Este trabalho apresenta um estudo que identifica os pontosvulneráveis do Digital Signature Algorithm (DSA) mediante o uso de parâmetros curtos. A segurança afetada com a redução de seus parâmetros será discutida

Carvalho da Silva, Alexsandra

Santana de Freitas, Daniel

Zancanella, Luiz Carlos

Portuguese

Este trabalho apresenta um estudo que identifica os pontosvulner&aacute;veis do Digital Signature Algorithm (DSA) mediante o uso de&nbsp;par&acirc;metros curtos. A seguran&ccedil;a afetada com a redu&ccedil;&atilde;o de seus par&acirc;metros&nbsp;ser&aacute; discutida

Universidade do Extremo Sul Catarinense: Periódicos UNESC

 Análise da Vulnerabilidade do DSA  com Parâmetros Curtos  Alexsandra Carvalho da Silva, Daniel Santana de Freitas, Luiz Carlos Zancanella Laboratório de Segurança em Computação                                                          Universidade Federal de Santa Catarina (UFSC)                                                               Centro Tecnológico – Caixa Postal 476 – CEP: 88040-900 – Florianópolis – SC – Brasil  {alexsandra,santana,zancanella}@inf.ufsc.brAbstract. This work presents a research about the identification of vulnerable points of Digital Signature Algorithm (DSA) using short parameters. The security affected with the reduction of parameters will be argued. Key Words: Digital Signature, DSA, short parameters. Resumo. Este trabalho apresenta um estudo que identifica os pontos vulneráveis do Digital Signature Algorithm (DSA) mediante o uso de parâmetros curtos. A segurança afetada com a redução de seus parâmetros será discutida.   Palavras Chaves: Assinatura Digital, DSA, parâmetros curtos. 1. Introdução O Digital Signature Algorithm (DSA) é o padrão de algoritmo de assinatura digital adotado pelo National Institute of Standards and Technology (NIST).  O DSA tem sua segurança baseada na dificuldade de computar logaritmos discretos [NIST 2000] e seus parâmetros variam na ordem de 160 a 1024 bits.  Uma revisão do algoritmo DSA pode ser encontrada no Anexo I.  O tamanho dos parâmetros do DSA foi definido de maneira que esse fosse um algoritmo seguro. A proposta deste trabalho é a de efetuar um estudo dos pontos vulneráveis do DSA quando reduzimos o tamanho dos  seus parâmetros, realizando uma análise da segurança afetada quando o DSA trabalha com parâmetros menores. 2. DSA com parâmetros curtos No intuito de identificarmos o comportamento do DSA com parâmetros curtos, realizamos um estudo da redução do tamanho dos parâmetros p e q, que são os módulos das equações do DSA.   No DSA, p varia de 512 a 1024 bits.  Reduzir o parâmetro p implica em abrir possibilidades para o ataque ao logaritmo discreto, quebrando a chave privada x pela  equação de y = (g ^ x) mod p.  [Menezes  et al. 1996] ressalta que p deveria ser suficientemente grande para prevenir o ataque do método Index Calculus. Também explica que p – 1 deveria ser divisível por um número primo grande para ser seguro contra o ataque do logaritmo discreto de Pohlig-Hellman [Pohlig e Hellman 1978]. Se p   for pequeno, p – 1 não será divisível por números primos grandes e, portanto, o ataque pode ser efetuado, comprometendo a chave privada.  Vamos analisar um segundo cenário, onde o parâmetro p se mantém de 512 a 1024 bits e o parâmetro q é reduzido. A redução do parâmetro q faz com que automaticamente o tamanho da assinatura também diminua, dado que as equações r e s são da ordem de q.   Mas qual o comprometimento da segurança do DSA quando reduzimos o tamanho do parâmetro q? Para analisarmos o comportamento do DSA com o q sendo pequeno, vamos desenhar um cenário com o q tendo 16 bits, gerando, assim, assinatura de 32 bits.  Como a chave privada x é da ordem de q, ela poderá ser quebrada com no máximo 65535 tentativas pela equação de y = (g ^ x) mod p,  ou seja, atribuindo no máximo 65535 valores para x, no intuito de encontrar o valor que gere o y correspondente. Outra fraqueza diz respeito ao parâmetro k, que também é da ordem de q.  podendo assim ser descoberto pela equação de r = (g ^ k mod p) mod q. E quebrar o valor de k corresponde automaticamente em quebrar o valor da chave privada x pela equação de s.  Além disso, a redução de universo de valores disponíveis para o parâmetro k, aumenta a possibilidade de mesmo k ser utilizado para assinar documentos distintos.   [Stinson 1995] e [Menezes et al. 1996] ressaltam a importância de que o mesmo parâmetro k não seja utilizado para assinar mensagens distintas. Se o atacante tiver conhecimento de duas assinaturas geradas com a mesma chave privada x e com mesmo k, através da equação de s descobrirá o k e chegará no valor de x.   [Nguyen e Shparlinski] apresentam ainda um ataque ao DSA quando alguns bits do parâmetro k são conhecidos. Se o universo de possibilidades de valores para k for muito reduzido, a possibilidade de ataques sobre esse parâmetro aumenta.  Uma outra conseqüência da redução do parâmetro q diz respeito à redução do número de assinaturas (combinações de r e s), uma vez que tais equações são da ordem de q.  Com o q menor, a chance de colisões de assinatura também aumenta. A colisão ocorre quando mensagens distintas resultam em mesma assinatura [Vaudenay 1996].  3. Comentários finais Com o objetivo de efetuar uma análise no comportamento do DSA com parâmetros curtos, um estudo foi realizado em torno da redução dos parâmetros p e q , que são os módulos das equações do DSA.  As fragilidades e formas de ataques foram apontadas.   Com o p sendo reduzido, abre-se a possibilidade de um atacante quebrar a chave privada pelo ataque ao logaritmo discreto.  Já com a redução do parâmetro q, há conseqüentemente uma redução de possibilidades de valores para x e k,  permitindo que, com algumas tentativas, esses valores possam ser quebrados. A redução do parâmetro q também implica em diminuir o universo de assinaturas geradas, aumentando as chances de colisão de assinaturas,  e ainda aumenta as possibilidades de ataques sobre o parâmetro k (o qual sendo descoberto permite a quebra da chave privada x). Dessa forma, ainda que o tamanho do parâmetro p não permita o ataque ao logaritmo discreto, a redução do parâmetro q também deixa a segurança do DSA comprometida.   Este estudo é parte de um projeto de pesquisa maior que visa obter assinatura digital curta com níveis de segurança aceitáveis, para uso em aplicações onde exista a necessidade de digitação da assinatura.  Referências Menezes, A., Oorschot, P. C. e Vanstone, S. A. (1996) “Handbook of Applied Cryptography”, CRC Press. Nguyen, P. Q., Shparlinski, I. E. (2002) “The Insecurity of the Digital Signature Algorithm with Partially Known Nonces”, J. Cryptology,  v.15, 151-176. NIST, (2000) “Digital Signature Standard”, National Institute of Standards and Technology. FIPS PUB 186-2, http://csrc.nist.gov/publications/fips/fips186-2/fipbs186-2.pdf. Pohlig, S. C., Hellman, M. E. (1978) “An improved algorithm for computing logarithms over GF(p) and its cryptographic significance”, IEEE-Transactions on Information Theory, 24:106--110. Stinson, D. (1995) “Cryptography: Theory and Practice”. CRC Press, 2ª. Edição. Vaudenay, S. (1996) “Hidden Collisions on DSS”, Advances in Cryptology CRYPTO'96, Santa-Barbara, California, U.S.A, Lecture Notes in Computer Science No. 1109, pp. 83--88, Springer-Verlag . Anexo I: Digital Signature Algorithm (DSA) O DSA é o algoritmo de assinatura digital proposto pelo NIST, especificado pelo padrão de assinatura digital conhecido como Digital Signature Standard (DSS). O DSA tem sua segurança baseada na dificuldade de computar logaritmos discretos e sua descrição é apresentada a seguir [NIST 2000]: Os Parâmetros p = número primo, tal que  2L-1 < p < 2 L  para 512 ≤ L ≤ 1024 e L múltiplo de 64 q = primo divisor de p - 1, tal que 2159 < q < 2160 g = h(p-1)/q mod p, tal que h é um inteiro 1 < h < p - 1 e  h(p-1)/q mod p > 1 x = um número inteiro randômico ou pseudo-randômico, tal que 0 < x < q y = gx mod p k = um número inteiro randômico ou pseudo-randômico, tal que 0 < k < q Os parâmetros p, q e g podem ser públicos. Chave privada é o parâmetro x e chave pública é o parâmetro y.  O parâmetro k deve ser gerado a cada assinatura e ser secreto. O Algoritmo de Geração da Assinatura r = (gk mod p) mod q  s = (k-1(SHA-1(M) + xr)) mod q  onde SHA-1(M) é um resumo de 160 bits da mensagem M, gerado a partir do Secure Hash Algorithm SHA-1. A assinatura é o par r e s, que contém 320 bits.   O Algoritmo de Verificação da Assinatura w = (s)-1 mod q u1 = ((SHA-1(M))w) mod q u2 = (rw) mod q v = (((g)u1 (y)u2) mod p) mod q Se v = r, então a assinatura é válida.  

Análise da Vulnerabilidade do DSA com Parâmetros Curtos

http://periodicos.unesc.net/sulcomp/article/download/750/707

Análise da Vulnerabilidade do DSA com Parâmetros Curtos

Abstract

Similar works

Full text

Available Versions

Universidade do Extremo Sul Catarinense: Periódicos UNESC