Assinatura Digital - Unicamp

Introdução à Criptografia 

Assinatura Digital 

Exemplos de algoritmos: 

• RSA-PSS 

• Schnorr 

• DSA (EC-DSA) 

• Shamir (CBI) 

• Signcryption 

IC-UNICAMP 2008


Parâmetros 

p, q primos 

O algoritmo de assinatura RSA-PSS 

Probabilistic Signature Scheme 

Codificação Aleatória da Mensagem 

N = p · q, ed ≡ 1 (mod φ(N)) 

k = |N| = k 0 + k 1 

G : {0, 1} k 1 

→ {0, 1} k−k 1−1 

H : {0, 1} ∗ → {0, 1} k 1 

G 1 (x) = os k 0 bits mais significativos de G(x) 

G 2 (x) = os k − k 1 − k 0 − 1 bits menos significativos de G(x) 

chave Privada: d 

chave Pública: N, e, G, H, k 0 , k 1 

IC-UNICAMP 2008



Geração (M, d, N): 

r ←∈ U {0, 1} k 0 

w ← H(M||r) 

r ∗ ← G 1 (w) ⊕ r 

y ← 0||w||r ∗ ||G 2 (w) 

return (y d (mod N)) 

IC-UNICAMP 2008


Verificação (M, a, e, N): 


y ← a e (mod N) 

y ← b||w||r ∗ ||γ 

r ← G 1 (w) ⊕ r ∗ ; 

se (H(M||r) = w e G 2 (w) = γ e b = 0) então devolva SIM 

senão devolva NÃO. 

IC-UNICAMP 2008


O algoritmo de assinatura de Schnorr 

The Schnorr Signature Scheme, 1990 

Parâmetros 

p, q primos tais que q|p−1, |p| = 1024, |q| = 160 

g ∈ Z ∗ p de ordem q 

H : {0, 1} ∗ → Z q (H = SHA−1) 

x ∈ Z q 

y = g −x mod p 

chave Privada: x 

chave Pública: p, q, g, y, H 

IC-UNICAMP 2008



Geração(M, x): 

k ∈ U Z q 

r ← (g k (mod p)), 

e ← H(M||r) 

s ← (k + xe (mod q)), 

return (e, s) 

IC-UNICAMP 2008



Verificação (M, (e, s), p, q, g, y, H): 

r′ ← g s y e (mod p), 

e′ ← H(M||r′), 

se (e′ = e) então devolva SIM senão devolva NÃO. 

IC-UNICAMP 2008


O algoritmo de assinatura DSA 

The Digital Signature Standard, 1991 

Parâmetros 

p, q primos tais que q|p−1, |p| = 1024, |q| = 160 

g ∈ Z ∗ p de ordem q 

H : {0, 1} ∗ → Z q (H = SHA−1) 

x ∈ Z q 

y = g x mod p 

chave Privada: x 

chave Pública: p, q, g, y, H 

IC-UNICAMP 2008



Geração(M, x): 

k ∈ U Z q 

r ← (g k (mod p))(mod q), 

s ← k −1 (H(M) + xr)(mod q) 

return (r, s) 

IC-UNICAMP 2008



Verificação (M, (r, s), p, q, g, y, H): 

w ← s −1 (mod q), 

u 1 ← H(M)w (mod q), 

u 2 ← rw (mod q), 

se (r = (g u 1 

y u 2 

(mod p)) (mod q)) então devolva SIM 

senão devolva NÃO. 

IC-UNICAMP 2008


Criptografia Baseada em Identidades 

chave-privada = F (chave-mestre, identidade) 

chave-pública = alice@ic.unicamp.br (identidade) 

• Conceito proposto por Shamir, 1985 (assinatura digital) 

• Cocks, 2001, símbolo de Jacobi. 

• Sakai, Ohgishi e Kasahara, 2000, emparelhamentos bilineares. 

• D. Boneh e M. Franklin, 2001, emparelhamentos bilineares, Voltage 

Security. 

IC-UNICAMP 2008


Criptografia Baseada em Identidades (CBI) 

O sistema de assinatura de Shamir, baseado em identidades, utiliza os 

seguintes quatro algoritmos: 

• Configuração: algoritmo operado pela autoridade de confiança 

(AC) para gerar os parâmetros globais do sistema e a 

chave-mestre. 

• Gerar-chave-usuário: 

Entrada: a chave-mestre e uma cadeia arbitrária de bits ID. 

Saída: uma chave privada correspondente a ID. 

• Assinatura: algoritmo de assinatura digital; 

Entrada: uma mensagem e a chave privada do assinante 

Saída: a assinatura da mensagem. 

• Verificar: algoritmo para verificar uma assinatura 

Entrada: o par mensagem e assinatura 

Saída: Verdadeira ou Falsa 

IC-UNICAMP 2008


Parâmetros 

Configuração: 

AC 

- p, q primos 

- N = p · q 

- e: um enteiro tal que mdc(e, φ(N)) = 1 

- d: um inteiro tal que ed ≡ 1 (mod φ(N)) 

- h : {0, 1} ∗ → Z φ(N) 

- chave privada de AC: ⁀chave-mestre = d 

- Parâmetros públicos: N, e, h 

IC-UNICAMP 2008


Gerar-chave-usuário: 

Alice (ID): 

Parâmetros 

ID →→→→ AC 

AC : 

g ←ID d (mod N) →→→→ Alice 

g: chave privada de Alice 

IC-UNICAMP 2008


Geração da Assinatura 

Assinatura: 

Assinatura(M, g): 

r ∈ U Z ∗ N 

t ← r e (mod N), 

s ← g · r h(t||M) (mod N). 

A assinatura é o par (s, t) 

IC-UNICAMP 2008


Verificação da assinatura 

Verificar: 

Verificar((ID, M, (s, t), N, e, h)): 

se (s e ≡ ID · t h(t||M) (mod N)) 

então devolva Verdadeiro senão devolva Falsa. 

IC-UNICAMP 2008


Signcryption: assinatura + cifra 

• Criptossistema que combina as operações de assinatura e cifragem 

em uma única operação criptográfica. 

• Proposto por Yuliang Zheng, 1997. 

(Baseado na assinatura SDSS1). 

• O esquema de signcryption TBOS (Two Birds One Stone), proposto 

por Malone-Lee and Wembo Mao, em 2003, é baseado no sistema 

RSA. 

IC-UNICAMP 2008


O algoritmo de assinatura SDSS1 

Parâmetros 

- p, q primos tais que q|p−1, |p| = 1024, |q| = 160 

- g ∈ Z ∗ p de ordem q 

- H : {0, 1} ∗ → Z q (H = SHA−1) 

- x A ∈ Z q 

- y A = g x A 

mod p 

- chave Privada: x A 

- chave Pública: p, q, g, y A , H 

IC-UNICAMP 2008


Gerar assinatura 

Para assinar um documento M, Alice faz o seguinte: 

1. u ∈ U Z q 

2. Calcula k ← g u mod p 

3. e ← H(k||M) 

4. s ← u · (e + x A ) −1 (mod q) 

Alice envia (M, e, s) 

IC-UNICAMP 2008


Bob recebe de Alice (M, e, s): 

Verificação 

1. Bob recupera k de (e, s, g, p, y A ): 

k ← (g e y A ) s (mod p) 

2. Se e = H(k||M) então Bob aceita M como uma 

mensagem válida de Alice. 

IC-UNICAMP 2008


O algoritmo de signcryption de Zheng 

Parâmetros 

- p, q primos tais que q|p−1, |p| = 1024, |q| = 160 

- g ∈ Z ∗ p de ordem q 

- H : {0, 1} ∗ → Z q (H = SHA−1) 

- E um cifrador de blocos (E = AES) 

- x A ∈ Z q 

- y A = g x A 

mod p 

- chave Privada: x A 

- chave Pública: p, q, g, y A , H, E 

IC-UNICAMP 2008


A operação de signcryption 

Alice faz o seguinte: 

Objetivo: enviar uma mensagem assinada e cifrada a Bob 

1. u ∈ U Z q 

2. Calcula K ← yB u mod p e divide K em K = K 1||K 2 

3. e ← H(K 2 , M) 

4. s ← u · (e + x A ) −1 (mod q) 

5. c ← E K1 (M) 

Alice envia (c, e, s) 

IC-UNICAMP 2008


Bob recebe de Alice (c, e, s): 

A operação de unsigncryption 

1. Bob recupera K de (e, s, g, p, y A , x B ): 

K ← (g e y A ) sx B 

(mod p) 

2. Divide K em K 1 e K 2 

3. M ← D K1 (c) 

4. Se e = H(K 2 , M) então Bob aceita M como uma 


IC-UNICAMP 2008


A operação de signcryption + não-repudio 

Alice faz o seguinte: 

Objetivo: enviar uma mensagem assinada e cifrada a Bob 

1. u ∈ U Z q 

2. Calcula k ← g u mod p 

3. Calcula K ← yB u mod p e divide K em K = K 1||K 2 

4. c ← E K1 (M) 

5. e ← H(k||M||y A ||y B ) 

6. s ← u · (e + x A ) −1 (mod q) 

Alice envia (c, e, s) 

IC-UNICAMP 2008


Verificação 

Bob recebe de Alice (c, e, s): 

1. Bob recupera k e K de (e, s, g, p, y A , x B ): 

k ← (g e y A ) s (mod p) 

K ← (k) x B 

(mod p) 

2. Divide K em K 1 e K 2 

3. M ← D K1 (c) 

4. Se e = H(k||M||y A ||y B ) então Bob aceita M como uma 


IC-UNICAMP 2008


Signcryption + não-repudio 

Uma terceira entidade pode verificar que (m||y A ||y B , e, s) é uma 

assinatura (SDSS1) válida utilizando a chave pública de A: 

1. k ← (g e y A ) s (mod p) 

2. Se e = H(k||M||y A ||y B ) ?? 

IC-UNICAMP 2008



utilizando RSA 

Two Birds one Stone: Malone-Lee, Mao, 2003 

[Padding(M, r) d A 

(mod N A )] e B 

(mod N B ) 

|N A | = |N B | = k 

IC-UNICAMP 2008




|N A | = |N B | = k 

σ := Padding(M, r) d A 

(mod N A ) 

σ < N A < 2 k 

σ ′ := σ − 2 k−1 

σ ′ < 2 k−1 < N B 

IC-UNICAMP 2008




Chaves públicas: (N A , e A ), (N B , e B ) 

chaves privadas: (NA, d A ), (N B , d B ) 

k = |N A | = |N B | = n + k 0 + k 1 

Funções hash: 

H : {0, 1} n+k 0 

→ {0, 1} k 1 

G : {0, 1} k 1 

→ {0, 1} n+k 0 

IC-UNICAMP 2008


1. r ←∈ U {0, 1} k 0 

2. w ← H(M||r) 

3. s ← G(w) ⊕ (M||r) 



4. Se s||w > N A volte ao passo 1 

5. c ′ ← (s||w) d A 

(mod N A ) 

6. Se c ′ > N B , c ′ ← c ′ − 2 k−1 

7. c ← c ′e B 

(mod N B ) 

8. Enviar c a Bob 

IC-UNICAMP 2008


A operação de unsigncryption 

1. c ′ ← c d B 

(mod N B ) 

2. Se c ′ > N A , rejeite 

3. µ ← c e A 

(mod N A ) 

4. Escreva µ como s||w 

5. M||r ← G(w) ⊕ s 

6. Se H(M||r) = w devolva M 

7. c ′ ← c ′ + 2 k−1 

8. Se c ′ > N A , rejeite 

9. µ ← c e A 

(mod N A ) 

10. Escreva µ como s||w 

11. M||r ← G(w) ⊕ s 

12. Se w ≠ H(M||r), rejeite 

13. Devolva M 

IC-UNICAMP 2008

Assinatura Digital - Unicamp

Create successful ePaper yourself

Delete template?

Save as template?