חתימת למפורט

בקריפטוגרפיה, חתימת למפורט או חתימה דיגיטלית חד-פעמית של למפורט[1] היא שיטה שהומצאה ב-1979 על ידי לזלי למפורט, המאפשרת לרתום כל פונקציה חד-כיוונית, בדרך כלל פונקציית גיבוב, לצורך חתימה דיגיטלית. יתרונותיה הם: פשטות, יעילות, אפשר להסתמך על אלגוריתמים קיימים ואין צורך לפתח חדשים, ביטחון השיטה כביטחון פונקציית הגיבוב שבבסיסה והיא נפרדת ממנה כך שניתן להחליף את פונקציית הגיבוב באחרת במידת הצורך. חסרונותיה הן כפי שמעיד שמה, ניתן לחתום עם מפתח פרטי יחיד אך ורק על מסמך אחד וכן החתימה יוצאת גדולה יחסית.

לאור פוטנציאל ההתפתחות של המחשבים הקוונטיים, ביטחון שיטות החתימה הדיגיטלית הנמצאות בשימוש מעשי כיום; RSA ו-DSA נמצא בסכנה מוחשית. כאשר מחשב קוונטי סקילאבילי יופיע הם יצאו מכלל שימוש. זאת משום שהבעיות המתמטיות שעליהן ביטחונם מבוסס, שהן פירוק לגורמים ולוגריתם דיסקרטי, ניתנות לפתרון יעיל עם מחשב קוונטי. הדעה הרווחת, אם כי זה לא הוכח, שפונקציות גיבוב תמשכנה להיות בטוחות גם בעידן הפוסט-קוונטי. אם כי יידרשו מספר התאמות לאור העובדה שאלגוריתם גרובר מציע שיפור בפקטור ריבועי לבעיית חיפוש לא ממויין שיש לה השפעה על פונקציות חד-כיווניות באופן כללי.

אף על פי ששיטת למפורט הוותיקה אינה פרקטית, חשיבותה התאורטית נותרה בעינה. ב-1979 פיתח רלף מרקל טכניקה לייעול החתימה החד-פעמית של למפורט באמצעות עץ גיבוב, כך שאימות חתימה על מסמכים מרובים נעשה עם מפתח ציבורי יחיד שהוא שורש העץ. שיטת מרקל עם חתימת וינטרניץ (להלן) מהווה שיפור משמעותי. במרוצת הזמן פותחו טכניקות לשיפור עץ מרקל כמו "עץ חיפוש פרקטלי" ועוד. שילוב כמה טכניקות מתקדמות יחד מניב אלגוריתמים יעילים למדי כמו SPHINCS, המהווים חלופה ראויה לאלגוריתמים הקיימים ומציעים ביטחון ברמה גבוהה גם מפני איום קריפטואנליזה קוונטית.

תיאור האלגוריתם

[עריכת קוד מקור | עריכה]

חתימת למפורט-דיפי מתוך הספר Post-Quantum Cryptography[2] מוגדרת כדלהלן: נתון שלם שהוא פרמטר ביטחון ופונקציה חד-כיוונית:

שניהם ציבוריים וידועים לכל מי שמעוניין לאמת את החתימה. הפונקציה מקבלת מחרוזת באורך מבצעת חישוב ומחזירה מחרוזת אחרת באורך באופן כזה שקשה להפוך אותה, כלומר בעוד שקל לחשב את יהיה קשה ביותר למצוא את בהינתן . כלומר לחשב את . כמו כן ההנחה היא שקשה למצוא התנגשויות. למשל קשה למצוא כך שמתקיים .

הפונקציה יכולה להיות כל צופן בלוקים כמו AES או פונקציית גיבוב תיקנית כמו SHA-2 או SHA-3 שמעצם הגדרתם הם מועמדים טובים לפונקציה חד-כיוונית (אם כי לא מוכחים). אם צופן הבלוקים אינו חד-כיווני, אין להשתמש בו בכל מקרה.

תחילה לצורך הכנת מפתח החתימה החותם בוחר זוגות מחרוזות אקראיות באורך סיביות באמצעות מחולל פסאודו-אקראי בטוח, כך שהם נבחרו בהתפלגות אחידה:

אפשר להתייחס ל- כאל טבלה או מטריצה בינארית בגודל כניסות. להכנת מפתח האימות הציבורי הוא מחשב את:

כך ש- כאשר וכן . במילים אחרות עבור כל כניסה ב- הוא מחשב את הפונקציה החד-כיוונית שלה ואת התוצאה מציב בכניסה המתאימה ב-. לכן לצורך הכנת החתימה החותם צריך לבצע בסך הכול הפעלות של הפונקציה ואורך המפתחות ו- כל אחד הוא סיביות. את המפתח הציבורי הוא רושם אצל צד שלישי באופן כזה שכל אחד יוכל להשתכנע שהוא הבעלים.

אם נתון המסמך באורך שרירותי עליו רוצים לחתום, מקובל לחתום על תמצית המסמך שהיא הרבה יותר קצרה במקום על המסמך עצמו. לצורך תיאור חתימת למפורט נניח שנתונה פונקציית גיבוב כלשהי (כמו SHA-2) המפיקה מהמסמך תמצית באורך סיביות . כעת היא מחרוזת בינארית באורך סיביות . החתימה הדיגיטלית על תמצית המסמך היא:

היא רצף של מחרוזות בינאריות כל אחת באורך סיביות. במילים אחרות החותם חושף בפני המוודא את המפתחות הסודיים מהטבלה המתאימים לסיביות של . עבור כל זוג ערכים בוחרים אחד מהם לפי ערכה של הסיבית המתאימה .

תחילה ההנחה היא שהמאמת קיבל לידיו בדרך בטוחה את המפתח הציבורי של החותם באופן שניתן להוכיח את בעלותו (כמו באמצעות צד שלישי). כדי לוודא שהחתימה על התמצית תקפה הוא מחשב את:

.

במילים, הוא מחשב את כל הפונקציות של ערכי ומשווה עם ערכי המפתח הציבורי המתאימים . אם כולם זהים המשמעות היא שהחתימה אמיתית. אחרת ייתכן שהמסמך השתנה או שהחתימה מזויפת. תהליך אימות החתימה דורש הפעלות של הפונקציה . לכל מי שאינו מכיר את המפתח הפרטי יהיה מאוד קשה לחשב את החתימה על מסמך כלשהו ולטעון שהמסמך נחתם על ידי החותם הלגטימי, כלומר לזייף את החתימה. כי עבור כל סיבית עליו לחשב את המפתח הפרטי של החותם המתאים למפתח האימות הציבורי , שזה בעצם לחשב את הפונקציה ההופכית של ומעצם ההגדרה זו פעולה קשה.

קל לראות שכדי לאמת את החתימה החותם חושף את המפתחות המתאימים לסיביות המסר. אם החותם השתמש באותו מפתח כדי לחתום על מסרים נוספים, המידע שהצטבר בידי המאמת מאפשר לו לחתום על מסמך אחר שנגזר מהמסמכים החתומים שקיבל, גם אם המסמך לא בעל משמעות כלשהי. יוצא שהמאמת הצליח לזייף חתימה על מסמך שהחותם הלגיטמי לא חתם עליו. מסיבה זו אסור לחתום על מסמכים נוספים עם אותו מפתח.

נתון ולמען הפשטות נניח שהפונקציה מקבלת את באורך 3 סיביות ומחזירה את מודולו 8 (המודולו מבטיח שהתוצאה תישאר מספר שהייצוג הבינארי שלו באורך שלוש סיביות). ברור שהפונקציה הזו אינה בטוחה לשימוש כי קל להפוך אותה, היא מובאת כאן רק לשם המחשה. במציאות משתמשים בפונקציה חד-כיוונית קריפטוגרפית. וכן נתונה תמצית המסר . נניח שהחותם בחר את המפתח הפרטי:

כל זוג מפתחות מיוצג על ידי זוג עמודות, למשל . כעת הוא מחשב את המפתח הציבורי:

למשל המפתח הפרטי שהוא 7 בבסיס עשרוני. לכן המפתח הציבורי המקביל הוא .

החתימה על היא:

כלומר החותם חושף את המפתחות הפרטיים (עמודות של ) המתאימים לערכי המסר, במקרה זה מימין לשמאל נבחרו העמודה הראשונה, הרביעית והחמישית בהתאמה. כדי לאמת את החתימה המאמת משתמש במפתח הציבורי . למשל החתימה השלישית שקיבל היא וכן . מה שנותר לו לבדוק שאכן מתקיים:

ואכן
.

וכן לגבי כל הערכים האחרים. רק אם הבדיקה של כולם מסתיימת בהצלחה הוא יכול להיות בטוח שהחתימה אותנטית.

לפי דוגמה זו נניח שהחותם חתם עם אותו מפתח על תמצית שני מסמכים שונים ו- כעת בידי המאמת המפתחות אותם הוא השיג משילוב המידע משתי החתימות. כעת הוא יכול להשתמש במידע זה כדי לחתום על תמצית של מסמך אחר נניח והחתימה תהיה לגיטימית כי בידיו למעשה מספיק מפתחות כדי לשכנע אחרים שהמסמך חתום על ידי הבעלים של בעוד שלמעשה הוא החותם. אולם יש לשים לב שהוא אינו יכול לחתום על תמצית מסמך כי חסר לו הערך אותו לא קיבל מהחותם הלגיטימי. אם ברצונו לזייף חתימה על המסמך האמור עליו לחשב את מתוך שבידו כלומר להפוך את הפונקציה החד כיוונית, כל עוד היא בטוחה הדבר לא יעלה בידו. כלומר התוקף יכול לזייף חתימה רק עבור מסמכים מסוימים ולא עבור כל מסמך שירצה. אפשר לעקוף בעיה זו על ידי הוספת בדיקת זוגיות.

גרסת וינטרניץ

[עריכת קוד מקור | עריכה]

רוברט וינטרניץ (Robert Steven Winternitz) הציע לקצר את מפתחות החתימה של אלגוריתם למפורט באופן משמעותי על חשבון עלייה בסיבוכיות זמן. הרעיון הוא לחתום על מספר סיביות של תמצית המסר בבת אחת. ההצעה של וינטרניץ הובאה לראשונה בתזה[3] של רלף מרקל והיא פועלת כדלהלן:

נתון פרמטר ביטחון ופונקציה חד כיוונית בדיוק כמו בחתימת למפורט, בנוסף נתון פרמטר המייצג את מספר הסיביות שאפשר לחתום עליהן בו-זמנית ושלושה פרמטרים נוספים כך שמתקיים:

.

מפתח החתימה הוא:

כלומר המפתח הפרטי מורכב מ- מחרוזות אקראיות באורך סיביות. מפתח האימות הציבורי הוא:

, באופן כזה שעבור כל ערכי הערך המקביל הוא .

שים לב שבניגוד לחתימת למפורט כאן הפונקציה מופעלת באופן רקורסיבי (הפונקציה מופעלת שוב ושוב על התוצאה שלה) פעמים עבור כל ובסך הכול מופעלת פעמים. הרווח כאן הוא שהמפתחות ו- קצרים יותר, ליתר דיוק באורך סיביות כל אחד. אם קטן הושג כאן שיפור משמעותי לעומת סיביות בחתימת למפורט.

תהליך החתימה

[עריכת קוד מקור | עריכה]

כמו בתהליך ההכנה לעיל, נתונה תמצית המסר באורך סיביות. תחילה מרפדים את באפסים מובילים לפי הצורך כדי שאורך המחרוזת יתחלק ב- ומחלקים את התוצאה ל- מחרוזות () באורך סיביות כל אחת. מתייחסים למחרוזות כאל מספרים שלמים בטווח ומחשבים ספרת ביקורת כך:

.

היות ש- אורך הייצוג הבינארי של השלם אינו עולה על סיביות. מוסיפים ל- אפסים מובילים כנדרש כדי להשלימו למחרוזת באורך כניסות באורך סיביות כל אחת . המחרוזת המורחבת המתקבלת משרשור המחרוזות ו- יחד, מומרת למערך שלמים המכיל מספרים באורך סיביות כל אחד. לבסוף החתימה היא:

.

כלומר על כל מפעילים את הפונקציה ברקורסיה פעמים. במקרה הגרוע כגון אם המסר מכיל מחרוזת של אחדים, הכנת החתימה דורשת הפעלות של הפונקציה ואורך החתימה הוא סיביות.

אימות החתימה

[עריכת קוד מקור | עריכה]

כאשר המאמת מקבל את תמצית המסמך והחתימה תחילה מכין את מערך השלמים בדיוק כמו בהתליך החתימה ואז בודק אם מתקיים:

.

ביתר פירוט, היות שאם החתימה תקפה מתקיים מזה נובע ש-. לדוגמה אם מפתח האימות הופק על ידי קריאה רקורסיבית לפונקציה בסך הכול פעמים. כעת אם החתימה על היא מזה נובע ש-.

סיבוכיות האימות זהה לסיבוכיות החתימה.

דוגמה במספרים קטנים

[עריכת קוד מקור | עריכה]

נניח שנקבעו הפרמטרים הבאים: . נתונה הפונקציה החד כיוונית המחזירה עבור את מודולו . נניח שהחותם בחר את המפתח:

חישוב המפתח הציבורי יהיה:

אם נתונה תמצית המסמך תחילה מוסיפים אפס בראש המחרוזת (משמאל) ומקבלים מחרוזת באורך 4 סיביות המחולקת לשני בלוקים באורך כדלהלן:

ספרת הביקורת לפי הנוסחה לעיל היא שהוא "111" בייצוג בינארי. את המחרוזת הזו מרפדים באפס מוביל ומתקבלת מחרוזת באורך 4 סיביות המחולקת לשני בלוקים:

כעת ממירים את ארבעת הבלוקים שהתקבלו למערך באורך 4 כניסות כאשר כל כניסה מכילה מספר שלם בין 0 ל-3 ומתקבל:

את החתימה מחשבים על ידי הפעלה של הפונקציה על כל במספר פעמים לפי הערך . כלומר החתימה היא:

(הערה: אם הפירוש הוא שהפונקציה אינה מופעלת כלל, במקום זאת מעתיקים את כמו שהוא). לאימות החתימה בודקים שמתקיים:

.

למשל היות ש- בדיקת החתימה מתבצעת על ידי חישוב הפונקציה שלה בדיוק פעמים. לכן .

בדומה לחתימת למפורט הבסיסית גם כאן אם החותם ישתמש באותו מפתח כדי לחתום על מסמכים נוספים נניח למשל שהוא חתם על תמצית המסמך , לכן לפי הדוגמה המובאת החתימות שהצטברו בידי המאמת הן: . עם חתימות אילו הוא יכול לחתום על מסמך . כלומר תוקף פוטנציאלי שמקבל מספר מרובה של חתימות על מסמכים שונים יכול להפיק חתימה שתראה אותנטית על מסמך אחר, גם אם לא בהכרח מסמך בעל משמעות כלשהי. בשל עובדה זו אין לחתום על מסמכים נוספים עם אותו מפתח.

חתימת למפרוט וחתימת וינטרניץ אינן פרקטיות כמו שהן משתי סיבות. כל חתימה מתאימה רק למסמך אחד ולכן יש צורך לאחסן כמות גדולה של חתימות וכן לנהל מעקב אחר חתימות שכבר נעשה בהן שימוש. ומלבד זאת מפתחות החתימה והאימות גדולים מאוד. למשל בדוגמה שהובאה לעיל כדי לחתום על מסמך באורך שלוש סיביות נדרשו מפתחות חתימה ואימות באורך 12 סיביות כל אחד, שזה פי ארבעה מאורך המסמך עצמו. ביישומים מעשיים כגון חתימה על חבילות מידע ברשת האינטרנט או על קבצים של עדכוני תוכנה לא תיתכן חתימה כל כך גדולה. לשם השוואה חתימה דיגיטלית DSA על מסמך באורך 256 סיביות היא באורך לכל היותר 512 סיביות. מצד שני היות שתהליך החתימה עצמה מאוד יעיל ובטוח, המחקר עדיין בעיצומו לנסות למצוא דרכים לייעול חתימה דיגיטלית מבוססת פונקציית גיבוב כך שתהיה קומפקטית ויעילה במידת האפשר.

הערות שוליים

[עריכת קוד מקור | עריכה]
  1. ^ Constructing Digital Signatures from One Way Function, Leslie Lamport, Computer Science Laboratory, SRI International, 1979
  2. ^ Post-Quantum Cryptography, Bernstein, Daniel J., Buchmann, Johannes, Dahmen, Erik, Springer-Verlag, 2009
  3. ^ A Certified Digital Signature, Ralph C. Merkle, 1979