En un sistema de firma digital criptográfica o MAC , la falsificación de firma digital es la capacidad de crear un par formado por un mensaje, , y una firma (o MAC), , que es válida para , pero que no ha sido creada en el pasado por el firmante legítimo. Existen diferentes tipos de falsificación. [1]
A cada uno de estos tipos se le pueden asociar definiciones de seguridad . Un esquema de firma es seguro según una definición específica si no es posible falsificar el tipo asociado.
Las siguientes definiciones están ordenadas de menor a mayor seguridad alcanzada, es decir, del ataque más poderoso al más débil. Las definiciones forman una jerarquía, lo que significa que un atacante capaz de montar un ataque específico puede ejecutar todos los ataques que se encuentren más abajo en la lista. Del mismo modo, un esquema que alcanza un determinado objetivo de seguridad también alcanza todos los anteriores.
Más general que los siguientes ataques, también existe una ruptura total : cuando el adversario puede recuperar la información privada y las claves utilizadas por el firmante, puede crear cualquier firma posible en cualquier mensaje. [2]
La falsificación universal es la creación (por parte de un adversario) de una firma válida, , para cualquier mensaje dado, . Un adversario capaz de realizar una falsificación universal puede firmar mensajes que él mismo haya elegido (como en el caso de la falsificación selectiva), mensajes elegidos al azar o incluso mensajes específicos proporcionados por un oponente. [1]
La falsificación selectiva es la creación de un par mensaje/firma por parte de un adversario, que ha sido elegido por el atacante antes del ataque. [3] [4] puede elegirse para que tenga propiedades matemáticas interesantes con respecto al algoritmo de firma; sin embargo, en la falsificación selectiva, debe fijarse antes del inicio del ataque.
La capacidad de llevar a cabo con éxito un ataque de falsificación selectiva implica la capacidad de llevar a cabo con éxito un ataque de falsificación existencial.
La falsificación existencial (imposibilidad de falsificación existencial, EUF) es la creación (por parte de un adversario) de al menos un par de mensaje/firma, , donde nunca ha sido firmado por el firmante legítimo. El adversario puede elegir libremente; no necesita tener ningún significado particular; el contenido del mensaje es irrelevante: mientras el par, , sea válido, el adversario ha logrado construir una falsificación existencial. Por lo tanto, crear una falsificación existencial es más fácil que una falsificación selectiva, porque el atacante puede seleccionar un mensaje para el cual se puede crear una falsificación fácilmente, mientras que en el caso de una falsificación selectiva, el retador puede pedir la firma de un mensaje "difícil".
El criptosistema RSA tiene la siguiente propiedad multiplicativa: .
Esta propiedad se puede explotar creando un mensaje con una firma . [5]
Una defensa común a este ataque es codificar los mensajes antes de firmarlos. [5]
Esta noción es una variante más fuerte (más segura) de la falsificación existencial detallada anteriormente. La falsificación existencial débil es la creación (por parte de un adversario) de al menos un par mensaje/firma, , dado un número de pares mensaje-firma diferentes producidos por el firmante legítimo. A diferencia de las falsificaciones existenciales, un adversario también se considera exitoso si logra crear una nueva firma para un mensaje ya firmado .
La falsificación existencial fuerte es esencialmente el objetivo adversario más débil, por lo tanto, los esquemas más fuertes son aquellos que son fuertemente existencialmente infalsificables .