SM2签名方案的安全性

---

前言

论文学习记录：Security of the SM2 Signature Scheme Against Generalized Key Substitution Attacks（张振峰 SSR 2015）¹

---

一、Contribution

1. 证明了ISO /IEC 14888-3中定义的基于证书的签名方易受到广义密钥替换攻击 （generalized key substitution attacks）.（省略）
2. 证明了SM2签名方案在底层哈希函数 $h$ 是一致的（uniform）、抗冲突的 （collision-resistant），并且底层转换函数 $f$ 几乎是可逆的（almost-invertible）的情况下，满足自适应选择消息攻击下存在性不可伪造（existential unforgeability under adaptively chosen-message attacks (EUF-CMA)）.
3. 证明了SM2签名方案在底层哈希函数 $H$ 和 $h$ 被建模为非可编程随机预言器（non-programmable ranom oracles (NPROs)）的情况下，可以抵抗广义密钥替换攻击.

二、Preliminaries

1. Uniform (Smooth) Hash Functions²

字面意思是没办法区分 $e$ 是从哈希函数 $h$ 值域 $\mathcal{H}$ 里随机选取的，还是某个 $M$ 的哈希值 $h(M)$ ，其中 $M$ 从 $\mathcal{D}$ 中随机选取。
我的理解就是哈希函数 $h$ 值域均匀分布。

2. Almost-Invertibility of Conversion Functions

SM2 uses a conversion function $f:{\mathbb{A}}_n\to {\mathbb{F}}_n$， ${\mathbb{F}}_n$是集合 { 0 , 1 , . . . , n − 1 } \{0, 1, ...,n-1\} {0,1,...,n−1}，${\mathbb{A}}_n$ 是一个 $n$ 阶群. An almost-inverse of $f$ is a probabilistic polynomial time (PPT) algorithm $f^{-1}:{\mathbb{F}}_n\to {\mathbb{A}}_n$ which on input $x\in {\mathbb{F}}_n$ produces a Q ∈ A n ∪ { I n v a l i d } Q ∈ \mathbb{A}_{n} ∪ \{Invalid\} Q∈An​∪{Invalid} such that:

就是通常的函数求逆，只不过注意第三点，求逆之后的值和原来定义域里的元素计算上不可区分。

3. Non-programmable ranom oracles

可编程随机谕言机和不可编程随机谕言机主要区别（从加密的角度来看）是模拟器是否能够选择谕言机查询的答案。
可编程随机谕言机是指：模拟器能够为敌手对随机谕言机进行的查询选择答案。谕言机的响应不是事先固定的，可以在证明中自适应地选择它们。例如可以分配特定值作为对特定请求的随机预言机响应，但是无法将该值与随机值区分开来。
不可编程随机预言机模型限制了模拟器，使其无法再为敌手的查询选择答案。对模拟器的这种限制（或者更一般地说，安全降低）使基础证明更可取，因为更少依赖于随机预言机的属性。

4. EUF-CMA

5. (generalized) key substitution attacks

给定 KS 敌手一个公钥 $pk$ 和在 $pk$下有效的消息签名对$(m,\sigma )$ ，敌手试图生成另一个公钥 $p{k}^{{}^{\prime }}(\ne pk)$ ，使 $(m,\sigma )$ 在 $p{k}^{{}^{\prime }}$ 下仍然有效。
强密钥替换（SKS）攻击：只输出公钥 $p{k}^{{}^{\prime }}$ 。
弱密钥替换（WKS）攻击：进一步要求 KS 敌手输出公钥 $p{k}^{{}^{\prime }}$ 对应的私钥 $p{k}^{{}^{\prime }}$ 。
显然，一个能抵抗SKS攻击的签名方案也能抵抗WKS攻击。

三、EUF-CMA Security of SM2

1. SM2签名方案
   
   
2. SM2的EFU-CMA安全性
   
   证明：
   假设敌手 $A$ 不能直接访问群，而只能通过与oracle交互获得表示群元素的“句柄”（ $handle$ ），从而获取群内新元素。
   敌手可以从群操作谕言机查询、公钥或者签名谕言机查询中获取群元素句柄。实际上，敌手可以使用公钥或签名中的句柄作为“基础”，来执行进一步的群操作。
   设 $(G，Y)$ 为公钥中的群元素句柄，设 $(V_1，\dots ，V_{qs})$ 为签名查询中创建的群元素句柄，其中 $qs$ 是对手进行签名查询的次数。然后，假设敌手想要计算的所有群元素的形式为 $$z_{1}G+z_{2}Y+z_3{V}_1+\dots +z_{q_s+2}{V}_{qs}$$其中 $z_1,...,z_{q_s+2}$ 是对手选择的已知整数。因此，可以通过系数向量 $(z_1,...,z_{q_s+2})$ 统一所有群操作查询。例如， $zG$ 可以表示为群操作查询 $(z,0,...,0)$。
   用表 $L$ 来回答敌手对群操作的查询。
   模拟器 $C$ 首先从群 ${\mathbb{A}}_n$ 中随机选择 $G$ 生成基元素的句柄，并添加 $(1,G,-,-)$ 到表 $L$ 中，然后从群 F n \ { 0 , n − 1 } \mathbb{F}_{n} \backslash\{0, n-1\} Fn​\{0,n−1} 中随机选择 $d$ ，从群 ${\mathbb{A}}_n$ 中随机选择 $Y$ ，表示 $dG$ ，并添加 $(d,Y,-,-)$ 到表 $L$ 中。

-case2解释：

SM2签名中 $s=\frac{k-rd}{1+d}$ ，从而 $k=s+(s+r)d$ ，$V$ 由 $(z_1,...,z_{q_s+2})$ 作为输入的群操作查询产生。所以：
$$k=s+(s+r)d=z_1+z_{2}d+z_3{k}_1+\dots +z_{q_s+2}{k}_{qs}$$
因为私钥 $d$ 对于敌手完全被隐藏，所以要想上面等式相等，那么 $$s=z_1+z_3{k}_1+\dots +z_{q_s+2}{k}_{qs},且s+r=z_2$$
从而 $$r=z_2-z_1-z_3{k}_1-\dots -z_{q_s+2}{k}_{qs}$$
$$V=f^{-1}(r-e)=f^{-1}(z_2-z_1-z_3{k}_1-\dots -z_{q_s+2}{k}_{qs}-h(Z^{{}^{\prime }}||m^{{}^{\prime }}))$$

分析：
$C$ 诚实地生成公钥和签名，如果 $C$ 也完美地回答了群操作查询，那么我们知道 $C$ 几乎模拟了 $F$ 的完美攻击环境。实际上，很容易检查所有群元素句柄是否都是随机选择的，除了群操作查询的case 2。

现在分析case 2中生成的句柄 $V^{{}^{\prime }}$也是均匀分布的：
已知$V=f^{-1}(r-e)=z_2-z_1-z_3{k}_1-\dots -z_{q_s+2}{k}_{qs}-h(Z^{{}^{\prime }}||m^{{}^{\prime }})$ ，其中$Z^{{}^{\prime }},m^{{}^{\prime }}$ 是随机选择的，$h$ 是 uniform 哈希函数，所以 $f^{-1}$ 的输入也是随机的，同时因为 $f^{-1}$ 是 almost-invertible的，所以 $V^{{}^{\prime }}$是均匀分布的。
表明 $C$ 几乎完美地模拟了 $F$ 的攻击环境。

现在只需证明 $(r^{\ast },s^{\ast })$是 $m^{\ast }$ 上的有效签名概率可以忽略不计。

令 $k^{\ast }=s^{\ast }+(s^{\ast }+r^{\ast })d$ ，$(r^{\ast },s^{\ast })$是 $m^{\ast }$ 上的有效签名当且仅当 $(k^{\ast },V^{\ast },-,-)$ 出现在表 $L$ 中，其中 $V^{\ast }=f^{-1}(r^{\ast }-h(Z||m^{\ast }))$ 。因此想要证明 $(r^{\ast },s^{\ast })$是 $m^{\ast }$ 上的有效签名概率可以忽略不计，就要证明$(k^{\ast },V^{\ast },-,-)$ 出现在表 $L$ 中的概率可以忽略不计。

首先 $V^{\ast }$ 不能等于 $G$ 或 $Y$ ，不然 $F$ 可以通过 $k^{\ast }=s^{\ast }+(s^{\ast }+r^{\ast })d$ 确定性的计算 $d$ ，这与 $d$ 从敌手的角度被完全隐藏相矛盾。
那么 $V^{\ast }$ 只能在群操作查询和签名查询中被创造。

• $V^{\ast }$ 在签名查询中被创造：
  
  
  因此，$V^{\ast }$ 在签名查询中被创造的概率可以忽略不计。

• $V^{\ast }$ 在群操作查询中被创造：
  根据上面提到的case 2，$$r^{\ast }=z_2^{\ast }-z_1^{\ast }-z_3^{\ast }{k}_1-\dots -z_{q_s+2}^{\ast }{k}_{qs}$$
  且存在 $(Z^{{}^{\prime }}||m^{{}^{\prime }})$ ，使得 $$f(V^{\ast })=z_2^{\ast }-z_1^{\ast }-z_3^{\ast }{k}_1-\dots -z_{q_s+2}^{\ast }{k}_{qs}-h(Z^{{}^{\prime }}||m^{{}^{\prime }})$$
  $(r^{\ast },s^{\ast })$是 $m^{\ast }$ 上的有效签名当且仅当 $$h(Z||m^{\ast })=r^{\ast }-f(V^{\ast })=h(Z^{{}^{\prime }}||m^{{}^{\prime }})$$
  由于 $h$ 是抗冲突的，所以 $V^{\ast }$ 在群操作查询中被创造的概率可以忽略不计。

综上，$(k^{\ast },V^{\ast },-,-)$ 出现在表 $L$ 中的概率可以忽略不计，所以 $(r^{\ast },s^{\ast })$是 $m^{\ast }$ 上的有效签名概率可以忽略不计，也就是说 SM2 签名算法是 EFU-CMA 安全的。 定理1得证！

四、Security of SM2 Against Generalized SKS Attacks

易知 $e^{\ast }\ne e_j$ ，两个 $f$ 也不相等，所以 $(1)$ 成立的概率可忽略不计，所以 SM2 可以抵抗强密钥替换攻击 。定理 2 得证！

参考文献

---

1. https://link.springer.com/chapter/10.1007/978-3-319-27152-1_7 ↩︎

2. https://link.springer.com/article/10.1007/s10623-003-6154-z ↩︎