Falsificación de firma digital

En un sistema de firma digital criptográfica o MAC , la falsificación de firma digital es la capacidad de crear un par formado por un mensaje, , y una firma (o MAC), , que es válida para , pero que no ha sido creada en el pasado por el firmante legítimo. Existen diferentes tipos de falsificación. ^[1] ${\estilo de visualización m}$ ${\estilo de visualización \sigma}$ ${\estilo de visualización m}$

A cada uno de estos tipos se le pueden asociar definiciones de seguridad . Un esquema de firma es seguro según una definición específica si no es posible falsificar el tipo asociado.

Tipos

Las siguientes definiciones están ordenadas de menor a mayor seguridad alcanzada, es decir, del ataque más poderoso al más débil. Las definiciones forman una jerarquía, lo que significa que un atacante capaz de montar un ataque específico puede ejecutar todos los ataques que se encuentren más abajo en la lista. Del mismo modo, un esquema que alcanza un determinado objetivo de seguridad también alcanza todos los anteriores.

Ruptura total

Más general que los siguientes ataques, también existe una ruptura total : cuando el adversario puede recuperar la información privada y las claves utilizadas por el firmante, puede crear cualquier firma posible en cualquier mensaje. ^[2]

Falsificación universal (infalsificación universal, UUF)

La falsificación universal es la creación (por parte de un adversario) de una firma válida, , para cualquier mensaje dado, . Un adversario capaz de realizar una falsificación universal puede firmar mensajes que él mismo haya elegido (como en el caso de la falsificación selectiva), mensajes elegidos al azar o incluso mensajes específicos proporcionados por un oponente. ^[1] ${\estilo de visualización \sigma}$ ${\estilo de visualización m}$

Falsificación selectiva (infalsificación selectiva, SUF)

La falsificación selectiva es la creación de un par mensaje/firma por parte de un adversario, que ha sido elegido por el atacante antes del ataque. ^[3]^[4] puede elegirse para que tenga propiedades matemáticas interesantes con respecto al algoritmo de firma; sin embargo, en la falsificación selectiva, debe fijarse antes del inicio del ataque. ${\estilo de visualización (m,\sigma)}$ ${\estilo de visualización m}$ ${\estilo de visualización m}$ ${\estilo de visualización m}$

La capacidad de llevar a cabo con éxito un ataque de falsificación selectiva implica la capacidad de llevar a cabo con éxito un ataque de falsificación existencial.

Falsificación existencial

La falsificación existencial (infalsificación existencial, EUF) es la creación (por parte de un adversario) de al menos un par mensaje/firma, , donde nunca ha sido firmado por el firmante legítimo. El adversario puede elegir libremente; no necesita tener ningún significado particular; el contenido del mensaje es irrelevante: mientras el par, , sea válido, el adversario ha logrado construir una falsificación existencial. Por lo tanto, crear una falsificación existencial es más fácil que una falsificación selectiva, porque el atacante puede seleccionar un mensaje para el cual se puede crear una falsificación fácilmente, mientras que en el caso de una falsificación selectiva, el retador puede pedir la firma de un mensaje "difícil". ${\estilo de visualización (m,\sigma)}$ ${\estilo de visualización m}$ ${\estilo de visualización m}$ ${\estilo de visualización m}$ ${\estilo de visualización (m,\sigma)}$ ${\estilo de visualización m}$

Ejemplo de falsificación existencial

El criptosistema RSA tiene la siguiente propiedad multiplicativa: . $\sigma(m_{1})\cdot \sigma(m_{2})=\sigma(m_{1}\cdot m_{2})$

Esta propiedad se puede explotar creando un mensaje con una firma . ^[5] $m'=m_{1}\cdot m_{2}$ $\sigma \left(m'\right)=\sigma (m_{1}\cdot m_{2})=\sigma (m_{1})\cdot \sigma (m_{2})$

Una defensa común a este ataque es codificar los mensajes antes de firmarlos. ^[5]

Falsificación existencial débil (fuerte infalsificabilidad existencial, fuerte infalsificabilidad; sEUF o SUF)

Esta noción es una variante más fuerte (más segura) de la falsificación existencial detallada anteriormente. La falsificación existencial débil es la creación (por parte de un adversario) de al menos un par mensaje/firma, , dado un número de pares mensaje-firma diferentes producidos por el firmante legítimo. A diferencia de las falsificaciones existenciales, un adversario también se considera exitoso si logra crear una nueva firma para un mensaje ya firmado . $\left(m',\sigma '\right)$ ${\estilo de visualización (m,\sigma)}$ ${\estilo de visualización m'}$

La falsificación existencial fuerte es esencialmente el objetivo adversario más débil, por lo tanto, los esquemas más fuertes son aquellos que son fuertemente existencialmente infalsificables .

Referencias

^ ab Vaudenay, Serge (16 de septiembre de 2005). Introducción clásica a la criptografía: aplicaciones para la seguridad de las comunicaciones (1.ª ed.). Springer. pág. 254. ISBN 978-0-387-25464-7.
^ Goldwasser, Shafi; Bellare, Mihir (2008). Apuntes sobre criptografía. Curso de verano sobre criptografía. p. 170. Archivado desde el original el 21 de abril de 2012. Consultado el 30 de enero de 2011 .
^ Shafi Goldwasser y Mihir Bellare. "Notas de clase sobre criptografía" (PDF) .
^ Bleumer G. (2011) Falsificación selectiva. En: van Tilborg HCA, Jajodia S. (eds.) Enciclopedia de criptografía y seguridad. Springer, Boston, MA. https://doi.org/10.1007/978-1-4419-5906-5_225
^ ab Fabrizio d'Amore (abril de 2012). «Firmas digitales - DSA» (PDF) . Universidad La Sapienza de Roma. págs. 8–9 . Consultado el 27 de julio de 2018 .