod p

)

(

s

)

≡

(

r

×

(

y₁

)

^Emod p

E = H(M )

r×smod p =

(

x₁

)

^kmod p

Với:

và:

(4)

Trong đó: H(.) là hàm băm và k là một giá trị được chọn ngẫu nhiên trong

khoảng (1,q).

Đặt:

(x₁)

^kmod p = Z

(5)

176

N.Đ. Thụy, L. H.Dũng “Xây dựng thuật toán chữ ký số … bài toán khó mới”

Nghiên cứu khoa học công nghệ

Khi đó có thể đưa phương trình kiểm tra về dạng:

y₂

Z

(6)

(7)

(

s

)

≡

(

r

)

×(y₁)

^Emod p

Từ (1), (2), (3) và (6) ta có:

v.y₂

u.Z

^{x .E}mod p

2

(

x₁

Từ (7) suy ra:

v× y₂≡

)

≡

(

x₁

)

×

(

x₁

)

u × Z + x₂× E mod q

( )

hay:

−1

(8)

(9)

v =

(

y₂

)

×

(u × Z + x₂× E)mod q

Mặt khác, từ (2), (3) và (4) ta có:

(v + u)mod q = k

Từ (8) và (9) ta có:

(

u× Z + x₂× E

)

×

(

y₂

+ x₂× E ×

⁻¹+1 ⁻¹

)

⁻¹+ u

)

modq = k

Hay:

−

)

−1

)

(10)

(11)

(

u×

(

Z ×

(

y₂

¹+1

)

(

y₂

)

modq = k

Từ (10), suy ra:

−1

u =

(

Z ×

(

y₂

)

×

(

k − x₂× E ×

(

y₂

) mod q

)

Từ (11), có thể tính thành phần thứ nhất của chữ ký theo (2):

r = x₁

^umod p

và thành ph n th được tính theo (3):

(

)

ầ

ứ 2

s = x₁

( )

^vmod p

với v được tính theo (8):

−1

)

v =

(

y₂

×

(u × Z + x₂× E

)mod q

T

ừ đây thu

ật toán ký được mô t

ả

trên B

ảng 2 như sau:

Bảng 2. Thuật toán ký

Input: p, q, x₁, x₂, y₂,M .

Output: (r,s).

[1].

E ← H(M)

[2]. select k:

1< k < p −1

^kmod p

[3].

Z ←

u ←

v ←

(

x₁

)

(

Z ×

(

−1

y₂

)

⁻¹+1 ⁻¹

u × Z + x₂× E

)

×

(

k − x₂× E ×

(

y₂

) mod q

)

−1

[4].

[5].

[6].

[7].

(

y₂

)

×

(

mod q

r ← x₁mod p

s ← x₁mod p

( )^u

( )

^v

[8]. return (r,s)

Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san CNTT, 11 – 2018

177

Công nghệ thông tin

Chú thích:

- M: bản tin cần ký, với:

M ∈{0,1}^∞

.

- (r,s): chữ ký của U lên M.

2.2.3. Thuật toán kiểm tra

Thuật toán kiểm tra của lược đồ được mô tả trong Bảng 3 như sau:

Bảng 3. Thuật toán kiểm tra

Input: p, y₁, y₂, M, (r,s).

Output: true

/

.

false

[1].

E = H(M )

[2]. Z ← r × s mod p

(12)

(13)

Z

[3]. w ←

(r

)

×

(

y₁

)

^Emod p

1

y₂

[4]. w₂← (

s

)

mod p

if (

) then {return true }

w = w₂

1

else {return

}

false

Chú thích:

- M, (r,s): bản tin, chữ ký cần thẩm tra.

- Nếu kết quả trả về là true thì tính toàn vẹn và nguồn gốc của M được khẳng

định. Ngược lại, nếu kết quả là false thì M bị phủ nhận về nguồn gốc và tính toàn

vẹn.

2.2.4. Tính đúng đắn của lược đồ mới đề xuất

Điều cần chứng minh ở đây là: Cho p, q là 2 số nguyên tố với q|(p-1),

p−1

)

x₁= α ^{( / q}mod p

H :

{ }

0,1 ^∗

a Z_n

q < n < p

1< α < p

,

1 < k, x₂< q

,

x₁

)

x₂

k

,

y₂=

(

x₂

mod p

,

y₁=

(

x₁

)

mod p

(

)

Z =

u × Z + x₂× E

w₁= r × y₁mod p

( )^Z( )^E

(

x₁

)

mod p

E = H M

⁻¹+1 ⁻¹

)

×

(

k − x₂× E ×

s =

(

y₂

)

v =

−1

)

−1

,

) mod q

(

y₂

×

(

)

mod q

u =

r =

w₂

(

Z ×

(

y₂

)

,

(x₁) mod p

y₂

(

x₁

)

^vmod p . N

ếu:

,

u

Z = r ×smod p

=

(

s

)

mod

p

thì:

.

w = w₂

1

Tính

đ

úng đắn c

ủ

a thu

ật toán m

ớ

i

đề xu

ất

được ch

ứng minh nh

ư

sau:

Thật v

ậy ta có:

y₂

v. y₂

)

(u.Z + x₂.E ).(y₂)

⁻¹. y₂

)

w₂=

(

s

)

mod p =

−1

)

(

x₁

mod p =

(

x₁

mod p

(14)

−1

(

Z.

(

y₂

⁻¹+1

)

.

(

k −x₂.E.

(

y₂

)

.Z + x₂

=

(

x₁

)

^.Emod p

M

ặt khác t

ừ

(12) ta l

ại có:

178

N.Đ. Thụy, L. H.Dũng “Xây dựng thuật toán chữ ký số … bài toán khó mới”

Nghiên cứu khoa học công nghệ

u

)

Z = r × s mod p =

(

x₁

×

x₁x₁

^vmod p = ^u+vmod p

( ) ( )

−1

)

−1

)

−1







−1







(

Z.

(

y₂

)

⁻¹+1

.

(

k −x₂.E.

(

y₂

)

+

(

y₂

)

.

(

Z.

(

y₂

)

⁻¹+1

.

(

k −x₂.E.

(

y₂

)

.Z +x .E

2

=

(

x₁

)

mod p

−1

)

−1

(15)

(Z.

(k −x₂.E.

(

)

)+

(Z.

(

y₂

)

⁻¹+1

)

(

.k −x₂.E.

(

y₂

)

.(y₂) (y₂)

⁻¹.Z +x₂.E.

)

mod p

−1

)

−1

(

Z.

(

k −x₂.E.

(

)

.

(

Z.

(

y₂

)

⁻¹+1

+x₂.E.(y₂)

)

=

(

x₁

)

mod p

−1

k −x₂.E.

)

(

y₂

)

⁻¹+x₂.E.

(

y₂

)

mod p = x₁

( )

^kmod p = Z

Thay (15) vào (13) ta lại có:

Z

u.Z

)

x₂

w₁=

(

r

)

×

(

y₁

−1

)

^Emod p =

(

x₁

×( )

^.Emod p

x₁

(16)

−1

)

(

Z.

(

y₂

)

⁻¹+1

.

(

k−x₂

.

(

y₂

).Z

x₂

=

(

x₁

)

×

(

x₁

)

^.Emod p =

−1

)

(

Z.

(

)

⁻¹+1

)

(k−x₂.E.

(

y₂

).Z +x₂

^.Emod p

Từ (14) và (16) suy ra điều cần chứng minh:

w = w₂

1

2.2.5. Mức độ an toàn của thuật toán được đề xuất

Mức độ an toàn của lược đồ mới đề xuất có thể đánh giá qua khả năng như:

+ Chống tấn công làm lộ khóa bí mật

Ở thuật toán mới đề xuất, cặp tham số x₁, x₂cùng được sử dụng làm khóa bí

mật để hình thành chữ ký. Vì thế, thuật toán chỉ bị phá vỡ nếu cả 2 tham số này

cùng bị lộ, nói cách khác là kẻ tấn công phải giải được bài toán logarit rời rạc kết

hợp khai căn trên Z_p. Do đó, mức độ an toàn của thuật toán mới đề xuất xét theo

khả năng chống tấn công làm lộ khóa mật được đánh giá bằng mức độ khó của việc

giải được DLRP. Cần chú ý, DLRP là một dạng bài toán khó mới, mà ngay cả khi

có các giải thuật thời gian đa thức cho FRP và DLP cũng không có nghĩa là sẽ giải

được bài toán này. Ngoài ra, tham số q cũng được sử dụng với vai trò khóa bí mật

trong thuật toán ký. Như vậy, để phá vỡ tính an toàn của thuật toán, kẻ tấn công

còn phải giải được bài toán tìm bậc của x₁. Tuy nhiên, việc tìm bậc của x₁là không

thể thực hiện được, vì x₁ở đây là 1 tham số bí mật.

+ Chống giả mạo chữ ký

Từ thuật toán kiểm tra (Bảng 2) của thuật toán mới đề xuất cho thấy, một cặp

(r,s) giả mạo sẽ được công nhận là chữ ký hợp lệ với một bản tin M nếu thỏa mãn

điều kiện:

y₂

(r.s)mod p

)

×

( )

^Emod p

y₁

(17)

(18)

(19)

(

s

)

≡

(

r

Từ (17), nếu chọn trước r rồi tính s thì khi đó điều kiện (17) sẽ có dạng:

y₂

s.r

)

(

s

)

≡ a^{( mod p}mod p

Còn nếu chọn trước s rồi tính r thì khi đó điều kiện (17) sẽ trở thành:

(

r.s

)

b =

(

r

)

^{mod p}mod p

Với a, b là hằng số, dễ thấy rằng việc giải (18) và (19) là khó tương đương với

bài toán DLRP.

Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san CNTT, 11 – 2018

179

Công nghệ thông tin

4. KẾT LUẬN

Bài báo đề xuất một lược đồ chữ ký số mới dựa trên bài toán logarit rời rạc kết

hợp khai căn trên Z_p. Mức độ an toàn của các thuật toán xây dựng theo phương

pháp này sẽ được đảm bảo bằng mức độ khó của việc giải bài toán trên. Ở đây, bài

toán logarit rời rạc kết hợp khai căn trên trường Z_plà một dạng bài toán khó mới,

lần đầu được đề xuất và ứng dụng trong việc xây dựng thuật toán chữ ký số. Từ

phương pháp mới đề xuất có thể xây dựng một lớp thuật toán chữ ký số có độ an

toàn cao cho các ứng dụng trong thực tế.

.

TÀI LIỆU THAM KHẢO

[1] Lưu Hồng Dũng, Nguyễn Đức Thụy, Nguyễn Văn Phúc và Đỗ Anh Tuấn, “Một

phương pháp xây dựng thuật toán chữ ký số”, Hội thảo lần thứ I: Một số vấn đề

chọn lọc về an toàn, an ninh thông tin (SoIS 2016), 11/2016.

[2] Nguyen Duc Thuy and Luu Hong Dung, “A New Construction Method of

Digital Signature Algorithms”, IJCSNS International Journal of Computer

Science and Network Security. Vol. 16 No. 12 pp. 53-57, December 2016.

ISSN: 1738 - 7906.

[3] Q. X. WU, Y. X. Yang and Z. M. HU, "New signature schemes based on

discrete logarithms and factoring", Journal of Beijing University of Posts and

Telecommunications, vol. 24, pp. 61-65, January 2001.

[4] Z. Y. Shen and X. Y. Yu, "Digital signature scheme based on discrete

logarithms and factoring", Information Technology, vol. 28,pp. 21-22, June

2004.

[5] Shimin Wei, “Digital Signature Scheme Based on Two Hard Problems”,

IJCSNS International Journal of Computer Science and Network Security,

VOL.7 No.12, December 2007.

[6] Eddie Shahrie Ismail, Tahat N.M.F., Rokiah. R. Ahmad, “A New Digital

Signature Scheme Based on Factoring and Discrete Logarithms”, Journal of

Mathematics and Statistics, 04/2008; 12(3). DOI: 10.3844/jmssp.2008.222.225

Source:DOAJ.

[7] Qin Yanlin , Wu Xiaoping,“ New Digital Signature Scheme Based on both

ECDLP and IFP”, Computer Science and Information Technology, 2009.

ICCSIT 2009. 2nd IEEE International Conference on, 8-11 Aug. 2009, E-ISBN :

978-1-4244-4520-2, pp 348 - 351.

[8] Swati Verma1, Birendra Kumar Sharma, “A New Digital Signature Scheme

Based on Two Hard Problems”, International Journal of Pure and Applied

Sciences and Technology, ISSN 2229 – 6107, Int. J. Pure Appl. Sci. Technol.,

5(2) (2011), pp. 55-59.

[9] Sushila Vishnoi , Vishal Shrivastava, ”A new Digital Signature Algorithm

based on Factorization and Discrete Logarithm problem”, International Journal

of Computer Trends and Technology, volume 3, Issue 4, 2012.

180

N.Đ. Thụy, L. H.Dũng “Xây dựng thuật toán chữ ký số … bài toán khó mới”

Nghiên cứu khoa học công nghệ

[10] A.N. Berezin, N.A. Moldovyan, V.A. Shcherbacov, "Cryptoschemes Based on

Difficulty of Simultaneous Solving Two Different Difficult Problems",

Computer Science Journal of Moldova, vol.21, no.2(62), 2013.

[11] T. ElGamal, “A public key cryptosystem and a signature scheme based on

discrete logarithms”, IEEE Transactions on Information Theory, Vol. IT-31, No.

4. pp.469–472.

[12] N.A. Moldovyan, "Digital Signature Scheme Based on a New Hard Problem",

Computer Science Journal of Moldova, vol.16, no.2(47), 2008.

ABSTRACT

A NEW DIGITAL SIGNATURE ALGORITHM BASED ON NEW HARD

PROBLEM

This paper proposes a signature schema based on the difficulty of the new hard

problem. The new signature scheme proposed has higher safety level compared to

the schemas which have been published previously about the ability of keeping

secret the source of the signed messages.

Keywords: Digital signature, Digital signature algorithm, Digital Signature Schema, Discrete logarithm

problem.

Nhận bài ngày 12 tháng 06 năm 2018

Hoàn thiện ngày 15 tháng 10 năm 2018

Chấp nhận đăng ngày 05 tháng 11 năm 2018

Địa chỉ: ¹Khoa CNTT, Cao đẳng Kinh tế - Kỹ thuật TP. Hồ Chí Minh.

²Khoa CNTT, Học viện KTQS.

*

Email: luuhongdung@gmail.com.

Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san CNTT, 11 – 2018

181