Лемма разветвления

Лемма разветвления (англ. Forking lemma) — лемма в области криптографических исследований.

На практике, лемма разветвления широко используется для доказательства безопасности различных схем цифровой подписи и других криптографических конструкций на основе случайного оракула^[1].

История

Доказана и впервые использована Дэвидом Поинтчевалом и Жаком Стерном^[англ.] в «Доказательствах безопасности схем подписи», опубликованных в материалах Eurocrypt^[англ.] в 1996 году^[1][2]. В их статье лемма о разветвлении определена в терминах противника, который атакует схему цифровой подписи, созданную в модели случайного оракула^[3] (идеализированная хеш-функция, которая на каждый новый запрос выдаёт случайный ответ, равномерно распределённый по области значений, с условием, что если один и тот же запрос поступит дважды, то ответ должен быть одинаковым). Они показывают, что если злоумышленник может подделать подпись с пренебрежимо малой вероятностью, то есть существует некоторая вероятность того, что тот же противник с той же случайной лентой может создать вторую подделку в атаке с другим случайным оракулом.

Лемма была позже обобщена Михиром Белларом^[англ.] и Грегори Невеном.^[4]

Формулировка

Лемма разветвления (оригинальная)

Первоначальный вариант леммы ^[5], сформулированный и доказанный Поинтчевалом и Стерном, выглядит следующим образом:

Пусть ${\displaystyle (G,\Sigma ,V)}$  — общая схема цифровой подписи с секретным параметром ${\displaystyle k}$ . Пусть ${\displaystyle A}$  — вероятностная машина Тьюринга с некоторым полиномиальным временем работы, вход которой состоит только из открытых данных. Обозначим через ${\displaystyle Q}$  количество запросов, которые ${\displaystyle A}$  может задать случайному оракулу. Предположим, что в течение времени ${\displaystyle T}$ , ${\displaystyle A}$  дает с вероятностью ${\displaystyle \varepsilon \geq {\frac {7Q}{2^{k}}}}$ , валидную подпись ${\displaystyle (m,\sigma _{1},h,\sigma _{2})}$ . Тогда есть другая машина, которая имеет контроль над А и производит две валидные подписи ${\displaystyle (m,\sigma _{1},h,\sigma _{2})}$  и ${\displaystyle (m,\sigma _{1},h^{\prime },\sigma _{2}^{\prime })}$  такие, что ${\displaystyle h\neq h^{\prime }}$  за ожидаемое время ${\displaystyle T_{0}\leq {\frac {84480TQ}{\varepsilon }}}$ .

Обобщенная лемма разветвления

Также существует обобщенный вариант этой леммы^[4] , сформулированный и доказанный Белларом и Невеном. В отличие от классического варианта леммы Поинтчевала и Стерна, обобщенная лемма оперирует не со схемами подписей и случайными оракулами, а скорее концентрируется на выходном поведении алгоритма, когда он запускается дважды на связанных входах. Это делает её легко применимой в контекстах, отличных от стандартных схем подписи, и отделяет вероятностный анализ от фактического моделирования в доказательстве безопасности, что позволяет использовать более легкие для проверки доказательства. Для понимания связи между леммами следует воспринимать ${\displaystyle x}$  как открытый ключ и набор чисел ${\displaystyle (h_{1},...,h_{q})}$  как ответы на запросы случайного оракула.
Формулировка обобщенной леммы разветвления:

Зафиксируем целое число ${\displaystyle q\geq 1}$  и набор ${\displaystyle H}$  размером ${\displaystyle h\geq 2}$ . Пусть ${\displaystyle A}$  — вероятностная машина Тьюринга, которая на вход получает набор ${\displaystyle (x,h_{1},...,h_{q};r)}$ , где ${\displaystyle r}$  — случайная лента для ${\displaystyle A}$ . Пусть ${\displaystyle A}$  возвращает пару ${\displaystyle (J,y)}$ , где ${\displaystyle J}$  является целым числом в диапазоне ${\displaystyle (0,...,q)}$ , а второй элемент называется побочным выводом. Предположим далее, что ${\displaystyle IG}$  — это распределение вероятностей, из которого берется ${\displaystyle x}$ . Вероятность принятия ${\displaystyle A}$  обозначаемая ${\displaystyle acc}$ , определяется как вероятность того, что ${\displaystyle J\geq 1}$  в эксперименте

${\displaystyle {\text{x ← IG; }}h_{1},...,h_{q}{\text{ ← H; (J,σ) ←}}A(x,h_{1},...,h_{q})}$ 

Определим «алгоритм разветвления» ${\displaystyle F_{A}}$  для заданной машины Тьюринга A, который принимает входные данные ${\displaystyle x}$ , следующим образом^[4]:

1. Выберем случайную ленту ${\displaystyle r}$  для ${\displaystyle A}$ .
2. Выберем ${\displaystyle h_{1},...,h_{q}}$  равномерно из ${\displaystyle H}$ .
3. Запустим ${\displaystyle A}$  c набором ${\displaystyle (h_{1},...,h_{q};r)}$  на входе, чтобы получить набор ${\displaystyle (J,y)}$ .
4. Если ${\displaystyle J=0}$ , то вернуть ${\displaystyle (0,0,0)}$ .
5. Выберем ${\displaystyle h_{1}^{\prime },...,h_{q}^{\prime }}$  равномерно из ${\displaystyle H}$ .
6. Запустим A с набором ${\displaystyle (x,h_{1},...,h_{J-1},h_{J}^{\prime },...,h_{q}^{\prime };r)}$  на входе, чтобы получить набор ${\displaystyle (J^{\prime },y^{\prime })}$ .
7. Если ${\displaystyle J^{\prime }=J}$  и ${\displaystyle h_{J}\neq h_{J}^{\prime }}$ , вернуть ${\displaystyle (1,y,y^{\prime })}$ , в противном случае вернуть ${\displaystyle (0,0,0)}$ .

Пусть ${\displaystyle frk}$  будет вероятностью того, что ${\displaystyle F_{A}}$  выдает тройной результат, начиная с 1, при условии, что вход ${\displaystyle x}$  выбран произвольно из ${\displaystyle IG}$ :

${\displaystyle {\text{frk}}=Pr\left[{\text{b=1: x ← IG; (b, σ, σ′) ← }}F_{A}(x)\right].}$ 

Тогда:

${\displaystyle {\text{frk}}\geq {\text{acc}}\cdot \left({\frac {\text{acc}}{q}}-{\frac {1}{h}}\right)(1)}$ 

Что равносильно

${\displaystyle {\text{acc}}\leq \left({\frac {\text{q}}{h}}+{\sqrt {{\text{q}}\cdot {\text{frk}}}}\right)(2)}$ 

Идея состоит в том, что A запускается два раза в связанных исполнениях, где процесс «разветвляется» в определённый момент, когда некоторые, но не все входные данные были исследованы. Точка, в которой процесс разветвляется, может быть тем, что мы хотим определить позже, возможно, основываясь на поведении A в первый раз: вот почему утверждение леммы выбирает точку ветвления ${\displaystyle J}$  на основании выходных данных A. Требование о том, что ${\displaystyle h_{J}\neq h_{J}^{\prime }}$  является техническим требованием, используемым многими леммами. (Обратите внимание, что поскольку ${\displaystyle h_{J}}$  и ${\displaystyle h_{J}^{\prime }}$  выбираются случайным образом из ${\displaystyle H}$ , то, если ${\displaystyle h}$  большое, что нормально, вероятность того, что два этих значения не будут различаться, чрезвычайно мала.)

Пример

Например, пусть ${\displaystyle A}$  будет алгоритмом взлома схемы цифровой подписи в модели случайного оракула. Тогда ${\displaystyle x}$  будет открытым параметром (включая открытый ключ), который атакует ${\displaystyle A}$ , а ${\displaystyle h_{i}}$  будет выводом случайного оракула на его ${\displaystyle i}$ -й отдельный вход. Лемма разветвления полезна, когда было бы возможно, учитывая две разные случайные подписи одного и того же сообщения, решить некоторую сложную проблему. Однако противник, который подделывает один раз, порождает того, кто подделывает дважды одно и то же сообщение с немалой вероятностью благодаря лемме о разветвлении. Когда ${\displaystyle A}$  пытается подделать сообщение ${\displaystyle m}$ , мы считаем вывод ${\displaystyle A}$  следующим образом ${\displaystyle (J,y)}$ , где ${\displaystyle y}$  — подделка, а ${\displaystyle J}$  таков, что ${\displaystyle m}$  был ${\displaystyle J}$ -м уникальным запросом к случайному оракулу (можно предположить, что ${\displaystyle A}$  запросит ${\displaystyle m}$  в некоторый момент, если ${\displaystyle A}$  должен быть успешным с незначительной вероятностью). (Если ${\displaystyle A}$  выдает неправильную подделку, мы считаем, что выходные данные ${\displaystyle (0,y)}$ .)

По лемме разветвления вероятность ${\displaystyle frk}$  получения двух хороших подделок ${\displaystyle y}$  и ${\displaystyle y^{\prime }}$  для одного и того же сообщения, но с разными случайными выходами оракула (то есть ${\displaystyle h_{J}}$  ≠ ${\displaystyle h_{J}^{\prime }}$ ) не пренебрежимо мала, когда параметр ${\displaystyle acc}$  также не незначителен. Это позволяет нам доказать, что если основная сложная проблема действительно сложна, то никакой злоумышленник не может подделать подписи. В этом суть доказательства, данного Пойнтхевалом и Стерном для модифицированной схемы подписи Эль-Гамаля^[5].

Доказательство обобщенной леммы

Докажем^[4] сначала ${\displaystyle {\text{(1)}}}$ , потом докажем что из ${\displaystyle {\text{(1)}}}$  следует ${\displaystyle {\text{(2)}}}$ . Пусть для каждого ${\displaystyle {\text{x}}}$  величина ${\displaystyle acc(x)}$  будет обозначает вероятность того, что ${\displaystyle J\geq 1}$  в эксперименте

${\displaystyle h_{1},...,h_{q}{\text{ ← H; (J,σ) ←}}A(x,h_{1},...,h_{q})}$ .

Также пусть ${\displaystyle frk(x)=Pr\left[{\text{b=1: (b, σ, σ′) ← }}F_{A}(x)\right]}$ .
Мы утверждаем, что для любого ${\displaystyle x,}$ 

${\displaystyle frk(x)\geq acc(x)\cdot \left({\frac {acc(x)}{q}}-{\frac {1}{h}}\right)(3)}$ .

Затем, зная ${\displaystyle {\text{x ← IG}}}$  и с учетом что ${\displaystyle E[acc(x)]=acc}$ , получаем

${\displaystyle frk=E[frk(x)]\geq E\left[acc(x)\cdot \left({\frac {acc(x)}{q}}-{\frac {1}{h}}\right)\right]=}$ 

${\displaystyle ={\frac {E[acc(x)^{2}]}{q}}-{\frac {E[acc(x)]}{h}}\geq {\frac {E[acc(x)]^{2}}{q}}-{\frac {E[acc(x)]}{h}}=acc\cdot \left({\frac {\text{acc}}{q}}-{\frac {1}{h}}\right).}$ 

Что доказывает ${\displaystyle (1)}$ . Перейдем к доказательству утверждения ${\displaystyle (3)}$ .
Для любого входа ${\displaystyle x}$  с вероятностями, взятыми из ${\displaystyle F_{A}}$ , мы имеем

${\displaystyle frk(x)=Pr[I=I^{\prime }\wedge I\geq 1\wedge h_{I}\neq h_{I}^{\prime }]\geq Pr[I=I^{\prime }\wedge I\geq 1]-Pr[I\geq 1\wedge h_{I}\neq h_{I}^{\prime }]=}$ 

${\displaystyle =Pr[I=I^{\prime }\wedge I\geq 1]-{\frac {Pr[I\geq 1]}{h}}=Pr[I=I^{\prime }\wedge I\geq 1]-{\frac {acc(x)}{h}}}$ 

Осталось показать что ${\displaystyle Pr[I=I^{\prime }\wedge I\geq 1]\geq {\frac {acc(x)^{2}}{q}}}$ .
Обозначим через ${\displaystyle \mathbf {R} }$  множество, в котором работает данная машина Тьюринга A.
Пусть для каждого ${\displaystyle i\in \{1,...,q\}}$  соответствующий ${\displaystyle X_{i}:\mathbf {R} \times H^{i-1}{\text{→ [0,1]}}}$  определяется значением ${\displaystyle X_{i}(\rho ,h_{1},...,h_{i-1})}$  в

${\displaystyle Pr\left[J=i:h_{1},...,h_{q}{\text{ ← H; (J,σ) ←}}A(x,h_{1},...,h_{q};\rho )\right]}$  для всех ${\displaystyle \rho \in \mathbf {R} }$  и ${\displaystyle h_{1},...,h_{q}\in H}$ .

${\displaystyle X_{i}}$  здесь рассматривается как случайная величина с равномерным распределением. Тогда

${\displaystyle Pr[I=I^{\prime }\wedge I\geq 1]=\sum _{i=1}^{q}Pr[I=i\wedge I^{\prime }=i]=\sum _{i=1}^{q}Pr[I=i]\cdot Pr[I^{\prime }=i|I=i]=}$ 

${\displaystyle =\sum _{i=1}^{q}\sum _{\rho ,h_{1},...,h_{i-1}}X_{i}(\rho ,h_{1},...,h_{i-1})^{2}\cdot {\frac {1}{|\mathbf {R} |\cdot |H|^{i-1}}}=\sum _{i-1}^{q}E[X_{i}^{2}]\geq \sum _{i-1}^{q}E[X_{i}]^{2}}$ . Пусть ${\displaystyle x_{i}=E[X_{i}]}$  для ${\displaystyle x\in {1,...,q}}$ . Тогда
${\displaystyle \sum _{i=1}^{q}E[X_{i}]^{2}\geq {\frac {1}{q}}\cdot \left(\sum _{i=1}^{q}E[X_{i}]\right)^{2}={\frac {1}{q}}\cdot acc(x)^{2}.}$  Это доказывает ${\displaystyle (3)}$ , и, следовательно, ${\displaystyle (1)}$ . Докажем теперь ${\displaystyle (2)}$ . С учетом ${\displaystyle (1)}$  получим, что
${\displaystyle \left(acc-{\frac {q}{2h}}\right)^{2}=acc^{2}-acc\cdot {\frac {q}{h}}+{\frac {q^{2}}{4h^{2}}}\leq q\cdot frk+{\frac {q^{2}}{4h^{2}}}.}$ 
Взяв с обеих сторон квадратный корень, и учтя, что

${\displaystyle {\sqrt {a+b}}\leq {\sqrt {a}}+{\sqrt {b}}}$  для любых вещественных ${\displaystyle a,b\geq 0,}$ 

получим:

${\displaystyle acc-{\frac {q}{2h}}\leq {\sqrt {q\cdot frk}}+{\sqrt {\frac {q^{2}}{4h^{2}}}}={\sqrt {q\cdot frk}}+{\frac {q}{2h}}}$ , откуда следует ${\displaystyle (2)}$ .

Лемма доказана.

Известные проблемы с использованием леммы

Ограничение, создаваемое леммой о разветвлении, не является жестким. Авторы Поинтчевал и Стерн предложили несколько способов для повышения уровня безопасности цифровых подписей и слепой подписи, основываясь на лемме разветвления.^[5] Однако Клаус Шнорр^[англ.] осуществил атаку на слепые схемы подписей Шнорра^[6], которые, как утверждалось, были надежно защищены Поинтчевалом и Стерном. Шнорр также предложил усовершенствования для защиты схем слепых подписей, основанных на проблеме дискретного логарифмирования.^[7]

Примечания

1. Adam Young, Moti Yung, 2004, с. 344.
2. E.Brickell, D.Pointcheval, S.Vaudenay, M.Yung, 2000, с. 276—292.
3. David Pointcheval, Jacques Stern, 1996, с. 387–398.
4. Mihir Bellare, Gregory Neven, 2006, с. 390—399.
5. David Pointcheval, Jacques Stern, 2000, с. 361—396.
6. C.P. Schnorr, 2001, с. 1—13.
7. C.P.Schnorr, 2006, с. 1305—1320.

Литература

• Adam Young, Moti Yung. Malicious Cryptography: Exposing Cryptovirology (англ.). — 2004. — P. 344.
• E.Brickell, D.Pointcheval, S.Vaudenay, M.Yung. Design Validations for Discrete Logarithm Based Signature Schemes (англ.). — 2000. — P. 276—292.
• David Pointcheval, Jacques Stern. Security Proofs for Signature Schemes (англ.). — 1996. — P. 387–398.
• Mihir Bellare, Gregory Neven. Multi-Signatures in the Plain Public-Key Model and a General Forking Lemma (англ.). — 2006. — P. 390—399.
• David Pointcheval, Jacques Stern. Security Arguments for Digital Signatures and Blind Signatures (англ.). — 2000. — P. 361—396.
• C.P. Schnorr. Security of Blind Discrete Log Signatures Against Interactive Attacks (англ.). — 2001. — P. 1—13.
• C.P.Schnorr. Enhancing the security of perfect blind DL-signatures (англ.). — 2006. — P. 1305—1320.