Лемма разветвления

Лемма разветвления (англ. Forking lemma) — лемма в области криптографических исследований.

На практике, лемма разветвления широко используется для доказательства безопасности различных схем цифровой подписи и других криптографических конструкций на основе случайного оракула^[1].

История[править | править код]

Доказана и впервые использована Дэвидом Поинтчевалом и Жаком Стерном^[en] в «Доказательствах безопасности схем подписи», опубликованных в материалах Eurocrypt^[en] в 1996 году^[1][2]. В их статье лемма о разветвлении определена в терминах противника, который атакует схему цифровой подписи, созданную в модели случайного оракула^[3] (идеализированная хеш-функция, которая на каждый новый запрос выдаёт случайный ответ, равномерно распределённый по области значений, с условием, что если один и тот же запрос поступит дважды, то ответ должен быть одинаковым). Они показывают, что если злоумышленник может подделать подпись с пренебрежимо малой вероятностью, то есть существует некоторая вероятность того, что тот же противник с той же случайной лентой может создать вторую подделку в атаке с другим случайным оракулом.

Лемма была позже обобщена Михиром Белларом^[en] и Грегори Невеном.^[4]

Формулировка[править | править код]

Лемма разветвления (оригинальная)[править | править код]

Первоначальный вариант леммы ^[5], сформулированный и доказанный Поинтчевалом и Стерном, выглядит следующим образом:

Пусть ${\displaystyle (G,\Sigma ,V)}$ — общая схема цифровой подписи с секретным параметром ${\displaystyle k}$. Пусть ${\displaystyle A}$ — вероятностная машина Тьюринга с некоторым полиномиальным временем работы, вход которой состоит только из открытых данных. Обозначим через ${\displaystyle Q}$ количество запросов, которые ${\displaystyle A}$ может задать случайному оракулу. Предположим, что в течение времени ${\displaystyle T}$, ${\displaystyle A}$ дает с вероятностью ${\displaystyle \varepsilon \geq {\frac {7Q}{2^{k}}}}$, валидную подпись ${\displaystyle (m,\sigma _{1},h,\sigma _{2})}$. Тогда есть другая машина, которая имеет контроль над А и производит две валидные подписи ${\displaystyle (m,\sigma _{1},h,\sigma _{2})}$ и ${\displaystyle (m,\sigma _{1},h^{\prime },\sigma _{2}^{\prime })}$ такие, что ${\displaystyle h\neq h^{\prime }}$ за ожидаемое время ${\displaystyle T_{0}\leq {\frac {84480TQ}{\varepsilon }}}$.

Обобщенная лемма разветвления[править | править код]

Также существует обобщенный вариант этой леммы^[4] , сформулированный и доказанный Белларом и Невеном. В отличие от классического варианта леммы Поинтчевала и Стерна, обобщенная лемма оперирует не со схемами подписей и случайными оракулами, а скорее концентрируется на выходном поведении алгоритма, когда он запускается дважды на связанных входах. Это делает её легко применимой в контекстах, отличных от стандартных схем подписи, и отделяет вероятностный анализ от фактического моделирования в доказательстве безопасности, что позволяет использовать более легкие для проверки доказательства. Для понимания связи между леммами следует воспринимать ${\displaystyle x}$ как открытый ключ и набор чисел ${\displaystyle (h_{1},...,h_{q})}$ как ответы на запросы случайного оракула.
Формулировка обобщенной леммы разветвления:

Зафиксируем целое число ${\displaystyle q\geq 1}$ и набор ${\displaystyle H}$ размером ${\displaystyle h\geq 2}$. Пусть ${\displaystyle A}$ — вероятностная машина Тьюринга, которая на вход получает набор ${\displaystyle (x,h_{1},...,h_{q};r)}$, где ${\displaystyle r}$ — случайная лента для ${\displaystyle A}$. Пусть ${\displaystyle A}$ возвращает пару ${\displaystyle (J,y)}$, где ${\displaystyle J}$ является целым числом в диапазоне ${\displaystyle (0,...,q)}$, а второй элемент называется побочным выводом. Предположим далее, что ${\displaystyle IG}$ — это распределение вероятностей, из которого берется ${\displaystyle x}$. Вероятность принятия ${\displaystyle A}$ обозначаемая ${\displaystyle acc}$, определяется как вероятность того, что ${\displaystyle J\geq 1}$ в эксперименте

${\displaystyle {\text{x ← IG; }}h_{1},...,h_{q}{\text{ ← H; (J,σ) ←}}A(x,h_{1},...,h_{q})}$

Определим «алгоритм разветвления» ${\displaystyle F_{A}}$ для заданной машины Тьюринга A, который принимает входные данные ${\displaystyle x}$, следующим образом^[4]:

1. Выберем случайную ленту ${\displaystyle r}$ для ${\displaystyle A}$.
2. Выберем ${\displaystyle h_{1},...,h_{q}}$ равномерно из ${\displaystyle H}$.
3. Запустим ${\displaystyle A}$ c набором ${\displaystyle (h_{1},...,h_{q};r)}$ на входе, чтобы получить набор ${\displaystyle (J,y)}$.
4. Если ${\displaystyle J=0}$, то вернуть ${\displaystyle (0,0,0)}$.
5. Выберем ${\displaystyle h_{1}^{\prime },...,h_{q}^{\prime }}$ равномерно из ${\displaystyle H}$.
6. Запустим A с набором ${\displaystyle (x,h_{1},...,h_{J-1},h_{J}^{\prime },...,h_{q}^{\prime };r)}$ на входе, чтобы получить набор ${\displaystyle (J^{\prime },y^{\prime })}$.
7. Если ${\displaystyle J^{\prime }=J}$ и ${\displaystyle h_{J}\neq h_{J}^{\prime }}$, вернуть ${\displaystyle (1,y,y^{\prime })}$, в противном случае вернуть ${\displaystyle (0,0,0)}$.

Пусть ${\displaystyle frk}$ будет вероятностью того, что ${\displaystyle F_{A}}$ выдает тройной результат, начиная с 1, при условии, что вход ${\displaystyle x}$ выбран произвольно из ${\displaystyle IG}$:

${\displaystyle {\text{frk}}=Pr\left[{\text{b=1: x ← IG; (b, σ, σ′) ← }}F_{A}(x)\right].}$

Тогда:

${\displaystyle {\text{frk}}\geq {\text{acc}}\cdot \left({\frac {\text{acc}}{q}}-{\frac {1}{h}}\right)(1)}$

Что равносильно

${\displaystyle {\text{acc}}\leq \left({\frac {\text{q}}{h}}+{\sqrt {{\text{q}}\cdot {\text{frk}}}}\right)(2)}$

Идея состоит в том, что A запускается два раза в связанных исполнениях, где процесс «разветвляется» в определённый момент, когда некоторые, но не все входные данные были исследованы. Точка, в которой процесс разветвляется, может быть тем, что мы хотим определить позже, возможно, основываясь на поведении A в первый раз: вот почему утверждение леммы выбирает точку ветвления ${\displaystyle J}$ на основании выходных данных A. Требование о том, что ${\displaystyle h_{J}\neq h_{J}^{\prime }}$ является техническим требованием, используемым многими леммами. (Обратите внимание, что поскольку ${\displaystyle h_{J}}$ и ${\displaystyle h_{J}^{\prime }}$ выбираются случайным образом из ${\displaystyle H}$, то, если ${\displaystyle h}$ большое, что нормально, вероятность того, что два этих значения не будут различаться, чрезвычайно мала.)

Пример[править | править код]

Например, пусть ${\displaystyle A}$ будет алгоритмом взлома схемы цифровой подписи в модели случайного оракула. Тогда ${\displaystyle x}$ будет открытым параметром (включая открытый ключ), который атакует ${\displaystyle A}$, а ${\displaystyle h_{i}}$ будет выводом случайного оракула на его ${\displaystyle i}$-й отдельный вход. Лемма разветвления полезна, когда было бы возможно, учитывая две разные случайные подписи одного и того же сообщения, решить некоторую сложную проблему. Однако противник, который подделывает один раз, порождает того, кто подделывает дважды одно и то же сообщение с немалой вероятностью благодаря лемме о разветвлении. Когда ${\displaystyle A}$ пытается подделать сообщение ${\displaystyle m}$, мы считаем вывод ${\displaystyle A}$ следующим образом ${\displaystyle (J,y)}$, где ${\displaystyle y}$ — подделка, а ${\displaystyle J}$ таков, что ${\displaystyle m}$ был ${\displaystyle J}$-м уникальным запросом к случайному оракулу (можно предположить, что ${\displaystyle A}$ запросит ${\displaystyle m}$ в некоторый момент, если ${\displaystyle A}$ должен быть успешным с незначительной вероятностью). (Если ${\displaystyle A}$ выдает неправильную подделку, мы считаем, что выходные данные ${\displaystyle (0,y)}$.)

По лемме разветвления вероятность ${\displaystyle frk}$ получения двух хороших подделок ${\displaystyle y}$ и ${\displaystyle y^{\prime }}$ для одного и того же сообщения, но с разными случайными выходами оракула (то есть ${\displaystyle h_{J}}$ ≠ ${\displaystyle h_{J}^{\prime }}$) не пренебрежимо мала, когда параметр ${\displaystyle acc}$ также не незначителен. Это позволяет нам доказать, что если основная сложная проблема действительно сложна, то никакой злоумышленник не может подделать подписи. В этом суть доказательства, данного Пойнтхевалом и Стерном для модифицированной схемы подписи Эль-Гамаля^[5].

Доказательство обобщенной леммы[править | править код]

Докажем^[4] сначала ${\displaystyle {\text{(1)}}}$, потом докажем что из ${\displaystyle {\text{(1)}}}$ следует ${\displaystyle {\text{(2)}}}$. Пусть для каждого ${\displaystyle {\text{x}}}$ величина ${\displaystyle acc(x)}$ будет обозначает вероятность того, что ${\displaystyle J\geq 1}$ в эксперименте

${\displaystyle h_{1},...,h_{q}{\text{ ← H; (J,σ) ←}}A(x,h_{1},...,h_{q})}$.

Также пусть ${\displaystyle frk(x)=Pr\left[{\text{b=1: (b, σ, σ′) ← }}F_{A}(x)\right]}$.
Мы утверждаем, что для любого ${\displaystyle x,}$

${\displaystyle frk(x)\geq acc(x)\cdot \left({\frac {acc(x)}{q}}-{\frac {1}{h}}\right)(3)}$.

Затем, зная ${\displaystyle {\text{x ← IG}}}$ и с учетом что ${\displaystyle E[acc(x)]=acc}$, получаем

${\displaystyle frk=E[frk(x)]\geq E\left[acc(x)\cdot \left({\frac {acc(x)}{q}}-{\frac {1}{h}}\right)\right]=}$

${\displaystyle ={\frac {E[acc(x)^{2}]}{q}}-{\frac {E[acc(x)]}{h}}\geq {\frac {E[acc(x)]^{2}}{q}}-{\frac {E[acc(x)]}{h}}=acc\cdot \left({\frac {\text{acc}}{q}}-{\frac {1}{h}}\right).}$

Что доказывает ${\displaystyle (1)}$. Перейдем к доказательству утверждения ${\displaystyle (3)}$.
Для любого входа ${\displaystyle x}$ с вероятностями, взятыми из ${\displaystyle F_{A}}$, мы имеем

${\displaystyle frk(x)=Pr[I=I^{\prime }\wedge I\geq 1\wedge h_{I}\neq h_{I}^{\prime }]\geq Pr[I=I^{\prime }\wedge I\geq 1]-Pr[I\geq 1\wedge h_{I}\neq h_{I}^{\prime }]=}$

${\displaystyle =Pr[I=I^{\prime }\wedge I\geq 1]-{\frac {Pr[I\geq 1]}{h}}=Pr[I=I^{\prime }\wedge I\geq 1]-{\frac {acc(x)}{h}}}$

Осталось показать что ${\displaystyle Pr[I=I^{\prime }\wedge I\geq 1]\geq {\frac {acc(x)^{2}}{q}}}$.
Обозначим через ${\displaystyle \mathbf {R} }$ множество, в котором работает данная машина Тьюринга A.
Пусть для каждого ${\displaystyle i\in \{1,...,q\}}$ соответствующий ${\displaystyle X_{i}:\mathbf {R} \times H^{i-1}{\text{→ [0,1]}}}$ определяется значением ${\displaystyle X_{i}(\rho ,h_{1},...,h_{i-1})}$ в

${\displaystyle Pr\left[J=i:h_{1},...,h_{q}{\text{ ← H; (J,σ) ←}}A(x,h_{1},...,h_{q};\rho )\right]}$ для всех ${\displaystyle \rho \in \mathbf {R} }$ и ${\displaystyle h_{1},...,h_{q}\in H}$.

${\displaystyle X_{i}}$ здесь рассматривается как случайная величина с равномерным распределением. Тогда

${\displaystyle Pr[I=I^{\prime }\wedge I\geq 1]=\sum _{i=1}^{q}Pr[I=i\wedge I^{\prime }=i]=\sum _{i=1}^{q}Pr[I=i]\cdot Pr[I^{\prime }=i|I=i]=}$

${\displaystyle =\sum _{i=1}^{q}\sum _{\rho ,h_{1},...,h_{i-1}}X_{i}(\rho ,h_{1},...,h_{i-1})^{2}\cdot {\frac {1}{|\mathbf {R} |\cdot |H|^{i-1}}}=\sum _{i-1}^{q}E[X_{i}^{2}]\geq \sum _{i-1}^{q}E[X_{i}]^{2}}$. Пусть ${\displaystyle x_{i}=E[X_{i}]}$ для ${\displaystyle x\in {1,...,q}}$. Тогда
${\displaystyle \sum _{i=1}^{q}E[X_{i}]^{2}\geq {\frac {1}{q}}\cdot \left(\sum _{i=1}^{q}E[X_{i}]\right)^{2}={\frac {1}{q}}\cdot acc(x)^{2}.}$ Это доказывает ${\displaystyle (3)}$, и, следовательно, ${\displaystyle (1)}$. Докажем теперь ${\displaystyle (2)}$. С учетом ${\displaystyle (1)}$ получим, что
${\displaystyle \left(acc-{\frac {q}{2h}}\right)^{2}=acc^{2}-acc\cdot {\frac {q}{h}}+{\frac {q^{2}}{4h^{2}}}\leq q\cdot frk+{\frac {q^{2}}{4h^{2}}}.}$
Взяв с обеих сторон квадратный корень, и учтя, что

${\displaystyle {\sqrt {a+b}}\leq {\sqrt {a}}+{\sqrt {b}}}$ для любых вещественных ${\displaystyle a,b\geq 0,}$

получим:

${\displaystyle acc-{\frac {q}{2h}}\leq {\sqrt {q\cdot frk}}+{\sqrt {\frac {q^{2}}{4h^{2}}}}={\sqrt {q\cdot frk}}+{\frac {q}{2h}}}$, откуда следует ${\displaystyle (2)}$.

Лемма доказана.

Известные проблемы с использованием леммы[править | править код]

Ограничение, создаваемое леммой о разветвлении, не является жестким. Авторы Поинтчевал и Стерн предложили несколько способов для повышения уровня безопасности цифровых подписей и слепой подписи, основываясь на лемме разветвления.^[5] Однако Клаус Шнорр^[en] осуществил атаку на слепые схемы подписей Шнорра^[6], которые, как утверждалось, были надежно защищены Поинтчевалом и Стерном. Шнорр также предложил усовершенствования для защиты схем слепых подписей, основанных на проблеме дискретного логарифмирования.^[7]

Примечания[править | править код]

Литература[править | править код]

• Adam Young, Moti Yung. Malicious Cryptography: Exposing Cryptovirology (англ.). — 2004. — P. 344.
• E.Brickell, D.Pointcheval, S.Vaudenay, M.Yung. Design Validations for Discrete Logarithm Based Signature Schemes (англ.). — 2000. — P. 276—292.
• David Pointcheval, Jacques Stern. Security Proofs for Signature Schemes (англ.). — 1996. — P. 387–398.
• Mihir Bellare, Gregory Neven. Multi-Signatures in the Plain Public-Key Model and a General Forking Lemma (англ.). — 2006. — P. 390—399.
• David Pointcheval, Jacques Stern. Security Arguments for Digital Signatures and Blind Signatures (англ.). — 2000. — P. 361—396.
• C.P. Schnorr. Security of Blind Discrete Log Signatures Against Interactive Attacks (англ.). — 2001. — P. 1—13.
• C.P.Schnorr. Enhancing the security of perfect blind DL-signatures (англ.). — 2006. — P. 1305—1320.