חתימה דיגיטלית – הבדלי גרסאות
תוכן שנמחק תוכן שנוסף
←אחסון וגיבוי: איחוד מבני מידע בפרק. |
החזרת מידע שבטעות הועתק לפרק אחר לפרקו המקורי (הגדרה מתמטית) |
||
שורה 29:
במובן של [[תשתיות מפתח ציבורי]], <math>S</math> יכול לבצע לפחות פעם אחת משלוח בטוח ואמין של המפתח <math>pk</math> (למשל במפגש אישי); ברגע שהחותם הצליח להנפיק בצורה מאומתת מפתח אימות ציבורי אחד לפחות, אפשר להשתמש בו כדי לאמת מפתחות ציבוריים נוספים ובכך ליצור מעין רשת אמון.
===ביטחון===▼
בהינתן מפתח ציבורי <math>pk</math> אומרים שהמתקיף הצליח לזייף את החתימה אם הצליח להנפיק מסר <math>m</math> (שלא נחתם בעבר על ידי <math>S</math>) וחתימה <math>\sigma</math> תקפה כך שאלגוריתם האימות יחזיר 1 (שהחתימה אותנטית כאילו נעשתה על ידי השולח <math>S</math>). כאשר לפי המודל המקובל המתקיף רשאי או מסוגל להשיג או לבקש חתימות תקפות של <math>S</math> על מסמכים רבים (בכמות פולינומית) לפי בחירתו. נניח שנתונה סכמת חתימה דיגיטלית <math>\Pi=(\text{Gen},\text{Sign},\text{Verify})</math>, הניסוי <math>\text{Forge}</math> הבא מנסח את הגדרת הביטחון של סכמת החתימה בנוכחות המתקיף <math>\mathcal{A}</math> עם פרמטר הביטחון <math>n</math> כדלהלן:▼
:ניסוי <math>\boldsymbol{\mathbb{Forge}_{\mathcal{A},\Pi}(n)}</math>▼
#פונקציית ההכנה <math>\text{Gen}(1^n)</math> מייצרת מפתחות (<math>sk,pk</math>) באורך <math>n</math>.▼
#המפתח <math>pk</math> ניתן למתקיף <math>\mathcal{A}</math> וכן ניתנת לו גישה לאורקל חתימה שנקרא <math>\text{Sign}_{sk}(\cdot)</math>. האורקל הוא מעין קופסה שחורה שהמתקיף מסוגל להפעיל כרצונו ולקבל עבור כל <math>m'</math> שיבחר את <math>\sigma=\text{Sign}_{sk}(m')</math> אך הוא אינו רשאי לראות את <math>sk</math>. ▼
#נניח ש-<math>Q</math> מייצגת את השאילתות שהמתקיף שלח לאורקל. תוצאת הניסוי תוגדר מוצלחת אם א. <math>\text{Verify}_{pk}(m,\sigma)=1</math> ב. <math>m\not\in Q</math>.▼
לאור הניסוי האמור אפשר להגדיר ביטחון של סכמת חתימה דיגיטלית נגד זיופים לפי [[מודל מסר נבחר]] אדפטיבי אם עבור כל אלגוריתם יריב <math>\mathcal{A}</math> קיימת [[פונקציה זניחה]] <math>\text{negl}</math> כך שמתקיים:▼
:<math>\Pr[\text{Forge}_{\mathcal{A},\Pi}(n)=1]\le\text{negl}(n)</math>.▼
במילים אחרות, הכוונה היא שסיכוייו של הזייפן להצליח בזיוף החתימה נמוכים מערך זניח שניתן להתעלם ממנו.▼
==שימושי חתימה דיגיטלית==
שורה 41 ⟵ 51:
===תקשורת===
חתימה דיגיטלית מאפשרת גם תהליך העברת מפתח מזוהה וכך לאפשר התקשרות בטוחה בין משתמשים מרוחקים כגון [[שרת]] ו[[שרת-לקוח|לקוח]]. מנגנון האימות של [[תקן איזו 9798]] וכן מנגנון אבטחת תעבורת רשת [[X.509]], מיישמים [[פרוטוקול אתגר-מענה]] המבוסס על חתימה דיגיטלית. פרוטוקול זה מסתמך על כך שבידי השרת היכולת להשיג את מפתח אימות החתימה הדיגיטלית של הלקוח באמצעים בטוחים. בגרסה אחת של הפרוטוקול הלקוח שולח לשרת חותם-זמן (זמן הגשת בקשת ההתחברות) החתום בחתימה הדיגיטלית שלו ובקבלת ההודעה השרת יכול לוודא באמצעות המפתח הפומבי של הלקוח כי החתימה אכן נעשתה על ידו ובזה הוא מקבל את זהותו.
▲===ביטחון===
▲בהינתן מפתח ציבורי <math>pk</math> אומרים שהמתקיף הצליח לזייף את החתימה אם הצליח להנפיק מסר <math>m</math> (שלא נחתם בעבר על ידי <math>S</math>) וחתימה <math>\sigma</math> תקפה כך שאלגוריתם האימות יחזיר 1 (שהחתימה אותנטית כאילו נעשתה על ידי השולח <math>S</math>). כאשר לפי המודל המקובל המתקיף רשאי או מסוגל להשיג או לבקש חתימות תקפות של <math>S</math> על מסמכים רבים (בכמות פולינומית) לפי בחירתו. נניח שנתונה סכמת חתימה דיגיטלית <math>\Pi=(\text{Gen},\text{Sign},\text{Verify})</math>, הניסוי <math>\text{Forge}</math> הבא מנסח את הגדרת הביטחון של סכמת החתימה בנוכחות המתקיף <math>\mathcal{A}</math> עם פרמטר הביטחון <math>n</math> כדלהלן:
▲:ניסוי <math>\boldsymbol{\mathbb{Forge}_{\mathcal{A},\Pi}(n)}</math>
▲#פונקציית ההכנה <math>\text{Gen}(1^n)</math> מייצרת מפתחות (<math>sk,pk</math>) באורך <math>n</math>.
▲#המפתח <math>pk</math> ניתן למתקיף <math>\mathcal{A}</math> וכן ניתנת לו גישה לאורקל חתימה שנקרא <math>\text{Sign}_{sk}(\cdot)</math>. האורקל הוא מעין קופסה שחורה שהמתקיף מסוגל להפעיל כרצונו ולקבל עבור כל <math>m'</math> שיבחר את <math>\sigma=\text{Sign}_{sk}(m')</math> אך הוא אינו רשאי לראות את <math>sk</math>.
▲#נניח ש-<math>Q</math> מייצגת את השאילתות שהמתקיף שלח לאורקל. תוצאת הניסוי תוגדר מוצלחת אם א. <math>\text{Verify}_{pk}(m,\sigma)=1</math> ב. <math>m\not\in Q</math>.
▲לאור הניסוי האמור אפשר להגדיר ביטחון של סכמת חתימה דיגיטלית נגד זיופים לפי [[מודל מסר נבחר]] אדפטיבי אם עבור כל אלגוריתם יריב <math>\mathcal{A}</math> קיימת [[פונקציה זניחה]] <math>\text{negl}</math> כך שמתקיים:
▲:<math>\Pr[\text{Forge}_{\mathcal{A},\Pi}(n)=1]\le\text{negl}(n)</math>.
▲במילים אחרות, הכוונה היא שסיכוייו של הזייפן להצליח בזיוף החתימה נמוכים מערך זניח שניתן להתעלם ממנו.
==סוגי חתימה דיגיטלית==
|