Nghiên cứu giải pháp xây dựng hạ tầng cơ sở khóa công khai (pki) an toàn phục vụ xác thực và bảo mật cho các cơ quan đảng, nhà nước, an ninh, quốc phòng

1 BỘ GIÁO DỤC VÀ ĐÀO TẠO BỘ QUỐC PHÒNG VIỆN KHOA HỌC VÀ CÔNG NGHỆ QUÂN SỰ Nguyễn Hữu Hùng NGHIÊN CỨU GIẢI PHÁP XÂY DỰNG HẠ TẦNG CƠ SỞ KHÓA CÔNG KHAI (PKI) AN TOÀN PHỤC VỤ XÁC THỰC VÀ BẢO MẬT CHO CÁC CƠ QUAN ĐẢNG, NHÀ NƯỚC, AN NINH, QUỐC PHÒNG Chuyên ngành: Cơ sở toán học cho tin học Mã số: 62 46 01 10 TÓM TẮT LUẬN ÁN TIẾN SĨ TOÁN HỌC Hà Nội - 2017 2 CÔNG TRÌNH ĐƯỢC HOÀN THÀNH TẠI VIỆN KHOA HỌC VÀ CÔNG NGHỆ QUÂN SỰ BỘ QUỐC PHÒNG Người hướng dẫn khoa học: 1. Tiến sĩ Trần Văn Sơn 2. Tiến sĩ Phạm Việt Trung Phản biện 1: GS. TS Nguyễn Bình Học viện Công nghệ Bưu chính Viễn thông Phản biện 2: PGS. TS Lê Mỹ Tú Học viện Kỹ thuật Mật mã Phản biện 3: PGS. TS Bùi Thu Lâm Học viện Kỹ thuật quân sự Luận án sẽ được bảo vệ trước Hội đồng chấm luận án cấp Viện họp tại Viện Khoa học và Công nghệ quân sự vào hồi.... giờ...... ngày..tháng.......năm 2017 Có thể tìm hiểu Luận án tại: - Thư viện Viện Khoa học và Công nghệ quân sự. - Thư viện Quốc gia Việt Nam. 1 MỞ ĐẦU 1. Tính cấp thiết Hạ tầng cơ sở khóa công khai (PKI) được coi là giải pháp tốt nhất hiện nay để đảm bảo xác thực, bảo mật các giao dịch điện tử. Mỗi thực thể tham gia vào hệ thống PKI sở hữu một khóa bí mật/công khai. Khóa công khai của các thực thể kết hợp với danh tính của chủ sở hữu và các thông tin liên quan được Cơ quan chứng thực (CA) chứng nhận thông qua chữ ký số sử dụng khóa bí mật của CA. Trong hệ thống PKI dựa trên mật mã Elliptic, chữ ký số của CA được tạo lập bằng cách sử dụng lược đồ chữ ký số đường cong Elliptic (ECDSA). Việc đảm bảo an toàn cho hệ thống PKI là hết sức cần thiết. Việc nghiên cứu để đảm bảo an toàn cho hệ thống PKI có ý nghĩa to lớn về mặt khoa học cũng như thực tiễn. Đối với hệ thống PKI phục vụ các cơ quan Đảng, Nhà nước, Quốc phòng, An ninh (PKI Chính phủ) lại càng phải là ưu tiên hàng đầu. Vì vậy, Luận án đặt vấn đề cần phải nghiên cứu, phân tích, đề xuất mô hình PKI Chính phủ, các thành phần đảm bảo an toàn, an ninh và an toàn mật mã; đặc biệt thành phần cốt lõi của hệ thống PKI dựa trên mật mã Elliptic là lược đồ chữ ký số ECDSA và an toàn cho khóa bí mật. 2. Đối tượng và phạm vi nghiên cứu Đối tượng và phạm vi nghiên cứu của Luận án là hệ thống PKI dựa trên mật mã Elliptic. Các vấn đề an toàn mật mã và đảm bảo an toàn mật mã cho hệ thống PKI dựa trên mật mã Elliptic. 3. Mục đích nghiên cứu Đưa ra đánh giá tổng quát về vấn đề an toàn cho hệ thống PKI. Phân tích các điểm tồn tại, các tấn công và đưa ra cách sửa đổi, phòng chống để đảm bảo an toàn mật mã cho hệ thống PKI dựa trên mật mã Elliptic. 2 4. Phương pháp nghiên cứu Nghiên cứu các công trình, tài liệu trong và ngoài nước về hệ thống PKI nói chung và các vấn đề đảm bảo an toàn cho PKI. Nghiên cứu mật mã Elliptic, phân tích, đánh giá an toàn lược đồ chữ ký số ECDSA, khóa bí mật, và an toàn cài đặt thuật toán ECDSA đối với các tấn công trên kênh thứ cấp để đề xuất giải pháp đảm bảo an toàn cho các vấn đề trên. 5. Ý nghĩa khoa học Luận án đã đề xuất lược đồ chữ ký ECDSA mới và chứng minh lược đồ đề xuất là an toàn. Đề xuất tiêu chuẩn an toàn cho khóa bí mật sử dụng trong lược đồ chữ ký số ECDSA và phép nhân điểm an toàn trong cài đặt lược đồ ECDSA. Đề xuất mô hình triển khai, các thành phần đảm bảo an toàn, an ninh cho hệ thống PKI phục vụ các cơ quan Đảng, Nhà nước, Quốc phòng, An ninh. Những đề xuất này sẽ mở ra những hướng nghiên cứu mới về đảm bảo an toàn mật mã cho hệ thống PKI dựa trên mật mã Elliptic. 6. Ý nghĩa thực tiễn Đáp ứng nhu cầu triển khai hệ thống PKI phục vụ xác thực, bảo mật cho các cơ quan Đảng, Nhà nước, Quốc phòng, An ninh. Góp phần thúc đẩy ứng dụng CNTT và phát triển Chính phủ điện tử tại Việt nam. 7. Bố cục của Luận án Luận án gồm 03 Chương với các phần mở đầu, kết luận, danh mục các công trình, bài báo khoa học đã được công bố của tác giả, tài liệu tham khảo và phụ lục thực nghiệm kèm theo. Chương 1: Tổng quan về hệ thống PKI dựa trên mật mã Elliptic Trình bày tổng quan về hệ thống PKI, một số khái niệm cơ bản về mật mã Elliptic, lược đồ chữ ký số ECDSA. Các vấn đề an toàn cho hệ thống PKI, an toàn lược đồ ECDSA, an toàn cho khóa bí mật và an toàn 3 trong phép nhân điểm trong cài đặt thuật toán ECDSA. Chương 2: Nâng cao độ an toàn cho hệ thống PKI dựa trên mật mã Elliptic Trình bày các kết quả nghiên cứu mới của Luận án đó là đề xuất lược đồ chữ ký số ECDSA-IV (lược đồ chữ ký số mới) và đề xuất tiêu chuẩn an toàn cho khóa bí mật dài hạn và khóa bí mật tức thì sử dụng trong lược đồ chữ ký số ECDSA; tiêu chuẩn này cũng áp dụng cho lược đồ đề xuất ECDSA-IV. Để làm cơ sở đề xuất những kết quả nghiên cứu mới, trong Chương này, Luận án sử dụng phương pháp phân tích, tổng hợp các công trình trên thế giới về an toàn cho lược đồ chữ ký số ECDSA, các hạn chế, tồn tại của lược đồ chữ ký số ECDSA, tấn công lên khóa bí mật dài hạn và khóa bí mật tức thì sử dụng trong lược đồ chữ ký số ECDSA. Chương 3: Đề xuất mô hình PKI và các thành phần mật mã dựa trên mật mã Elliptic Trình bày các nội dung liên quan đến đề xuất một mô hình tổng thể hệ thống PKI Chính phủ. Chương này cũng trình bày một kết quả nghiên cứu mới của Luận án về một thuật toán nhân điểm để nâng cao độ an toàn trong cài đặt thuật toán chữ ký số ECDSA, các thành phần đảm bảo an toàn, an ninh mạng cho hệ thống PKI, các thành phần mật mã và đưa ra một số đánh giá thực nghiệm đối với các kết quả nghiên cứu mới của Luận án. 4 CHƯƠNG 1. TỔNG QUAN VỀ HỆ THỐNG PKI DỰA TRÊN MẬT MÃ ELLIPTIC Chương này trình bày tổng quan về hệ thống PKI, một số khái niệm cơ bản về mật mã Elliptic, lược đồ chữ ký số ECDSA. Tổng hợp các nghiên cứu trong và ngoài nước về các vấn đề an toàn hệ thống PKI, an toàn lược đồ chữ ký số ECDSA và các tham số khóa bí mật. Phân tích, chỉ ra các vấn đề cần đảm bảo an toàn cho hệ thống PKI nói chung, các vấn đề còn tồn tại của lược đồ chữ ký số ECDSA và các tham số khóa bí mật để đề xuất giải quyết trong Chương 2 và Chương 3. 1.1. Tổng quan về Hệ thống PKI 1.1.1. Các thành phần của PKI 1.1.2. Các mô hình hệ thống PKI 1.1.3. Các thành phần mật mã trong PKI dựa trên mật mã Elliptic 1.2. Mật mã Elliptic 1.2.1. Một số định nghĩa toán học về đường cong Elliptic 1.2.2. Nhóm các điểm đường cong Elliptic trên trường nguyên tố 1.2.3. Các tiêu chuẩn an toàn của hệ mật Elliptic 1.2.4. Các tham số miền và cặp khóa của hệ mật Elliptic 1.1.4. Lược đồ chữ ký số ECDSA 1.1.5. Lược đồ chữ ký số của Nga 1.3. An toàn cho hệ thống PKI dựa trên mật mã Elliptic 1.3.1. An toàn PKI nói chung a) An toàn khóa bí mật của CA b) An toàn khóa bí mật của người dùng c) An toàn của máy tính d) Vấn đề lộ khóa bí mật và khôi phục hệ thống e) Vấn đề thẩm quyền CA và an toàn tin cậy trong PKI 5 f) Vấn đề kết hợp CA với RA 1.3.2. An toàn lược đồ chữ ký số ECDSA - Lỗi 1 “lỗi chữ ký kép”: Từ hai thông điệp 𝑚1 và 𝑚2 bất kỳ chúng ta luôn sinh ra được một cặp khóa bí mật và khóa công khai sao cho hai thông điệp này cùng nhận một chữ ký chung. - Lỗi 2: Với chữ ký (𝑟, 𝑠) là chữ ký hợp lệ trên thông điệp 𝑚, chúng ta dễ dàng suy ra (𝑟, −𝑠) là chữ ký của thông điệp này. 1.3.3. An toàn liên quan đến tham số và khóa bí mật ECDSA a) Tấn công khi sử dụng lặp lại khóa bí mật của mỗi thông điệp b) Tấn công của Vaudenay liên quan đến tham số miền của hệ mật Elliptic c) Vấn đề lựa chọn khóa cho việc sao chép chữ ký số d) Các tấn công liên quan đến việc sinh các khóa bí mật dài hạn và tức thì của DSA và ECDSA Trước đây, việc thám mã khóa bí mật của hệ mật RSA sử dụng công cụ rút gọn lưới đã được công bố với nhiều phiên bản cải tiến khác nhau. Gần đây, bằng cách tiếp cận tương tự, Dimitrios Poulakis đã đưa ra những kết quả tấn công liên quan đến việc sinh các khóa bí mật dài hạn d và tức thì k của ECDSA. Giả sử rằng một chữ ký được sử dụng và mỗi số trong ít nhất một trong các tập {𝑑, 𝑘−1 𝑚𝑜𝑑 𝑝}, {𝑘, 𝑑−1 𝑚𝑜𝑑 𝑝}, {𝑘−1, 𝑑−1 𝑚𝑜𝑑 𝑝} là nhỏ hơn hoặc lớn hơn một cận đã biết nào đó, khi đó khóa bí mật dài hạn d và khóa bí mật tức thì k có thể được tìm ra. Hơn nữa, nếu hai chữ ký với các khóa tức thì k1, k2 được sử dụng và ít nhất có một số trong các tập các số {𝑘1, 𝑘2 −1 𝑚𝑜𝑑 𝑝}, {𝑘2, 𝑘1 −1 𝑚𝑜𝑑 𝑝}, {𝑘1 −1 , 𝑘2 −1 𝑚𝑜𝑑 𝑝} nhỏ hơn hoặc lớn hơn một cận đã biết nào đó thì k1, k2 và cả d sẽ được tìm ra. 6 1.3.4. An toàn của phép nhân điểm trong thuật toán ECDSA Phép nhân điểm là một thủ tục thường xuyên phải thực hiện trong mật mã Elliptic. Nó đặc biệt nhạy cảm khi thực hiện phép nhân giữa khóa bí mật với một điểm công khai trên đường cong Elliptic. Phép nhân điểm trong thuật toán chữ ký số ECDSA có dạng: 𝑄 = 𝑑𝑃. Trong đó, P là một điểm công khai trên đường cong Elliptic và d là khóa bí mật. Các cuộc tấn công kênh kề dựa trên việc tiêu thụ năng lượng và thời gian như đã chỉ ra bởi độ phức tạp tính toán cần thiết để thực hiện phép nhân điểm khi cài đặt thuật toán chữ ký số ECDSA. Nếu sử dụng các phép nhân điểm thông thường, phương pháp nhị phân chẳng hạn, các tấn công phân tích năng lượng sẽ phân biệt được các bít 0 và 1 của khóa bí mật d khi thực hiện phép nhân điểm dẫn đến khả năng tìm ra khóa bí mật d. 1.4. Kết luận Chương 1 Chương 1 trình bày các nội dung nghiên cứu tổng quan về hệ thống PKI, một số vấn đề cơ bản của mật mã Elliptic. Đã phân tích một số vấn đề an toàn của hệ thống PKI nói chung. Phân tích các tồn tại liên quan đến lược đồ chữ ký số ECDSA, các vấn đề an toàn liên quan đến khóa bí mật dài hạn, khóa bí mật tức thì và vấn đề an toàn trong phép nhân điểm sử dụng trong lược đồ chữ ký số ECDSA. Từ tính chất và tầm quan trọng trong đảm bảo an toàn cho các giao dịch điện tử trong lãnh đạo, chỉ đạo, điều hành nên vấn đề an toàn đặt ra ở Chương này đối với hệ thống PKI phục vụ các cơ quan Đảng, Nhà nước, Quốc phòng, An ninh là ưu tiên hàng đầu. Các vấn đề an toàn đặt ra ở đây sẽ được giải quyết trong Chương 2 và Chương 3 của Luận án. 7 CHƯƠNG 2. NÂNG CAO ĐỘ AN TOÀN CHO HỆ THỐNG PKI DỰA TRÊN MẬT MÃ ELLIPTIC Trong Chương này, Luận án sẽ đề xuất một lược đồ chữ ký số là một biến thể của thuật toán chữ ký số ECDSA. Lược đồ đề xuất sẽ được chứng minh là an toàn trong mô hình nhóm tổng quát (GGM), an toàn trước tấn công không sử dụng thông điệp (NMA) trong mô hình bộ tiên tri ngẫu nhiên (ROM) và lược đồ đề xuất khắc phục được lỗi “chữ ký kép” của ECDSA. Liên quan đến an toàn cho khóa bí mật, Luận án đề xuất tiêu chuẩn an toàn cho khóa bí mật dài hạn d và khóa bí mật tức thì k của lược đồ chữ ký số ECDSA. Các kết quả nghiên cứu của Chương này liên quan đến các công trình công bố số [1], [6], [7] của Nghiên cứu sinh. 2.1. Đề xuất một lược đồ chữ ký số nâng cao độ an toàn cho CA 2.1.1. Một số khái niệm an toàn của lược đồ chữ ký số a) Mô hình nhóm tổng quát GGM b) Mô hình bộ tiên tri ngẫu nhiên ROM c) Tấn công không sử dụng thông điệp NMA d) Tấn công lựa chọn thông điệp thích nghi CMA 2.1.2. Mô hình chữ ký số dựa trên bài toán logarit rời rạc (DLP) Một lược đồ chữ ký tổng quát dựa trên bài toán logarit rời rạc được xây dựng dựa trên các thành phần sau:  Một nhóm rời rạc 〈𝐺〉 cấp 𝑞 mà ở đó việc tính logarit rời rạc là khó.  Tập các khóa bí mật có thể tồn tại là 𝒱 ⊂ ℤ𝑞. Nếu khóa bí mật của người ký là 𝑣 ∈ 𝒱, khóa công khai tương ứng là phần tử 𝑉 = 𝐺𝑣. Phụ thuộc vào kiểu chữ ký số, ta có thể cần 𝒱 = ℤ𝑞 hoặc 𝒱 = ℤ𝑞 ×. Tất cả các nhóm sẽ được coi là các nhóm nhân, ngay cả trong trường hợp của các đường cong Elliptic. 8  Một phép chiếu: là một ánh xạ 𝜌: 〈𝐺〉 → ℛ.  Một hàm băm, là một hàm 𝐻: ℳ × ℛ → ℋ mà ở đó ℳ là tập tất cả các thông điệp có thể tồn tại.  Một kiểu chữ ký số mà xác định các công thức tường minh cho quá trình thực hiện chữ ký và quá trình xác minh. Kiểu chữ ký số định nghĩa các hàm sau đây: Hàm 𝜙 và 𝜓 : ℋ × ℛ × 𝑆 → ℤ𝑞; hàm 𝜎 : ℐ → 𝑆, trong đó ℐ ⊂ ℋ × ℛ × 𝒱 × 𝒦 với 𝑆 = ℤ𝑞 hoặc ℤ𝑞 × và 𝒦 = ℤ𝑞 hoặc ℤ𝑞 ×. Lược đồ chữ ký số thực hiện như sau:  Quá trình ký: Để ký thông điệp m người ta lấy một giá trị 𝑘 ngẫu nhiên thuộc 𝒦, tính 𝑅 = 𝐺𝑘, 𝑟 = 𝜌(𝑅), ℎ = 𝐻(𝑚, 𝑟) đến khi (ℎ, 𝑟, 𝑣, 𝑘) ∈ ℐ và 𝑠 = 𝜎(ℎ, 𝑟, 𝑣, 𝑘). Thông điệp được ký là (𝑚, 𝑟, 𝑠).  Quá trình xác minh chữ ký: Việc xác minh (𝑚, 𝑟, 𝑠) ∈ ℳ × ℛ × S bằng việc tính toán ℎ = 𝐻(𝑚, 𝑟), 𝛼 = 𝜙(ℎ, 𝑟, 𝑠), 𝛽 = 𝜓(ℎ, 𝑟, 𝑠), 𝑅 = 𝐺𝛼𝑉𝛽 và kiểm tra nếu 𝑅 ∈ 𝐺 𝒦 và nếu 𝑟 = ? 𝜌(𝑅). 2.1.3. Hàm băm của một lược đồ chữ ký số Đối với lược đồ chữ ký số, hàm băm 𝐻: ℳ × ℛ → ℋ phải là dễ tính toán, kháng va chạm, có đầu ra ngẫu nhiên đều với 𝑚 ∈𝑅 ℳ. Khác với hàm băm thông thường, hàm băm của một lược đồ chữ ký số còn có một số tính chất sau. Định nghĩa 2.1: Hàm băm loại I của lược đồ chữ ký số. Hàm băm 𝐻 của một lược đồ chữ ký số được gọi là Loại I nếu ∀ 𝑚 ∈ ℳ; 𝑟, 𝑟′ ∈ ℛ: 𝐻(𝑚, 𝑟) = 𝐻(𝑚, 𝑟′). Định nghĩa 2.2: Hàm băm loại II của lược đồ chữ ký số. Hàm băm 𝐻 của một lược đồ chữ ký số được gọi là Loại II nếu nó không phải là hàm băm loại I. Định nghĩa 2.3: Kháng va chạm cộng. Hàm băm 𝐻 của một lược đồ chữ ký với ℋ ⊂ ℤ𝑞 và ℛ ⊂ ℤ𝑞 được 9 gọi là kháng va chạm cộng nếu cho trước 𝑟, 𝑟′ ngẫu nhiên thì khó để tìm được 𝑚, 𝑚′ sao cho 𝐻(𝑚, 𝑟) + 𝑟 = 𝐻(𝑚′, 𝑟′) + 𝑟′. Định nghĩa 2.4: Kháng va chạm chia. Hàm băm 𝐻 của một lược đồ chữ ký với ℋ ⊂ ℤ𝑞 và ℛ ⊂ ℤ𝑞 × được gọi là kháng va chạm chia nếu cho trước 𝑟, 𝑟′ ngẫu nhiên thì khó để tìm được 𝑚, 𝑚′ sao cho 𝐻(𝑚, 𝑟)/𝑟 = 𝐻(𝑚′, 𝑟′)/𝑟′. Định nghĩa 2.5: Hàm băm như một bộ tiên tri ngẫu nhiên. Hàm băm H của một lược đồ chữ ký được coi như một bộ tiên tri ngẫu nhiên nếu hiểu biết về cặp đầu vào - đầu ra không làm hạn chế đáng kể không gian ảnh có thể có cho một đầu vào khác. 2.1.4. Phép chiếu của lược đồ chữ ký số Phép chiếu 𝜌: 〈𝐺〉 → ℛ phải là dễ tính toán bởi người ký, và người xác minh sẽ có khả năng để kiểm tra 𝑟 = ? 𝜌(𝑅) với 𝑅 ∈ 〈𝐺〉 và 𝑟 ∈ ℛ. Nếu các phần tử của 〈𝐺〉 là không phân biệt được với các phần tử của một tập lớn hơn, thì 𝜌 được định nghĩa trên toàn bộ tập lớn hơn đó. Phép chiếu có thể có một số tính chất sau đây. Định nghĩa 2.6: 𝜀 −hầu đều. Ánh xạ 𝜌 được gọi là 𝜀 −hầu đều nếu ∀𝑟 ∈ ℛ : | 𝑃𝑟 𝑅∈〈𝐺〉 [𝜌(𝑅) = 𝑟] − 1 𝑞 | ≤ 𝜀, với 𝑞 là số phần tử của 〈𝐺〉. Khi 𝜀 là đại lượng không đáng kể theo 𝑙𝑜𝑔( 𝑞) thì 𝜌 được gọi là hầu đều. Nói cách khác, hàm 𝜌 là hầu đều nếu xác suất phân bố của từng phần tử thuộc tập đầu ra là lệch không đáng kể so với phân bố đều. Định nghĩa 2.7: 𝜀 −hầu khả nghịch. Ánh xạ 𝜌 là 𝜀 −hầu khả nghịch nếu tồn tại một thuật toán hiệu quả để tính hàm ngược 𝜌−1: ℛ → 〈𝐺〉 sao cho: - ∀𝑅 ∈ 𝜌−1(𝑟): 𝜌(𝑅) = 𝑟 - Ít nhất một tỷ lệ 𝜀 của các tập 𝜌−1(𝑟) là khác rỗng. - Các phần tử được lấy ngẫu nhiên từ các tập 𝜌−1(𝑟) là không 10 phân biệt được với các phân tử được lấy ngẫu nhiên từ 〈𝐺〉. Định nghĩa 2.8: 𝑙 + 1 −kháng va chạm. Phép chiếu 𝜌 là 𝑙 + 1 - kháng va chạm nếu với 𝑙 ≥ 1 thì việc tìm 𝑅0, , 𝑅𝑙 sao cho 𝜌(𝑅0) = 𝜌(𝑅1) = ⋯ = 𝜌(𝑅𝑙) là khó. Định nghĩa 2.9: phép chiếu như là một bộ tiên tri ngẫu nhiên. Phép chiếu 𝜌 là phù hợp như một bộ tiên tri ngẫu nhiên nếu hiểu biết về các cặp đầu vào-đầu ra không hạn chế đáng kể không gian ảnh có thể có cho một đầu vào khác. Một hàm hầu khả nghịch có thể là phù hợp như một bộ tiên tri ngẫu nhiên. 2.1.5. Một số tính chất và các kiểu chữ ký số Một kiểu chữ ký số được mô tả bởi các tập 𝒱 ⊂ ℤ𝑞, 𝑆 ⊂ ℤ𝑞 và ℛ, với hai hàm 𝜙, 𝜓 : ℋ × ℛ × 𝑆 → ℤ𝑞 và một tập ℐ ⊂ ℋ × ℛ × 𝒱 × 𝒦. Tuy nhiên, có thể sử dụng bổ sung thêm một số hàm khác như sau: Các hàm bổ sung: Gọi 𝒜 là tập các đầu ra có thể có đối với 𝜙 và ℬ là tập các đầu ra có thể có đối với 𝜓. Năm hàm bổ sung có thể được định nghĩa như sau:  𝜎: ℐ → 𝑆  𝜆ℎ: 𝒜 × ℬ × ℛ → ℋ  𝜆𝑠: 𝒜 × ℬ × ℛ → 𝑆  𝜆𝑟: 𝒜 × ℬ × ℋ → ℛ  𝜇ℎ: 𝑆 × ℛ × 𝒱 × 𝒦 → ℋ Đối với mỗi kiểu chữ ký số, luôn tồn tại một thuật toán hiệu quả để tính toán kết quả của các hàm (𝜙, 𝜓, 𝜎, 𝜆ℎ, 𝜆𝑟, 𝜇ℎ). Các tính chất cơ bản của một kiểu lược đồ chữ ký số: Tính chất (m1): Với tất cả các bộ (ℎ, 𝑟, 𝑣, 𝑘) ∈ ℐ, giá trị 𝑠 = 𝜎(ℎ, 𝑟, 𝑣, 𝑘) thỏa mãn điều kiện: nếu 𝛼 = 𝜙(ℎ, 𝑟, 𝑠) và 𝛽 = 𝜓(ℎ, 𝑟, 𝑠) thì 11 𝑘 = 𝛼 + 𝑣 ⋅ 𝛽. Tính chất (m2): Với tất cả 𝑣 ∈ 𝒱 và ℎ ∈ ℋ: 𝑃𝑟 𝑟∈ℛ,𝑘∈𝒦 [(ℎ, 𝑟, 𝑣) ∈ ℐ] ≥ 𝜀𝑚. Tính chất (o1): Với tất cả (ℎ, 𝑟, 𝑠) ∈ ℋ × ℛ × 𝑆: Phương trình 𝜆ℎ(𝜙(ℎ, 𝑟, 𝑠), 𝜓(ℎ, 𝑟, 𝑠), 𝑟) = ℎ là đúng. Tính chất (o2): Với tất cả (ℎ, 𝑟, 𝑠) ∈ ℋ × ℛ × 𝑆: Phương trình 𝜆𝑠(𝜙(ℎ, 𝑟, 𝑠), 𝜓(ℎ, 𝑟, 𝑠), 𝑟) = 𝑠 là đúng. Tính chất (o3): Hàm 𝑠 → 𝜇ℎ(𝑠, 𝑟, 𝑣, 𝑘) là nghịch đảo của ℎ → 𝜎(ℎ, 𝑟, 𝑣, 𝑘). Các tính chất bổ sung cho độ an toàn với hàm lý tưởng 𝝆: Tính chất (p1): Với (ℎ, 𝑟, 𝑣) cố định và 𝑘 đều sao cho: (ℎ, 𝑟, 𝑣, 𝑘) ∈ ℐ, giá trị 𝜎(ℎ, 𝑟, 𝑣, 𝑘) là đều trong 𝑆. Tính chất (p2): Với ℎ ∈ ℋ và 𝑣 ∈ 𝒱 cố định và giá trị ngẫu nhiên đều 𝑠 ∈ 𝑆 và 𝑟 ∈ ℛ thì 𝑘 = 𝜙(ℎ, 𝑟, 𝑠) + 𝑣 ⋅ 𝜓(ℎ, 𝑟, 𝑠) là ngẫu nhiên đều trong 𝒦. Tính chất (p3): Cho trước 𝑟 và 𝑟′ ngẫu nhiên, việc tìm (𝛼, 𝛽) và các thông điệp 𝑚 và 𝑚′ nào đó sao cho : 𝜆ℎ(𝛼, 𝛽, 𝑟) = 𝐻(𝑚, 𝑟) và 𝜆ℎ(𝛼, 𝛽, 𝑟 ′) = 𝐻(𝑚′, 𝑟′) là khó. Các tính chất bổ sung cho độ an toàn với hàm lý tưởng 𝑯: Tính chất (h1): Nếu ℎ = 𝜆ℎ(𝛼, 𝛽, 𝑟) và 𝑠 = 𝜆𝑠(𝛼, 𝛽, 𝑟) thì 𝛼 = 𝜙(ℎ, 𝑟, 𝑠) và 𝛽 = 𝜓(ℎ, 𝑟, 𝑠). Tính chất (h2): 𝑃𝑟 𝛼∈𝒜,𝛽∈ℬ [𝜆ℎ (𝛼, 𝛽, 𝜌(𝐺 𝛼𝑉𝛽)) ∈ ℋ 𝑣à𝜆𝑠 (𝛼, 𝛽, 𝜌(𝐺 𝛼𝑉𝛽)) ∈ 𝑆] ≥ 𝜀ℎ. Các tính chất cho độ an toàn với nhóm lý tưởng 〈𝐆〉: Tính chất (g1): Với tất cả các bộ(ℎ, 𝑟, 𝑠) phương trình 12 𝜆𝑟(𝜙(ℎ, 𝑟, 𝑠), 𝜓(ℎ, 𝑟, 𝑠), ℎ) = 𝑟 đúng. Tính chất (g2): Với tất cả các bộ(ℎ, ℎ′, 𝑟, 𝑠), nếu 𝜆𝑟(𝜙(ℎ, 𝑟, 𝑠), 𝜓(ℎ, 𝑟, 𝑠), ℎ ′) = 𝑟 thì ℎ′ = ℎ. Các tính chất (m1), (m2), (o1), (o2), (o3), (p1), (p2), (h1) và (h2) đúng đối với kiểu chữ ký số điển hình sau đây. Kiểu chữ ký số ElGamal nghịch: Gọi ℋ ⊂ ℤ𝑞, ℛ = 𝒱 = 𝒦 = 𝑆 = ℬ = ℤ𝑞 × và 𝒜 = ℤ𝑞. Bởi vì ℐ = {(ℎ, 𝑟, 𝑣, 𝑘)|ℎ + 𝑣 ⋅ 𝑟 ∈ ℤ𝑞 ×}, tính chất (p2) có thể sai với xác suất không đáng kể. Tính chất (p3) là tương đương với sự kháng va chạm chia của 𝐻. Tính chất (g1) và (g2) đúng với hạn chế là ℋ ⊂ ℤ𝑞 × và 𝒜 = ℤ𝑞 ×. Tính chất (m2) và (h2) đúng với 𝜀𝑚 = 𝜑(𝑞) 𝑞 và 𝜀ℎ = |ℋ| 𝑞 . Các hàm được xác định như sau :               1 1 1 , , ; , , ; , , , / ( ) , , , / ; , , , , ; , , h h s r h r s h s h r s r s h r v k k h v r s r v k k s v r r r r r r h                                           2.1.6. Một số biến thể của lược đồ chữ ký số ECDSA Các biến thể của lược đồ ECDSA là lược đồ ECDSA-II và ECDSA- III được đề xuất bởi tác giả N.P. Smart (năm 2002) và đã được chứng minh là an toàn trong mô hình bộ tiên tri ngẫu nhiên ROM. a) Lược đồ ECDSA-II Điểm khác biệt duy nhất của lược đồ này so với ECDSA là việc sử dụng hàm băm loại II thay vì sử dụng hàm băm loại I như ECDSA (tính ℎ = 𝐻(𝑀‖𝑟). Lược đồ này đã được chứng minh an toàn trong mô hình bộ tiên tri ngẫu nhiên. b) Lược đồ ECDSA-III Điểm khác biệt duy nhất của lược đồ này so với ECDSA-II là việc sử dụng phép chiếu ECaddq thay vì phép chiếu ECxq như ECDSA và 13 ECDSA-II (tính 𝑟 = 𝜌(𝑅) = 𝑥𝑅 + 𝑦𝑅 𝑚𝑜𝑑 𝑛, và ℎ = 𝐻(𝑀‖𝑟)). Lược đồ này cũng được chứng minh an toàn trong mô hình bộ tiên tri ngẫu nhiên. 2.1.7. Đề xuất một lược đồ chữ ký số dựa trên ECDSA Luận án đề xuất lược đồ ECDSA-IV được định nghĩa trên một nhóm con cấp nguyên tố của nhóm các điểm đường cong Elliptic với kiểu chữ ký số ElGamal nghịch sử dụng phép chiếu ECaddq và hàm băm loại II. Việc sinh tham số miền (p, a, b, G, n, h) của lược đồ đề xuất ECDSA-IV là tương tự như của ECDSA. Thuật toán sinh khóa ECDSA-IV: (1). Chọn ngẫu nhiên một số nguyên d thuộc khoảng [1, n − 1]. (2). Tính 𝑄 = 𝑑𝐺. (3). Khóa bí mật của người gửi là 𝑑. (4). Khóa công khai là bộ tham số(𝑝, 𝑎, 𝑏, 𝐺, 𝑛, ℎ, 𝑄). Thuật toán ký của ECDSA-IV: (1). Chọn ngẫu nhiên một số nguyên 𝑘 thuộc khoảng [1, 𝑛 − 1]. (2). Tính 𝑘𝐺 = (𝑥, 𝑦). (3). Tính 𝑟 = (𝑥 + 𝑦) 𝑚𝑜𝑑 𝑛, nếu 𝑟 = 0, quay về bước 1. (4). Tính ℎ = 𝐻(𝑚, 𝑟), trong đó 𝐻 là hàm băm SHA-256. (5). Tính 𝑠 = 𝑘(ℎ + 𝑑𝑟)−1mod 𝑛 ; nếu 𝑠 = 0, thì quay về bước 1. (6). Chữ ký đối với thông điệp 𝑀 là cặp số nguyên (𝑟, 𝑠) Thuật toán xác minh của ECDSA-IV: (1). Xác minh rằng giá trị 𝑟 và 𝑠 thuộc khoảng [1, 𝑛 − 1]. (2). Tính ℎ = 𝐻(𝑀, 𝑟), trong đó 𝐻 là hàm băm SHA-256. (3). Tính 𝑢1 = ℎ𝑠 mod 𝑛. (4). Tính 𝑢2 = 𝑟𝑠 𝑚𝑜𝑑 𝑛. (5). Tính 𝑢1𝐺 + 𝑢2𝑄 = (𝑥0, 𝑦0). (6). Tính 𝑣 = (𝑥0 + 𝑦0) 𝑚𝑜𝑑 𝑛. 14 (7). Chữ ký đối với thông điệp 𝑀 được xác minh là hợp lệ chỉ nếu 𝑣 = 𝑟. 2.1.8. Đánh giá về độ an toàn của lược đồ ECDSA-IV a) Độ an toàn của lược đồ đề xuất trước tấn công lựa chọn thông điệp thích nghi (CMA) trong mô hình nhóm tổng quát (GGM) Khẳng định 2.1: Một lược đồ chữ ký dựa trên bài toán logarit rời rạc là “không có giả mạo tồn tại dưới các tấn công CMA trong mô hình GGM” nếu 𝐻 là đều và kháng va chạm, 𝜌 là hầu đều và hầu khả nghịch, và thuộc một kiểu chữ ký số có tính chất (g1) và (g2). Phép suy dẫn độ an toàn là chặt. Mệnh đề 2.1: Lược đồ chữ ký số đề xuất ECDSA-IV là an toàn trước tấn công CMA trong mô hình GGM. Chứng minh: Để chứng mính lược đồ đề xuất ECDSA-IV là an toàn trước tấn công lựa chọn thông điệp thích nghi (CMA) trong mô hình nhóm tổng quát (GGM) như đã được chứng minh bởi tác giả Brown đối với lược đồ ECDSA, Luận án đã chứng minh phép chiếu 𝜌(𝑅) = (𝑅𝑥 + 𝑅𝑦) 𝑚𝑜𝑑 𝑛 thỏa mãn các tính chất: “hầu đều”, “hầu khả nghịch”, và tính chất (g1), (g2). Từ đó, Luận án đã chỉ ra rằng lược đồ đề xuất ECDSA- IV thỏa mãn tất cả các yêu cầu trong Khẳng định 2.1. Do đó, thu được kết quả: Lược đồ chữ ký số đề xuất ECDSA-IV là an toàn trước tấn công lựa chọn thông điệp thích nghi (CMA) trong mô hình nhóm tổng quát (GGM).■ b) Độ an toàn của lược đồ đề xuất trước tấn công không sử dụng thông điệp (NMA) trong mô hình bộ tiên tri ngẫu nhiên(ROM) Việc chứng minh độ an toàn của lược đồ đề xuất là tương tự với lược đồ ECDSA-III bằng cách sử dụng Bổ đề forking cải tiến. Bổ đề này sử dụng để chứng minh cho các lược đồ chữ ký kiểu ElGamal tin cậy (Trusted ElGamal Type Signature Scheme- TEGTSS) và áp dụng cho 15 phiên bản đường cong Elliptic của TEGTSS là ECTEGTSS.■ Khẳng định 2.2: Lược đồ chữ ký số đề xuất ECDSA-IV là một kiểu ECTEGTSS và tương đương với kiểu TEGTSS-II. Mệnh đề 2.2: Giả sử tồn tại kẻ tấn công 𝒜 lên lược đồ ECDSA-IV với xác suất thành công là 𝜖 > 4 𝑝 sử dụng 𝑄 truy vấn tới bộ tiên tri ngẫu nhiên 𝐻, thì người ta có thể giải bài toán logarit rời rạc trong nhóm các điểm của đường cong elliptic 𝐸(𝔽𝑝) bằng cách sử dụng ít hơn (1+72𝑄 log 6) 𝜖 lần lặp của 𝒜 với xác suất lớn hơn 1 100 . Chứng minh: Tác giả N.P. Smart đã chứng minh TEGTSS-II là an toàn trước tấn công không sử dụng thông điệp (NMA) trong mô hình bộ tiên tri ngẫu nhiên (ROM) bằng cách sử dụng bổ đề forking cải tiến. Cũng bằng cách tương tự, sử dụng bổ đề forking cải tiến, Luận án đã chứng minh lược đồ đề xuất ECDSA-IV là một kiểu TEGTSS-II. Và do đó thu được kết quả: lược đồ ECDSA-IV là an toàn trước tấn công không sử dụng thông điệp (NMA) trong mô hình bộ tiên tri ngẫu nhiên (ROM).■ c) Lược đồ đề xuất ECDSA-IV khắc phục được lỗi chữ ký kép: Dễ dàng thấy rằng lược đồ đề xuất ECDSA-IV khắc phục được lỗi chữ ký kép vì phép chiếu của nó không có tính chất 𝜌(𝑄) = 𝜌(−𝑄). 2.2. Cập nhật tiêu chuẩn an toàn tham số cho khóa bí mật của ECDSA 2.2.1. Giới thiệu Luận án xem xét một vài tấn công chặt chẽ trên ECDSA sử dụng phương pháp rút gọn lưới dựa trên phương trình: 𝑠 = 𝑘−1(ℎ(𝑚) + 𝑑𝑟) 𝑚𝑜𝑑 𝑛. 16 2.2.2. Tấn công ECDSA sử dụng một thông báo đã ký Các tấn công được đưa ra và được phát biểu trong công trình công bố của tác giả Dimitrios Poulakis (năm 2013, 2016) như sau: Định lý 2.1. Giả sử có một thông báo đã được ký với khóa bí mật tức thì k và tồn tại các số nguyên dương X, Y thỏa mãn: 𝑖) |𝑑| < 𝑋, |𝑘−1| < 𝑌 𝑣à 𝑋𝑌2 < 𝑛/6 3 2 𝑖𝑖) |𝑘| < 𝑋, |𝑑−1| < 𝑌 𝑣à 𝑋𝑌2 < 𝑛/63/2 𝑖𝑖𝑖) |𝑘−1| < 𝑋, |𝑑−1| < 𝑌 𝑣à 𝑋𝑌 < 𝑛1/2/63/4 Khi đó tồn tại một thuật toán tất định để tìm khóa bí mật d. 2.2.3. Tấn công ECDSA sử dụng hai thông báo đã ký Định lý 2.2. Giả sử có hai thông báo đã được ký với các khóa bí mật tức thì k1, k2 và điều kiện sau đây đúng: Tồn tại các số nguyên dương X, Y thỏa mãn điều kiện (i) hoặc (ii) hoặc (iii) Khi đó tồn tại một thuật toán tất định để tìm d. 2.2.4. Đề xuất tiêu chuẩn an toàn cho khóa bí mật dài hạn và tức thì của ECDSA Mệnh đề 2.3: Nếu khóa bí mật dài hạn d và khóa bí mật tức thì k được chọn thỏa mãn điều kiện: { |𝑑| > √𝑛, 3 |𝑑−1| > √𝑛 3 |𝑘| > √𝑛, 3 |𝑘−1| > √𝑛 3 thì sẽ không tồn tại các số nguyên X>0, Y>0 thỏa mãn Định lý 2.1 và Định lý 2.2. Chứng minh: Thật vậy, giả sử với điều kiện của d và k như trong tiêu chuẩn, tồn tại X>0, Y>0 thỏa mãn Định lý 2.1 (hoặc Định lý 2.2). Khi đó ta có √𝑛 3 < 𝑋, √𝑛 3 < 𝑌 dẫn đến 𝑛 < 𝑋𝑌2 < 𝑛/62/3. Điều này là vô lý.■ 17 2.3. Kết luận Chương 2 Trên cơ sở các yêu cầu đảm bảo an toàn các thành phần mật mã mang tính cấp bách đối với hệ thống PKI phục vụ các cơ quan Đảng, Nhà nước, Quốc phòng, An ninh đặt ra ở Chương 1. Luận án giải quyết vấn đề nâng cao độ an toàn cho lược đồ chữ ký số ECDSA bằng việc đề xuất lược đồ chữ ký số mới ECDSA-IV nhằm khắc phục những hạn chế, tồn tại của ECDSA và các biến thể của nó; đồng thời đề xuất tiêu chuẩn an toàn cho khóa bí mật dài hạn và khóa bí mật tức thì sử dụng trong lược đồ chữ ký số ECDSA. Tiêu chuẩn này cũng áp dụng cho lược đồ chữ ký số đề xuất ECDSA-IV. Các kết quả chính được trình bày trong Chương này bao gồm:  Đề xuất một lược đồ chữ ký số ECDSA-IV. Chứng minh lược đồ đề xuất là an toàn tương đương với ECDSA trong mô hình GGM trước tấn công CMA (Mệnh đề 2.1) và chứng minh lược đồ đề xuất là an toàn trước tấn công NMA trong mô hình ROM (Mệnh đề 2.2).  Phân tích và đánh giá các tấn công lên khóa bí mật dài hạn d và khóa bí mật tức thì k sử dụng trong lược đồ chữ ký số ECDSA, từ đó làm cơ sở để đề xuất một tiêu chuẩn an toàn cho lược đồ ECDSA (Mệnh đề 2.3). Tiêu chuẩn này cũng áp dụng cho lược đồ chữ ký số đã đề xuất ECDSA-IV. 18 CHƯƠNG 3. ĐỀ XUẤT MÔ HÌNH PKI VÀ CÁC THÀNH PHẦN MẬT MÃ DỰA TRÊN MẬT MÃ ELLIPTIC Nội dung chính của Chương này đề xuất mô hình PKI sử dụng mật mã Elliptic (PKI-ECC), đề xuất các thành phần mật mã đảm bảo an toàn cho hệ thống PKI-ECC; trong đó Luận án đề xuất sử dụng lược đồ chữ ký số ECDSA-IV và áp dụng tiêu chuẩn an toàn cho khóa bí mật đã được nghiên cứu ở Chương 2 và một số thành phần đảm bảo an ninh, an toàn cho hệ thống PKI nhằm đảm bảo độ an toàn cao và tính sẵn sàng hoạt động của hệ thống PKI. Bên cạnh đó, Luận án đưa ra một số đánh giá thực nghiệm đối với lược đồ chữ ký số đề xuất ECDSA-IV, cài đặt tiêu chuẩn an toàn cho khóa bí mật dài hạn và tức thì, cài đặt phép nhân điểm an toàn sử dụng trong thuật toán ECDSA nhằm chống lại tấn công phân tích năng lượng đã biết. Nội dung của Chương này liên quan đến các công trình công bố số [2], [3], [4], [5] của Nghiên cứu sinh. 3.1. Mô hình hệ thống PKI tại Việt Nam 3.2. Đề xuất mô hình hạ tầng khóa công khai dựa trên mật mã Elliptic 3.2.1. Cơ sở đề xuất Trên cơ sở các nghiên cứu ở Chương 1 và Chương 2, Luận án đề xuất mô hình PKI dựa trên mật mã Elliptic (PKI-ECC) phục vụ triển khai cho các cơ quan Đảng, Nhà nước, Quốc phòng, An ninh. Mô hình đề xuất đáp ứng các tiêu chí về sự phù hợp với tổ chức bộ máy của các cơ quan Đảng, Nhà nước; đáp ứng yêu cầu cao về đảm bảo an ninh, an toàn hệ thống và an toàn mật mã. 19 3.2.2. Đề xuất mô hình PKI-ECC tổng thể Mô hình PKI-ECC phục vụ các cơ quan Đảng, Nhà nước, Quốc phòng, An ninh là mô hình có kiến trúc phân cấp bao gồm: 01 hệ thống CA gốc (Master RootCA), CA quản trị (Admin CA), các CA thực thi chính sách (policy CA), các cấp dưới (SubCA). 3.2.3. Đề xuất các thành phần đảm bảo an toàn cho PKI-ECC a) Đảm bảo các vấn đề an toàn về thuật toán mật mã Luận án đề xuất các thành phần mật mã áp dụng cho hệ thống PKI dựa trên mật mã Elliptic (PKI-ECC), bao gồm: thuật toán mã hóa khóa công khai, mã hóa khóa bí mật, hàm băm, dẫn xuất khóaĐối với thành phần mật mã cốt lõi của hệ thống PKI-ECC, Luận án đề xuất sử dụng lược đồ chữ ký số ECDSA-IV và tiêu chuẩn áp dụng cho khóa bí mật được nghiên cứu ở Chương 2. b) Đảm bảo các vấn đề an toàn về kỹ thuật mật mã 3.2.4. Đề xuất các thành phần khác a) Hệ thống mạng CNTT b) Hệ thống các thiết bị an ninh an toàn mạng 3.2.5. Các dịch vụ xác thực và bảo mật tổng thể sử dụng PKI-ECC 3.3. Đánh giá về mô hình PKI-ECC đã đề xuất Mô hình đã đề xuất ở trên đáp ứng một số yêu cầu sau đây:  Tăng cường được tính bảo mật của hệ thống thông qua việc sử dụng thuật toán chữ ký số kiểu ECDSA-IV được đề xuất sử dụng cho CA và các tiêu chuẩn an toàn đề xuất cho khóa bí mật dài hạn, khóa bí mật tức thì của lược đồ chữ ký số ECDSA nhằm nâng cao độ an toàn của hệ thống.  Đáp ứng được yêu cầu bảo mật xác thực cho người dùng ở xa với nhiều dịch vụ như web, mail, truyền tệp, ký số, bảo mật tài liệu. 20  Hệ thống được phân chia thành các mô-đun với những chức năng chuyên biệt giúp tăng cường an ninh an toàn cho hệ thống cũng như khả năng xử lý đáp ứng các yêu cầu cao về hiệu năng sử dụng và độ sẵn sàng.  Tuân thủ các nguyên tắc thiết kế của hệ thống mở: Như phân tích, đánh giá ở Chương 1, mô hình này sẽ được áp dụng xuyên suốt trong quá trình phát triển của hệ thống. Đây là một mô hình mở, mang tính chất kế thừa và phát triển trong tương lai, phù hợp triển khai trên quy mô lớn.  Tính sẵn sàng và tin cậy: Đảm bảo tính sẵn sàng và hiệu suất cao cho các dịch vụ xác thực và bảo mật nhờ sử dụng các dịch vụ chứng thực chữ ký số (OCSP, TSA).  Tính mô-đun: Việc thiết kế trên cơ sở mô-đun hóa các thành phần trong hệ thống nhằm đảm bảo việc phân tách một hệ thống phức tạp thành các cấu phần nhỏ hơn, đáp ứng tính dễ dàng, thuận lợi trong vận hành, quản lý và bảo trì cũng như khả năng cô lập các sự cố. Hơn nữa với việc thiết kế theo từng phần hỗ trợ việc đầu tư theo từng mô-đun và từng giai đoạn mà không hề ảnh hưởng tới toàn bộ hệ thống. Đối với việc quản trị thì hệ thống hỗ trợ người quản trị khả năng quản trị tập trung, hỗ trợ một cách nhanh chóng việc xác định, cô lập và khắc phục các sự cố. 3.4. Phép nhân điểm an toàn và một số kết quả cài đặt thực nghiệm 3.4.1. Một số phương pháp nhân điểm 3.4.2. Đề xuất sử dụng thuật toán kết hợp giữa phương pháp cửa sổ và phương pháp luôn cộng và nhân đôi Như đã phân tích ở Chương 1, phép nhân điểm là một thủ tục thường xuyên phải sử dụng trong quá trình thực hiện thuật toán chữ ký số ECDSA. Nếu sử dụng các phép nhân điểm thông thường thì khóa bí mật có thể bị tìm ra bằng các tấn công trên kênh thứ cấp như phân tích năng lượng chẳng hạn. Để chống lại các tấn công phân tích năng lượng trên 21 kênh thứ cấp, Luận án đề xuất thuật toán nhân điểm an toàn, trong đó ký hiệu ECDBL(Q) là phép nhân đôi điểm Q. Thuật toán này, tính trước dãy các điểm và các điểm đối của chúng (điểm đối của là ), biểu diễn wNAF của d là . Đề xuất phương pháp cửa sổ kết hợp wNAF Input: Biểu diễn wNAF của khóa bí mật d = , Output: dP. 1. Q∞ 2. Cho j = (i – 1) giảm đến 0 thực hiện: 2.1. Q ECDBL(Q). 2.2. Nếu (dj> 0) thì: và Còn không thì: và 3. Trả về Q. 3.4.3. Cài đặt lược đồ chữ ký số ECDSA-IV đã đề xuất Với thuật toán ECDSA-IV đã đề xuất trong chương 2, Luận án đã cài đặt thuật toán này và so sánh kết quả thực hiện của quá trình ký/kiểm tra chữ ký đối với ECDSA, ECDSA-II, ECDSA-III và GOST R 34.10- 2012 của Nga. Kết quả cho thấy về mặt tổng thể thời gian thực hiện cho quá trình ký/kiểm tra chữ ký là nhanh hơn so với các thuật toán còn lại do thuật toán đề xuất ECDSA-IV chỉ sử dụng 1 phép nghịch đảo. 3.4.4. Cài đặt tiêu chuẩn an toàn cho khóa bí mật Để đảm bảo an toàn cho khóa bí mật dài hạn và tức thì, ta cần áp dụng tiêu chuẩn như đã được mô tả ở Chương 2. Thủ tục sinh khóa cho lược đồ chữ ký số ECDSA như sau: 1{1, 3, 5, ..., 2 1}w P  ( , )P x y ( , )P x y  1 2 0( , , ..., )i id d d  1 2 0( , , ..., )i id d d  ( )pP E jQ Q d P     1 jQ Q d P    jQ Q d P      1 jQ Q d P  22 Sinh khóa bí mật ECDSA theo tiêu chuẩn đã đề xuất Input: Bô ̣tham số miền (p, a, b, n, G) Output: Cặp khóa bí mật công khai (priv_key, pub_key) (1). Sinh ngẫu nhiên một số 𝑝𝑟𝑖𝑣_𝑘𝑒𝑦 ∈𝑅 (1, 𝑛 − 1). (2). Kiểm tra tiêu chuẩn: 𝑛/2 < (𝑝𝑟𝑖𝑣_𝑘𝑒𝑦) < 𝑛 − √𝑛 3 𝑣à 𝑛/2 < (𝑝𝑟𝑖𝑣_𝑘𝑒𝑦)−1 < 𝑛 − √𝑛 3 . Nếu không thỏa mãn quay về bước 1 (3). Tính điểm công khai 𝑝𝑢𝑏_𝑘𝑒𝑦 = 𝑝𝑟𝑖𝑣_𝑘𝑒𝑦. 𝐺 (4). Trả về cặp khóa bí mật-công khai là (priv_key, pub_key) 3.5. Kết luận Chương 3 Chương 3 đã đề xuất mô hình PKI-ECC phân cấp với những đặc điểm ưu việt của mô hình này như được phân tích ở Chương 1. Đề xuất mô hình cho các dịch vụ xác thực và bảo mật sử dụng hệ thống PKI-ECC. Đề xuất các thành phần mật mã đảm bảo an toàn cho hệ thống trong đó sử dụng lược đồ chữ ký số đề xuất ECDSA-IV, tiêu chuẩn an toàn đề xuất cho khóa bí mật sử dụng trong ECDSA được nghiên cứu ở Chương 2. Phân tích và đánh giá mô hình được đề xuất. Đưa ra các kết quả thực nghiệm của việc cài đặt thuật toán chữ ký số ECDSA-IV; cài đặt tiêu chuẩn an toàn cho khóa bí mật; cài đặt phép nhân điểm an toàn cho thuật toán chữ ký số ECDSA nhằm chống lại các tấn công phân tích năng lượng trên kênh thứ cấp. 23 KẾT LUẬN Hạ tầng cơ sở khóa công khai PKI là hạ tầng an ninh, bảo mật trọng yếu của mỗi một quốc gia nhằm đảm bảo an toàn cho các giao dịch điện tử phục vụ ứng dụng CNTT và phát triển Chính phủ điện tử. Đảm bảo an toàn cho hệ thống PKI luôn là vấn đề quan trọng. Đặc biệt, đối với hệ thống PKI phục vụ các cơ quan Đảng, Nhà nước, Quốc phòng, An ninh thì vấn đề đảm bảo an toàn lại là ưu tiên hàng đầu. Với mục tiêu như vậy, Luận án đã có những đóng góp sau: A. Các kết quả đạt được của luận án: 1) Nghiên cứu tổng quan về hệ thống PKI, tổng quan về mật mã Elliptic. Phân tích các vấn đề đảm bảo an toàn cho hệ thống PKI, các vấn đề an toàn cho lược đồ chữ ký số ECDSA và vấn đề đảm bảo an toàn cho khóa bí mật sử dụng trong lược đồ chữ ký số ECDSA. 2) Đề xuất một lược đồ chữ ký số ECDSA-IV nâng cao độ an toàn cho CA đồng thời giảm số phép tính nghịch đảo trong quá trình xác minh chữ ký nhằm tăng tốc độ xử lý của thuật toán. Chứng minh ECDSA-IV là an toàn trong mô hình nhóm tổng quát và bộ tiên tri ngẫu nhiên trước tấn công không sử dụng thông điệp. 3) Phân tích và đánh giá các tấn công lên khóa bí mật tức thì và khóa bí mật dài hạn sử dụng trong lược đồ chữ ký số ECDSA, từ đó làm cơ sở để đề xuất một tiêu chuẩn an toàn cho các khóa bí mật dài hạn và tức thì của lược đồ chữ ký số ECDSA. 4) Đề xuất mô hình tổng thể hệ thống PKI-ECC, giải pháp đảm bảo an toàn cho PKI-ECC; cài đặt lược đồ chữ ký số ECDSA-IV và tiêu chuẩn an toàn đã đề xuất trong Chương 2; đề xuất và cài đặt thuật toán nhân điểm an toàn cho lược đồ chữ ký số ECDSA-IV. 24 B. Những đóng góp mới của luận án: 1) Đề xuất một lược đồ chữ ký số ECDSA-IV nâng cao độ an toàn cho CA đồng thời giảm số phép tính nghịch đảo trong quá trình xác minh chữ ký nhằm tăng tốc độ xử lý của thuật toán. Chứng minh ECDSA-IV là an toàn trong mô hình nhóm tổng quát và bộ tiên tri ngẫu nhiên trước tấn công không sử dụng thông điệp. 2) Đề xuất một tiêu chuẩn an toàn cho các khóa bí mật dài hạn và khóa bí mật tức thì của lược đồ chữ ký số ECDSA trên cơ sở phân tích và đánh giá các tấn công lên khóa bí mật sử dụng trong lược đồ chữ ký số ECDSA. Tiêu chuẩn này cũng có thể được áp dụng cho lược đồ chữ ký số đã đề xuất ECDSA-IV. 3) Đề xuất một thuật toán nhân điểm đảm bảo an toàn cho việc cài đặt thuật toán ECDSA chống lại một số tấn công phân tích năng lượng trên kênh thứ cấp. 4) Hướng nghiên cứu tiếp theo: - Nghiên cứu giải pháp chứng thực chéo giữa hệ thống PKI phục vụ các cơ quan Đảng, Nhà nước, Quốc phòng, An ninh và hệ thống PKI của khu vực kinh tế-xã hội nhằm kết nối, liên thông các dịch vụ chứng thực chữ ký số phục vụ hoạt động cung cấp dịch vụ công trực tuyến của cơ quan nhà nước cho người dân và doanh nghiệp. - Tiếp tục nghiên cứu đánh gia an toàn của lược đồ ECDSA và các biến thể ECDSA đối với các tấn công mới. - Nghiên cứu ứng dụng lược đồ đề xuất ECDSA-IV với các hệ thống liên lạc di động có nguồn tài nguyên tính toán hạn chế cũng như việc cài đặt ứng dụng bằng các chương trình cụ thể. - Nghiên cứu cơ chế quản lý an toàn tổng thể đối với các thành phần trong hệ thống PKI dựa trên mật mã Elliptic. 25 CÁC CÔNG TRÌNH KHOA HỌC ĐÃ CÔNG BỐ [1]. Nguyễn Quốc Toàn, Phạm Toàn Kiêm, Nguyễn Hữu Hùng (2011), “Về một tiêu chuẩn cho bậc của nhóm điểm đường cong Elliptic”, Tạp chí Nghiên cứu Khoa học và Công nghệ quân sự, Viện KH&CNQS, số Đặc san 11-2011, tr 100-107. [2]. Nguyễn Hữu Hùng, Đặng Duy Mẫn (2011): “An toàn vật lý đối với hạ tầng PKI”, Tạp chí An toàn thông tin, Ban Cơ yếu Chính phủ, số 4/2011, tr 28-31. [3]. Nguyễn Hữu Hùng (2012): “PKI chuyên dùng Chính phủ: Hiện trạng và định hướng phát triển”, Tạp chí An toàn thông tin, Ban Cơ yếu Chính phủ, số 1/2012, tr 17-20. [4]. Nguyễn Hữu Hùng, Trần Quang Kỳ (2012): “Hoạt động chứng thực điện tử an toàn sử dụng CP và CPS”, Tạp chí An toàn thông tin, Ban Cơ yếu Chính phủ, số 3/2012, tr 14-18. [5]. Nguyễn Hữu Hùng (2012), “Về một thuật toán nhân điểm an toàn của hệ mật Elliptic”, Tạp chí khoa học (Journal of Science) Trường Đại Học Sư Phạm Hà Nội, số Đặc biệt 58-2012, tr 131- 139. [6]. Nguyễn Hữu Hùng (2013), “Về độ an toàn của lược đồ chữ ký ECDSA dưới tấn công dàn”, Tạp chí Nghiên cứu Khoa học và Công nghệ Quân sự, Viện KH&CNQS, số Đặc san 05-2013, tr 25-33. [7]. Nguyễn Hữu Hùng, Triệu Quang Phong, Nguyễn Quốc Toàn (2016), “Về một lược đồ chữ ký số kiểu ECDSA”, Tạp chí Nghiên cứu Khoa học và Công nghệ quân sự, số 45, 10-2016, tr 122-130