Lema de bifurcación

El lema de la bifurcación es uno de varios lemas relacionados en la investigación criptográfica . El lema establece que si un adversario (normalmente una máquina de Turing probabilística ), con entradas extraídas de alguna distribución , produce una salida que tiene alguna propiedad con una probabilidad no despreciable , entonces, con una probabilidad no despreciable, si el adversario se vuelve a ejecutar con nuevas entradas pero con la misma cinta aleatoria, su segunda salida también tendrá la propiedad.

Este concepto fue utilizado por primera vez por David Pointcheval y Jacques Stern en "Pruebas de seguridad para esquemas de firma", publicado en las actas de Eurocrypt 1996. ^{[1] [2]} En su artículo, el lema de la bifurcación se especifica en términos de un adversario que ataca un esquema de firma digital instanciado en el modelo de oráculo aleatorio . Muestran que si un adversario puede falsificar una firma con una probabilidad no despreciable, entonces existe una probabilidad no despreciable de que el mismo adversario con la misma cinta aleatoria pueda crear una segunda falsificación en un ataque con un oráculo aleatorio diferente. ^[3] El lema de la bifurcación fue generalizado posteriormente por Mihir Bellare y Gregory Neven. ^[4] El lema de la bifurcación se ha utilizado y generalizado aún más para demostrar la seguridad de una variedad de esquemas de firma digital y otras construcciones criptográficas basadas en oráculos aleatorios. ^{[2] [5] [6]}

Enunciado del lema

La versión generalizada del lema se enuncia de la siguiente manera. ^[4] Sea A un algoritmo probabilístico, con entradas ( x , h ₁ , ..., h _q ; r ) que produce como salida un par ( J , y ), donde r se refiere a la cinta aleatoria de A (es decir, las elecciones aleatorias que hará A). Supongamos además que IG es una distribución de probabilidad de la que se extrae x , y que H es un conjunto de tamaño h del que se extraen cada uno de los valores h _i de acuerdo con la distribución uniforme . Sea acc la probabilidad de que en entradas distribuidas como se describe, la salida J de A sea mayor o igual a 1.

Podemos entonces definir un "algoritmo de bifurcación" F _A que procede de la siguiente manera, en la entrada x :

1. Elija una cinta r ​​al azar para A.
2. Elija h ₁ , ..., h _q uniformemente de H .
3. Ejecute A en la entrada ( x , h ₁ , ..., h _q ; r ) para producir ( J , y ).
4. Si J = 0, entonces devuelve (0, 0, 0).
5. Elija h' _J , ..., h' _q uniformemente de H .
6. Ejecute A en la entrada ( x , h ₁ , ..., h _{J −1} , h ' _J , ..., h ' _q ; r ) para producir ( J ', y ').
7. Si J' = J y h _J ≠ h' _J entonces devuelve (1, y , y '), de lo contrario, devuelve (0, 0, 0).

Sea frk la probabilidad de que F _A produzca un triple que comience con 1, dada una entrada x elegida aleatoriamente de IG . Entonces

${\displaystyle {\text{frk}}\geq {\text{acc}}\cdot \left({\frac {\text{acc}}{q}}-{\frac {1}{h}}\right).}$

Intuición

La idea aquí es pensar en A como si se ejecutara dos veces en ejecuciones relacionadas, donde el proceso " se bifurca " en un punto determinado, cuando se ha examinado parte de la entrada, pero no toda. En la versión alternativa, las entradas restantes se vuelven a generar, pero se generan de la manera normal. El punto en el que el proceso se bifurca puede ser algo que solo queramos decidir más tarde, posiblemente en función del comportamiento de A la primera vez: es por eso que el enunciado del lema elige el punto de ramificación ( J ​​) en función de la salida de A . El requisito de que h _J ≠ h' _J es un requisito técnico requerido por muchos usos del lema. (Obsérvese que, dado que tanto h _J como h' _J se eligen aleatoriamente de H , entonces si h es grande, como suele ser el caso, la probabilidad de que los dos valores no sean distintos es extremadamente pequeña).

Ejemplo

Por ejemplo, sea A un algoritmo para romper un esquema de firma digital en el modelo de oráculo aleatorio . Entonces x serían los parámetros públicos (incluyendo la clave pública) que A está atacando, y h _i sería la salida del oráculo aleatorio en su i ésima entrada distinta. El lema de bifurcación es útil cuando sería posible, dadas dos firmas aleatorias diferentes del mismo mensaje, resolver algún problema subyacente difícil. Sin embargo, un adversario que falsifica una vez da lugar a uno que falsifica dos veces en el mismo mensaje con una probabilidad no despreciable a través del lema de bifurcación. Cuando A intenta falsificar en un mensaje m , consideramos que la salida de A es ( J , y ) donde y es la falsificación, y J es tal que m fue la J ésima consulta única al oráculo aleatorio (se puede suponer que A consultará m en algún momento, si A tiene éxito con una probabilidad no despreciable). (Si A genera una falsificación incorrecta, consideramos que la salida es (0, y ).)

Por el lema de la bifurcación, la probabilidad ( frk ) de obtener dos falsificaciones buenas y e y ' en el mismo mensaje pero con diferentes salidas de oráculo aleatorias (es decir, con h _J ≠ h' _J ) no es despreciable cuando acc tampoco lo es. Esto nos permite demostrar que si el problema subyacente difícil es realmente difícil, entonces ningún adversario puede falsificar firmas.

Esta es la esencia de la prueba dada por Pointcheval y Stern para un esquema de firma ElGamal modificado contra un adversario adaptativo.

Problemas conocidos con la aplicación del lema de bifurcación

La reducción proporcionada por el lema de bifurcación no es estricta. Pointcheval y Stern propusieron argumentos de seguridad para las firmas digitales y las firmas ciegas utilizando el lema de bifurcación. ^[7] Claus P. Schnorr proporcionó un ataque a los esquemas de firmas ciegas de Schnorr, ^[8] con más de ejecuciones concurrentes (el caso estudiado y demostrado como seguro por Pointcheval y Stern). Benhamouda, Lepoint, Raykova y Orrù mostraron en 2020 un ataque de tiempo polinomial para ejecuciones concurrentes. Schnorr también sugirió mejoras para asegurar los esquemas de firmas ciegas basados ​​en el problema del logaritmo discreto . ^[9] ${\displaystyle polylog(n)}$ ${\displaystyle \Omega (n)}$

Referencias

1. Ernest Brickell, David Pointcheval , Serge Vaudenay y Moti Yung , "Validaciones de diseño para esquemas de firma basados ​​en logaritmos discretos", Tercer taller internacional sobre práctica y teoría en criptosistemas de clave pública, PKC 2000, Melbourne , Australia , 18-20 de enero de 2000, págs. 276-292.
2. Adam Young y Moti Yung, "Criptografía maliciosa: exponiendo la criptovirología", Wiley Press, 2004, págs. 344.
3. David Pointcheval y Jacques Stern , "Pruebas de seguridad para esquemas de firma", Advances in Cryptology — EUROCRYPT '96, Zaragoza , España , 12-16 de mayo de 1996, págs. 387-398.
4. Mihir Bellare y Gregory Neven, "Multi-Signatures in the Plain Public-Key Model and a General Forking Lemma", Actas de la 13.ª Conferencia de la Association for Computing Machinery (ACM) sobre seguridad informática y de las comunicaciones (CCS), Alexandria, Virginia , 2006, págs. 390-399.
5. Ali Bagherzandi, Jung Hee Cheon, Stanislaw Jarecki: Las firmas múltiples son seguras bajo el supuesto de logaritmo discreto y un lema de bifurcación generalizado. CCS '08: Actas de la 15.ª conferencia de la ACM sobre seguridad informática y de las comunicaciones, 2008, págs. 449-458
6. Javier Herranz, Germán Sáez: Lemas bifurcados para esquemas de firma de anillos. 266-279
7. David Pointcheval y Jacques Stern, "Argumentos de seguridad a favor de las firmas digitales y las firmas ciegas", JOURNAL OF CRYPTOLOGY , volumen 13, págs. 361-396, 2000. Disponible en Internet.
8. CPSchnorr, "Seguridad de firmas de registro discretas ciegas contra ataques interactivos", Actas de ICICS 2001, LNCS Vol. 2229, págs. 1-13, 2001. Disponible en Internet. Archivado el 13 de junio de 2011 en Wayback Machine .
9. CP Schnorr, "Mejorar la seguridad de las firmas DL ciegas perfectas", Information Sciences, Elsevier, vol. 176, págs. 1305-1320, 2006. Disponible en Internet. Archivado el 13 de junio de 2011 en Wayback Machine.