Lema de bifurcación

El lema de bifurcación es cualquiera de varios lemas relacionados en la investigación de criptografía . El lema establece que si un adversario (típicamente una máquina probabilística de Turing ), con entradas extraídas de alguna distribución , produce una salida que tiene alguna propiedad con una probabilidad no despreciable , entonces con una probabilidad no despreciable, si el adversario se vuelve a ejecutar nuevas entradas pero con la misma cinta aleatoria, su segunda salida también tendrá la propiedad.

Este concepto fue utilizado por primera vez por David Pointcheval y Jacques Stern en "Pruebas de seguridad para esquemas de firma", publicado en las actas de Eurocrypt 1996. ^{[1] [2]} En su artículo, el lema de la bifurcación se especifica en términos de un adversario que ataca un esquema de firma digital instanciado en el modelo de oráculo aleatorio . Muestran que si un adversario puede falsificar una firma con una probabilidad no despreciable, entonces existe una probabilidad no despreciable de que el mismo adversario con la misma cinta aleatoria pueda crear una segunda falsificación en un ataque con un oráculo aleatorio diferente. ^[3] El lema de la bifurcación fue generalizado posteriormente por Mihir Bellare y Gregory Neven. ^[4] El lema de la bifurcación se ha utilizado y generalizado aún más para demostrar la seguridad de una variedad de esquemas de firma digital y otras construcciones criptográficas basadas en oráculos aleatorios. ^{[2] [5] [6]}

Declaración del lema

La versión generalizada del lema se establece a continuación. ^[4] Sea A un algoritmo probabilístico, con entradas ( x , h ₁ , ..., h _q ; r ) que genera un par ( J , y ), donde r se refiere a la cinta aleatoria de A (es decir, las elecciones aleatorias que hará A). Supongamos además que IG es una distribución de probabilidad de la que se extrae x , y que H es un conjunto de tamaño h del que se extrae cada uno de los valores h _i según la distribución uniforme . Sea acc la probabilidad de que en entradas distribuidas como se describe, la salida J de A sea mayor o igual a 1.

Luego podemos definir un "algoritmo de bifurcación" F _A que procede de la siguiente manera, en la entrada x :

1. Elija una cinta aleatoria r para A .
2. Elija h ₁ , ..., h _q uniformemente de H .
3. Ejecute A en la entrada ( x , h ₁ , ..., h _q ; r ) para producir ( J , y ).
4. Si J = 0, entonces devuelve (0, 0, 0).
5. Elija h' _J , ..., h' _q uniformemente de H .
6. Ejecute A en la entrada ( x , h ₁ , ..., h _{J −1} , h ' _J , ..., h ' _q ; r ) para producir ( J ', y ').
7. Si J' = J y h _J ≠ h' _J entonces devuelve (1, y , y '); en caso contrario, devuelve (0, 0, 0).

Sea frk la probabilidad de que F _A genere un triple que comience con 1, dada una entrada x elegida aleatoriamente de IG . Entonces

${\displaystyle {\text{frk}}\geq {\text{acc}}\cdot \left({\frac {\text{acc}}{q}}-{\frac {1}{h}}\right).}$

Intuición

La idea aquí es pensar que A se ejecuta dos veces en ejecuciones relacionadas, donde el proceso se " bifurca " en un punto determinado, cuando se han examinado algunas, pero no todas, las entradas. En la versión alternativa, las entradas restantes se regeneran pero se generan de la forma normal. El punto en el que el proceso se bifurca puede ser algo que solo queramos decidir más tarde, posiblemente en función del comportamiento de A la primera vez: es por eso que la declaración del lema elige el punto de bifurcación ( J ​​) en función de la salida de A . El requisito de que h _J ≠ h' _J es técnico y requerido por muchos usos del lema. (Tenga en cuenta que, dado que tanto h _J como h' _J se eligen aleatoriamente de H , entonces si h es grande, como suele ser el caso, la probabilidad de que los dos valores no sean distintos es extremadamente pequeña).

Ejemplo

Por ejemplo, sea A un algoritmo para romper un esquema de firma digital en el modelo de Oracle aleatorio . Entonces x serían los parámetros públicos (incluida la clave pública) que A está atacando, y h _i sería la salida del oráculo aleatorio en su i -ésima entrada distinta. El lema de la bifurcación es útil cuando sería posible, dadas dos firmas aleatorias diferentes del mismo mensaje, resolver algún problema difícil subyacente. Sin embargo, un adversario que falsifica una vez da lugar a uno que falsifica dos veces el mismo mensaje con una probabilidad no despreciable a través del lema de la bifurcación. Cuando A intenta falsificar un mensaje m , consideramos que la salida de A es ( J , y ), donde y es la falsificación, y J es tal que m fue la J -ésima consulta única al oráculo aleatorio (se puede suponer que A consultará m en algún momento, si A tiene éxito con una probabilidad no despreciable). (Si A genera una falsificación incorrecta, consideramos que el resultado es (0, y ).)

Según el lema de la bifurcación, la probabilidad ( frk ) de obtener dos buenas falsificaciones y e y' en el mismo mensaje pero con diferentes resultados aleatorios del oráculo (es decir, con h _J ≠ h' _J ) no es despreciable cuando acc tampoco lo es. -despreciable. Esto nos permite demostrar que si el problema subyacente es realmente difícil, ningún adversario puede falsificar firmas.

Ésta es la esencia de la prueba dada por Pointcheval y Stern para un esquema de firma ElGamal modificado contra un adversario adaptativo.

Problemas conocidos con la aplicación del lema de bifurcación

La reducción proporcionada por el lema de la bifurcación no es estricta. Pointcheval y Stern propusieron argumentos de seguridad para firmas digitales y firmas ciegas utilizando Forking Lemma. ^[7] Claus P. Schnorr proporcionó un ataque a los esquemas de firmas ciegas de Schnorr, ^[8] con más de ejecuciones simultáneas (el caso fue estudiado y demostrado ser seguro por Pointcheval y Stern). Benhamouda, Lepoint, Raykova y Orrù mostraron en 2020 un ataque en tiempo polinomial, para ejecuciones concurrentes. Schnorr también sugirió mejoras para asegurar esquemas de firmas ciegas basados ​​en problemas de logaritmos discretos . ^[9] ${\displaystyle polylog(n)}$ ${\displaystyle \Omega (n)}$

Referencias

1. Ernest Brickell, David Pointcheval , Serge Vaudenay y Moti Yung , "Validaciones de diseño para esquemas de firma basados ​​en logaritmos discretos", Tercer taller internacional sobre práctica y teoría en criptosistemas de clave pública, PKC 2000, Melbourne , Australia , 18 al 20 de enero de 2000 , págs. 276–292.
2. Adam Young y Moti Yung, "Criptografía maliciosa: exponer la criptovirología", Wiley press, 2004, págs.344.
3. David Pointcheval y Jacques Stern , "Security Proofs for Signature Schemes", Avances en criptología - EUROCRYPT '96, Zaragoza , España , 12 al 16 de mayo de 1996, págs.
4. Mihir Bellare y Gregory Neven, "Firmas múltiples en el modelo simple de clave pública y un lema de bifurcación general", Actas de la 13.ª Conferencia de la Asociación de Maquinaria de Computación (ACM) sobre seguridad informática y de las comunicaciones (CCS), Alexandria, Virginia , 2006, págs. 390–399.
5. Ali Bagherzandi, Jung Hee Cheon, Stanislaw Jarecki: firmas múltiples seguras bajo el supuesto de logaritmo discreto y un lema de bifurcación generalizado. CCS '08: Actas de la 15ª conferencia ACM sobre seguridad informática y de las comunicaciones, 2008, páginas 449-458
6. Javier Herranz, Germán Sáez: Lemas bifurcados para esquemas de firma de anillos. 266-279
7. David Pointcheval y Jacques Stern, "Argumentos de seguridad para firmas digitales y firmas ciegas", JOURNAL OF CRYPTOLOGY , volumen 13, págs. 361-396, 2000. Disponible en Internet.
8. CPSchnorr, "Seguridad de firmas de registros discretos ciegos contra ataques interactivos", Actas de ICICS 2001, LNCS vol. 2229, págs. 1-13, 2001. Disponible en Internet Archivado el 13 de junio de 2011 en Wayback Machine .
9. CP Schnorr, "Mejora de la seguridad que con las firmas DL ciegas perfectas", Ciencias de la información, Elsevier, vol. 176, págs. 1305--1320, 2006. Disponible en Internet Archivado el 13 de junio de 2011 en Wayback Machine.