国精产品一区一区三区免费视频,久久天堂综合亚洲伊人hd妓女,亚洲欧美日韩一区二区三区在线

之后Eve使用新帳戶和新的RSA公鑰簽署了Let\'s Encrypt ，并請求恢復(fù)example-com域
Let\'s Encrypt要求Eve簽發(fā)一些新數(shù)據(jù) ，并將其上傳到example-com/.well-known/acme-challenge/some_file 。
Eve制作了一個新的假冒密鑰對，并在Let\'s Encrypt上更新了其公共密鑰。然后，她要求Let\'s Encrypt以檢查簽名。
Let\'s Encrypt從example-com獲取簽名文件，簽名匹配，于是Eve被授予example-com域所有權(quán) 。
攻擊的圖示如下：

在上述攻擊中， Eve設(shè)法創(chuàng)建了一個有效的公鑰，該公鑰驗證了給定的簽名和消息。數(shù)字簽名不能唯一地標(biāo)識密鑰或消息
根據(jù)RSA的工作原理（這是現(xiàn)代證書交換鏈的基礎(chǔ)）：

對于固定簽名signature和（PKCS＃1 v1.5）消息message ，公鑰（e ， N）必須滿足以下方程式以驗證簽名：
signature=message^e(modN)
一個人可以很容易地制作一個（大部分時間）滿足以下等式的公鑰：
e=1N=signaturemessage可以輕松驗證驗證是否有效：
signature=message(modsignaturemessage)
signaturemessage=0(modsignaturemessage)
根據(jù)定義，最后一行是正確的。
數(shù)字簽名的安全性
由于理論領(lǐng)域與應(yīng)用領(lǐng)域之間安全性證明與已實施協(xié)議之間存在差距。密碼學(xué)中的簽名通常使用EUF-CMA模型進(jìn)行分析，該模型代表自適應(yīng)選擇消息攻擊下的存在不可偽造性。
通過模型中，生成了一個密鑰對，然后要求簽署一些任意消息。在觀察簽署的簽名時，如果可以在某個時間點對未請求的消息產(chǎn)生有效的簽名，將獲勝。
不幸的是，盡管現(xiàn)代簽名方案似乎通過了EUF-CMA測試，但它們往往表現(xiàn)出一些令人驚訝的特性。論文《Automated Analysis of Subtle Attacks on Protocols that Use Signatures》中Dennis Jackson ， Cas Cremers ， Katriel Cohn-Gordon和Ralf Sasse試圖對使用簽名的協(xié)議進(jìn)行細(xì)微的攻擊的自動化分析，試圖列出這些令人驚訝的特性以及受它們影響的簽名方案（然后找到一堆）在使用正式驗證的協(xié)議。

保守的排他性(CEO)/破壞性的排他性(DEO)：
密鑰替換攻擊（CEO），其中使用不同的密鑰對或公鑰來驗證給定消息上的給定簽名。
消息密鑰替換攻擊（DEO），其中使用不同的密鑰對或公共密鑰來驗證新消息上的給定簽名。
可延展性。大多數(shù)簽名方案都是可塑的，這意味著如果給出一個有效的簽名，就可以對其進(jìn)行篡改，以使其成為一個不同但仍然有效的簽名。請注意，如果我是簽名人，通?？梢詾橥粭l消息創(chuàng)建不同的簽名。不清楚這是否會對任何現(xiàn)實世界的協(xié)議產(chǎn)生影響，盡管比特幣MtGox交易所將其資金損失歸咎于該協(xié)議， 2014年2月，曾經(jīng)是最大的比特幣交易所MtGox關(guān)閉并申請破產(chǎn) ，聲稱攻擊者利用可塑性攻擊來耗盡其帳戶。
請注意，一種新的安全模型SUF-CMA（用于強EUF-CMA）試圖將這種行為包含在簽名方案的安全定義中，并且一些最新標(biāo)準(zhǔn)（如RFC 8032指定Ed25519）正在緩解對其簽名方案的延展性攻擊。。
可重新簽名。這很容易解釋。要驗證消息上的簽名，通常不需要消息本身，但需要摘要。這樣，任何人都可以使用自己的密鑰重新簽名消息，而無需知道消息本身