DSA签名简介及对其的攻击方式

DSA

1、DSA算法描述

1985年提出的ElGamal算法是首次在有限域上基于离散对数问题设计的数字签名方案, DSA算法是在ElGamal算法的基础上设计的, 算法描述如下。

1.1 密钥生成

1) 全局参数

p: 满足2^L-1 <p<2^L的大素数, 其中L=512+64d, d=0, 1, 2, …, 8 q: p-1 的素因子, 且2¹⁵⁹<q<2¹⁶⁰。 g: g=h ^{(p-1) /q} mod p, 其中h满足1<h<p-1, 且h ^{(p-1) /q} mod p>1。

以上3个参数是用户公用的参数, 称之为全局参数, 也称为共享的公共模数。

2) 私钥

x: 选取满足1<x<q的随机数。

3) 公钥

y: 通过y=g^x mod p求得。

1.2 签名过程

生成随机数k, 1<k<q;
计算r= (g^k mod p) mod q;
计算 s= (k^-1 * (H (M) + x * r) ) mod q。其中M是待签名的消息, H (M) 是由SHA-1(Secure Hash Algorithm-1) 求出的Hash值。

消息M的签名结果即为 (r, s) 。

1.3 验证过程

计算w=s^-1 mod q;
计算 u₁= (H(M) * w) mod q;
计算 u₂= (r * w) mod q;
计算 v= ( (g^u1 * y^u2) mod p) mod q。

比较r和v, 如果r=v, 表示签名有效; 否则, 签名非法

2、通用安全攻击（基本都是高复杂度的）

2.1求取私钥

对DSA最直接也是最彻底的攻破方法是利用算法的公开信息求取用户私钥。DSA算法中的公开信息包括:全局参数、公钥、消息和签名, 由这些数据求取私钥有两种方法。

1、根据公钥y计算私钥（基本不可能）

x=loggy(modp)x=log_gy\pmod p x=loggy(modp)

2、根据公共模数p与q, 消息M, 签名 (r, s) 等公开信息计算随机数k（基本也不可能）

T=gu1yu2(modp)k=loggT(modp)T=g^{u_1}y^{u_2}\pmod p\\ k=log_gT\pmod p T=gu1yu2(modp)k=loggT(modp)

借助k计算私钥
x=r−1(sk−H(M))modqx=r^{-1}(sk-H(M))\mod q x=r−1(sk−H(M))modq
显然上述两种方法的复杂性都是求取离散对数

2.2穷搜索攻击

穷搜索攻击是面向单钥和公钥密码体制的通用攻击方法, 是完全的暴力攻击方法。对于包括DSA在内的所有密码算法, 密钥必须足够长才能抵抗穷搜索攻击, 然而由于公钥体制所使用的可逆函数的计算复杂性与密钥长度常常不是呈线性关系, 而是增大更快, 所以DSA的密钥太长会使签名验证运算太慢而不实用。DSS中规定私钥x的长度为160 bit、公钥y的长度取决于模p的长度L。所以, 采用穷搜索方法攻击DSA时, 即是计算满足y=g^x mod p的x值, x的搜索域为2^L, 显然, 以目前的计算能力, 采用穷搜索方法攻破DSA是不可能的。

2.3生日攻击

生日攻击是主要面向Hash函数的通用攻击方法, 也可用于攻击基于离散对数问题的密码系统。生日攻击的本质是利用概率性质进行随机攻击。采用生日攻击方法攻击DSA即是用生日攻击求解离散对数y=g^x mod p, 计算过程如下。

分别计算gⁱ mod p和 (yg^j) mod p, 其中 i和j是√p附近的随机数, 当计算量达到√p个数据时, 两种计算中很有可能有相同者, 即gⁱ≡yg^j (mod p) , 由此可以推算出:x≡i-j (mod q) 。

DSA算法中, p的位长为L=512+64d, 所以采用生日攻击需进行2^256+32d次运算, 因而DSA面对生日攻击具备足够的安全强度。

2.4伪造攻击

伪造攻击可分为未知消息攻击和已知消息攻击两种情形, 前者属于实体伪造, 危险性很低，当然, 签名方案仍需考虑抵抗实体伪造, 以提高安全性。这里主要考虑对DSA的已知消息攻击, 若对消息M伪造DSA签名, 有3种方法。

方法1 假设r求解s。伪造者先选取一个小于q的随机数, 假设为r, 然后计算
k=((loggr)modp)modqs=(k−1(H(M)+(loggyr)modp))modqk=((log_gr)mod\;p)mod\;q\\s=(k^{−1}(H(M)+(logg_yr)mod\;p))mod\;q k=((loggr)modp)modqs=(k−1(H(M)+(loggyr)modp))modq
方法2 假设s求解r。伪造者先选取一个小于q的随机数, 假设为s, 然后计算
Rs≡gH(M)yRmodq(modp)‚r=RmodqR^s≡g^{H(M)}y^{R\;mod\;q}(mod\;p)‚r=R\;mod\;q Rs≡gH(M)yRmodq(modp)‚r=Rmodq
方法3 假设k求解r和s。伪造者先选取一个小于q的随机数, 假设为k, 然后计算
r=(gkmodp)modqs=(k−1(H(M)+(loggyr)modp))modqr=(g^kmod\;p)mod\;q\\s=(k^{−1}(H(M)+(log_gy^r)mod\;p))mod\;q r=(gkmodp)modqs=(k−1(H(M)+(loggyr)modp))modq
其中方法1需面对2次求解离散对数问题;方法2需面对1次比求解离散对数问题更复杂的运算;方法3需面对1次求解离散对数问题。因为离散对数问题目前是不可解的, 所以DSA具备充分的抵抗已知消息伪造攻击的安全强度。

3、弱点攻击

寻找密码系统本身的弱点进行攻击往往是最有效的攻击方法, 通过对DSA算法的分析发现, 随机数k与消息无关的签名r, 公共模数p与q以及内嵌的Hash函数是算法可能存在的弱点。

3.1随机数攻击

DSA在每次签名时, 使用了随机数k, 如果对同一消息进行多次签名, 签名结果是不同的, 所以DSA是一种随机式数字签名。如果k值的选取存在缺陷, 根据2.1中给出的计算可知, 攻击者可以很容易地根据k值计算出私钥x。

1)低指数攻击

k不能取值太小, 因为r= (g^k mod p) mod q。若k值太小, 攻击者可通过穷搜索的方法得到k值。

2)共k攻击

如果攻击者获得了两个使用相同k值的签名消息, 则可计算
k=((s2−s1)−1(H(M2)−H(M1)))modqk=((s2−s1)^{−1}(H(M2)−H(M1)))modq k=((s2−s1)−1(H(M2)−H(M1)))modq

3)共r攻击

使用同一公钥加密的不同消息，根据r= (g^k mod p) mod q，可知k相同，套用2中的理论，可以完成攻击

脚本参考CTFwiki

https://ctf-wiki.github.io/ctf-wiki/crypto/signature/dsa-zh/