Tiêu chuẩn quốc gia TCVN 12214-1:2018 về Công nghệ thông tin - Phần 1: Tổng quan

4.2  Quy ước mã hóa

Tất cả số nguyên trong tiêu chuẩn này đều được viết với các chữ số (hoặc bit, hoặc byte) có trọng số cao nhất ở vị trí trái nhất.

4.3  Chú giải hình vẽ

Chú giải cho các hình vẽ sau được sử dụng trong tất cả các phần của tiêu chuẩn này.

Dữ liệu

Dữ liệu tùy chọn

...

...

...

Hàm cơ bản

Hàm cơ bản tùy chọn

Luồng dữ liệu

Luồng dữ liệu tùy chọn

...

...

...

Hai luồng dữ liệu, trong đó ít nhất một luồng là bắt buộc

5  Tổng quan

Các cơ chế được đặc tả trong tiêu chuẩn này dựa trên kỹ thuật mật mã phi đối xứng. Mỗi cơ chế chữ ký số phi đối xứng bao gồm 3 quá trình hoạt động cơ bản.

- Một quá trình tạo ra các cặp khóa, trong đó mỗi cặp khóa gồm 1 khóa ký và 1 khóa kiểm tra tương ứng.

- Một quá trình sử dụng khóa ký, được gọi là tiến trình ký.

• Với một thông điệp cho trước và khóa ký, xác suất để thu được cùng một chữ ký hai lần là không đáng kể, phép toán có tính xác suất.

• Với một thông điệp cho trước và khóa ký, tất cả các chữ ký là giống nhau, phép toán tất định

- Một quá trình sử dụng khóa kiểm tra được gọi là quá trình kiểm tra.

...

...

...

6  Mô hình tổng quát

Cơ chế chữ ký số kèm phụ lục được định nghĩa qua việc mô tả các quá trình sau:

- Quá trình tạo khóa;

- Tiến trình ký;

- Tiến trình kiểm tra.

Trong tiến trình ký, người ký tính một chữ ký số với một thông điệp cho trước. Chữ ký kèm với một trường văn bản tùy chọn tạo thành phụ lục, và phụ lục này được nối vào thông điệp để tạo thành thông điệp được ký.

Thông điệp M

Chữ ký Σ

...

...

...

Hình 1: Thông điệp được ký

Tùy thuộc vào ứng dụng mà có những cách khác nhau để tạo phụ lục và kết hợp phụ lục với thông điệp. Yêu cầu chung là bên kiểm tra có thể liên hệ chữ ký đúng với thông điệp.

Để việc kiểm tra thành công, điều quan trọng là trước quá trình kiểm tra, bên kiểm tra có thể liên hệ khóa kiểm tra hợp lệ với chữ ký. Trường văn bản tùy chọn có thể được sử dụng cho quá trình truyền dữ liệu định danh của người ký hoặc bản sao khóa kiểm tra của người ký đã xác thực tới bên kiểm tra. Trong một số trường hợp, dữ liệu định danh của người ký có thể là một phần của thông điệp M, vì vậy cần được bảo vệ bởi chữ ký.

Một cơ chế chữ ký số cần thỏa mãn các yêu cầu sau:

- Khi chỉ biết khóa kiểm tra mà không biết khóa ký, thì trong thời gian cho phép không thể tạo ra được bất kỳ thông điệp nào cùng với chữ ký hợp lệ cho thông điệp đó.

- Các chữ ký được tạo bởi người ký không thể sử dụng được cho quá trình tạo ra bất kỳ thông điệp mới nào và một chữ ký hợp lệ đối với thông điệp này cũng như không sử dụng được cho quá trình khôi phục khóa ký.

- Trong thời gian cho phép, ngay cả với người ký, không thể tìm được hai thông điệp khác nhau với cùng một chữ ký.

CHÚ THÍCH Việc tính toán phụ thuộc vào các yêu cầu và môi trường an toàn cụ thể.

...

...

...

Việc sử dụng lược đồ chữ ký được đặc tả trong chuẩn này yêu cầu lựa chọn một hàm băm kháng va chạm. Trong quá trình sử dụng sẽ có sự ràng buộc giữa cơ chế ký và hàm băm. Nếu không có sự ràng buộc đó, kẻ tấn công có thể yêu cầu sử dụng một hàm băm yếu (không phải hàm băm thực tế sử dụng) và do đó sẽ giả mạo chữ ký.

Có nhiều cách để thực hiện sự ràng buộc này. Dưới đây đưa ra các tùy chọn theo thứ tự tăng dần các rủi ro.

a) Khi sử dụng một cơ chế ký cụ thể, yêu cầu sử dụng một hàm băm cụ thể. Quá trình kiểm tra sẽ chỉ sử dụng hàm băm đó;

b) Cho phép một tập hợp các hàm băm và chỉ rõ hàm băm nào được sử dụng trong các tham số miền đã chứng nhận. Trong miền đã chứng nhận đó, quá trình kiểm tra sẽ chỉ sử dụng hàm băm đã được chỉ rõ trong chứng chỉ. Bên ngoài miền đã chứng nhận, sẽ có các rủi ro phát sinh từ các cơ quan chứng nhận có thẩm quyền (CAs) khi họ không tuân thủ chính sách của người dùng. Ví dụ, nếu một CA bên ngoài tạo ra một chứng chỉ cho phép sử dụng các hàm băm khác, thì có thể phát sinh vấn đề giả mạo chữ ký. Trong trường hợp như vậy, một bên kiểm tra bị sai có thể tranh chấp với CA đã tạo ra chứng chỉ khác;

c) Cho phép một tập các hàm băm và chỉ ra hàm băm được sử dụng theo một phương pháp khác nào đó, chẳng hạn, một chỉ dẫn trong thông điệp hoặc một thỏa thuận giữa hai bên. Quá trình kiểm tra sẽ chỉ sử dụng hàm băm đã được chỉ ra theo phương pháp khác. Tuy nhiên, có một rủi ro đó là, kẻ tấn công có thể giả mạo một chữ ký với việc sử dụng hàm băm khác.

CHÚ THÍCH “Phương pháp khác” được đề cập ở mục c) ngay phía trên có thể ở dạng định danh hàm băm mà đã được chỉ rõ trong chữ ký dạng hash - token, một phép nối mã băm và định danh hàm băm. Nếu định danh hàm băm được bao hàm theo cách này thì kẻ tấn công không thể giả mạo bằng cách sử dụng lại một chữ ký đã có cho một thông điệp khác, ngay cả khi bên kiểm tra có thể bị thuyết phục để chấp nhận chữ ký được tạo ra với việc sử dụng các hàm băm đủ yếu, tức là hàm băm mà có thể tìm được các tiền ảnh (thông điệp). Tuy nhiên như đã thảo luận chi tiết trong [1] (xem Phụ lục A), sử dụng hàm băm yếu, kẻ tấn công vẫn có thể tìm ra một thông báo đã ký hợp lệ bằng cách sinh ngẫu nhiên các chữ ký chứa định danh của hàm băm yếu.

Người sử dụng cơ chế chữ ký số cần tiến hành đánh giá rủi ro kể cả chi phí và lợi ích của các phương tiện thay thế khác nhau để đạt được sự ràng buộc theo yêu cầu. Đánh giá này nên bao gồm một đánh giá về chi phí gắn với khả năng chữ ký giả mạo được tạo ra.

8  Quá trình sinh khóa

Quá trình sinh khóa của cơ chế chữ ký số bao gồm 2 thủ tục sau:

...

...

...

- Quá trình sinh khóa ký và khóa kiểm tra.

Thủ tục đầu tiên chỉ được thực hiện một lần khi miền được thiết lập. Thủ tục thứ hai được thực hiện cho mỗi người ký trong miền và đầu ra là khóa ký X và khóa kiểm tra Y. Đối với một tập các tham số miền cụ thể, một giá trị của X khác với các giá trị đã dùng trước đó với xác suất vượt trội sẽ được sử dụng.

CHÚ THÍCH Việc xác nhận tính hợp lệ của các tham số miền và khóa có thể được yêu cầu. Tuy nhiên, điều này nằm ngoài phạm vi của tiêu chuẩn này.

9  Tiến trình ký

9.1  Tổng quan

Tiến trình ký yêu cầu các phần tử dữ liệu sau:

- Các tham số miền Z;

- Khóa ký X;

- Thông điệp M;

...

...

...

- Văn bản t khác (tùy chọn).

Định danh hàm băm có thể được sử dụng cho việc ràng buộc cơ chế ký và hàm băm, xem Điều 7.

Tiến trình ký của một cơ chế chữ ký số kèm phụ lục bao gồm các thủ tục sau:

- Tính toán chữ ký;

- Xây dựng phụ lục;

- Xây dựng thông điệp được ký;

9.2  Tính toán chữ ký

Đầu vào của quá trình này là thông điệp M, khóa ký X và tham số miền Z. Đầu ra của bước này là chữ ký Σ bao gồm phần đầu của chữ ký R và, phụ thuộc vào cơ chế ký, phần thứ hai của chữ ký S, xem Hình 2.

9.3  Xây dựng phụ lục

...

...

...

CHÚ THÍCH: Tùy thuộc vào ứng dụng sẽ có những cách khác nhau để xây dựng phụ lục và nối phụ lục đó với thông điệp. Yêu cầu chung là bên kiểm tra có thể liên hệ chữ ký đúng với thông điệp. Để kiểm tra thành công thì trước quá trình kiểm tra, bên kiểm tra có khả năng kết hợp khóa kiểm tra đúng với chữ ký.

9.4  Xây dựng thông điệp được ký

Thông điệp được ký bao gồm thông điệp M và phụ lục, tức là, M, (Σ,t).

Hình 2: Tiến trình ký

10  Tiến trình kiểm tra

Tiến trình kiểm tra yêu cầu các phần tử dữ liệu sau:

- Các tham số miền Z;

- Khóa kiểm tra Y;

...

...

...

- Chữ ký Σ,

- Dữ liệu định danh Id (tùy chọn);

- Sử dụng các định danh của các hàm băm hid, nếu không thì hàm băm được xác định duy nhất bằng các phương pháp khác (xem Điều 7);

- Văn bản khác, t (tùy chọn).

Tiến trình kiểm tra lấy đầu vào là thông điệp M, tham số miền Z, khóa kiểm tra Y, chữ ký Σ và, phụ thuộc vào cơ chế định danh dữ liệu Id. Đầu ra của tiến trình này là giá trị Boolean Đồng ý (Chấp nhận) hay Không đồng ý (Từ chối) như được chỉ ra trong Hình 3. Quá trình tính hàm kiểm tra bao gồm một trong những sự kết hợp của các hàm sau:

a) Hàm mở chữ ký, hàm băm và hàm so sánh;

b) Hàm mở chữ ký, khôi phục biểu diễn và kiểm tra biểu diễn đã khôi phục;

c) Truy xuất bằng chứng, truy xuất việc gán các giá trị, tính lại giá trị trước khi ký, tính lại bằng chứng và kiểm tra bằng chứng.

...

...

...

Phụ lục A

(Tham khảo)

Định danh hàm băm

Như được đặc tả trong Điều 7, người sử dụng các lược đồ ký được đặc tả trong phần này sẽ chọn một hàm băm kháng va chạm. Điều quan trọng đó là bên kiểm tra phải có một phương thức rõ ràng để xác định hàm băm nào đã được sử dụng trong việc tạo ra chữ ký, mục đích là để tiến trình kiểm tra có thể được thực hiện một cách an toàn. Nếu một bên thứ ba ác ý có thể thuyết phục bên kiểm tra rằng đó là một hàm băm “yếu” đã được sử dụng để tạo chữ ký (ví dụ, một hàm băm không có tính một chiều), thì bên thứ ba này có thể thuyết phục bên kiểm tra rằng chữ ký hợp lệ thực sự được sử dụng cho một thông điệp “không đúng”.

Tiêu chuẩn này cho phép một “hash - token”, một định danh hàm băm nối với mã băm để chỉ rõ hàm băm sử dụng trong mỗi chữ ký nhằm đạt được sự ràng buộc cần thiết. Nếu định danh hàm băm được bao gồm theo cách này thì kẻ tấn công không thể sử dụng lại một cách gian lận chữ ký đã có cho một thông điệp khác, ngay cả khi bên kiểm tra có thể bị thuyết phục để chấp nhận các chữ ký được tạo ra với việc sử dụng một hàm băm đủ yếu, tức là hàm băm mà với nó các tiền ảnh có thể được tìm thấy. Điều này được xem là để giải quyết vấn đề được đề cập trong các phần trước.

Tuy nhiên, như đã thảo luận chi tiết trong [1], ngay cả khi định danh hàm băm được chứa trong chữ ký có dạng một hash - token, các tấn công khác vẫn là có thể nếu bên kiểm tra có thể bị thuyết phục rằng một hàm băm “yếu” đã được sử dụng. Thuật ngữ “Yếu” ở đây có nghĩa là hàm băm thiếu tính một chiều, nghĩa là cho trước một mã băm, thì việc tìm một xâu đầu vào tương ứng với mã băm này là có thể thực hiện được về mặt tính toán. (Chú ý rằng tính yếu này chính là động cơ đầu tiên thúc đẩy việc bao gồm định danh hàm băm trong chữ ký theo dạng hash-token.)

Những tấn công được mô tả trong [1] hoạt động theo 2 cách tổng quát sau:

a) Trong trường hợp kẻ tấn công kiểm soát được toàn bộ giá trị của hash - token trong một chữ ký, thì kẻ tấn công có thể gắn định danh của một hàm băm yếu trong một chữ ký được tạo ra ngẫu nhiên. Sau đó, kẻ tấn công nghịch đảo hàm băm yếu và nhận được thông điệp M. Trong trường hợp này, việc giả mạo chữ ký là có thể xảy ra thậm chí nếu hàm băm chỉ yếu đối với một số giá trị băm cụ thể nào đó.

...

...

...

Cho trước “chữ ký” như vậy, kẻ tấn công lấy mã băm được gắn trong chữ ký hoặc trong biểu diễn thông điệp đã khôi phục, và, sử dụng thực tế hàm băm là yếu, tìm ra thông điệp mà đã được băm để được mã băm mong muốn. Tức là, kẻ tấn công có thể giả mạo một chữ ký mới. Bởi vậy việc ghép nối định danh hàm băm với mã băm là cần thiết cho bên kiểm tra để biết hàm băm nào được sử dụng để kiểm tra chữ ký.

Hầu hết các lược đồ chữ ký số trong tiêu chuẩn này yêu cầu chỉ rõ hàm băm sử dụng trong tham số miền (như được chỉ ra trong Mục 7 a), hoặc chính các lược đồ đặc tả các hàm băm cụ thể (như được chỉ ra trong Mục 7 b). Người sử dụng một lược đồ chữ ký số nên tiến hành đánh giá rủi ro, xem xét chi phí và lợi ích của những phương thức thay thế khác nhau. Sự đánh giá này bao gồm chi phí gắn với khả năng có chữ ký giả được tạo ra.

Thư mục tài liệu tham khảo

[1] B. Kaliski, On hash function firewalls in signature schemes, in Proc. Cryptographers’ Track RSA Conference 2002, B. Preneel, Ed, Lecture Notes in Computer Science, Vol. 2271, pp. 1-16, Berlin, Springer-Verlag, 2002.

[2] ISO/IEC 9796 (all parts), Information technology — Security techniques — Digital signature scheme giving message recovery.

[3] TCVN 7817-3 (ISO/IEC 11770), Công nghệ thông tin - Kỹ thuật an ninh - Quản lý khóa - Phần 3: Các cơ chế sử dụng kỹ thuật phi đối xứng.

[4] ISO/IEC 9594-8:2001, Information technology — Open Systems Interconnection — The Directory: Public-key and attribute certificate frameworks

[5] ISO/IEC 15945:2002, Information technology — Security techniques — Specification of TTP services to support the application of digital signatures.

...

...

...