ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
KHOA CÔNG NGHỆ THÔNG TIN
SEMINAR
Môn học: Mật mã và An toàn dữ liệu
CHỮ KÝ KHÔNG THỂ PHỦ NHẬN
Giảng viên: PGS.TS. Trịnh Nhật Tiến
Học viên: Nguyễn Viết Minh
` Mã học viên: 12025060

Chữ ký không thể phủ nhận
Hà Nội, tháng 05 năm 2014
Nguyễn Viết Minh Page 2
Chữ ký không thể phủ nhận
MỤC LỤC
2.1.3.Một số đánh giá về sơ đồ 8
Độ an toàn của chữ ký 8
4.3.Chương trình demo 14
Nguyễn Viết Minh Page 3
Chữ ký không thể phủ nhận
1. Giới thiệu chữ ký không thể phủ nhận
Trong các sơ đồ chữ ký điện tử, việc kiểm thử tính đúng đắn của chữ ký là do
người nhận tiến hành. Như vậy, cả văn bản cùng chữ ký có thể được sao chép và phát tán
cho nhiều người mà không được phép của người gửi. Để tránh khả năng đó, người ta
đưa ra các sơ đồ chữ ký không thể phủ nhận được với yêu cầu là chữ ký không thể
được kiểm thử nếu không có sự hợp tác của người ký. Sự hợp tác đó được thể hiện qua
giao thức kiểm thử (giao thức xác nhận): người nhận hỏi, người gửi trả lời.
Khi chữ ký đòi hỏi được xác nhận bằng một giao thức kiểm thử thì một vấn đề
nảy sinh là làm sao có thể ngăn cản người ký chối bỏ một chữ ký mà anh ta đã ký? Để
đáp ứng yêu cầu đó, cần có thêm một giao thức chối bỏ. Thông qua giao thức này, người
ký có thể chứng minh một chữ ký không phải là chữ ký của mình. Nếu anh ta từ chối

không tham gia giao thức đó thì có bằng chứng là anh ta không chứng minh được chữ ký
đó là giả mạo, tức là anh ta không chối bỏ được chữ ký của mình.
Một sơ đồ chữ ký không thể phủ nhận có 3 phần:
- Thuật toán ký
- Thuật toán kiểm tra (giao thức xác nhận, kiểm thử )
- Một giao thức chối bỏ
2. Một số sơ đồ chữ ký không thể phủ nhận
2.1. Sơ đồ chữ ký không thể chối bỏ Chaum – Van Antwerpen
2.1.1. Giới thiệu sơ đồ
Sơ đồ chữ ký không thể chối bỏ được David Chaum và Hans van Antwerpen đề
xuất năm 1989. Sơ đồ gồm 3 phần: thuật toán ký, giao thức kiểm thử và giao thức chối
bỏ.
• Chuẩn bị các tham số
+ Chọn số nguyên tố p sao cho bài toán logarit rời rạc trong Z
p
là khó giải, đồng thời
thỏa mãn điều kiện p = 2 * q + 1, q cũng là nguyên tố.
+ Chọn g ∈ là phần tử có cấp q.
+ Chọn 1 ≤ a ≤ q – 1, tính h = g
a
mod p.
+ G là nhóm con (theo phép nhân) cấp q sinh ra bởi g của
+ Tập hữu hạn các văn bản có thể P, tập hữu hạn các chữ ký có thể A
+ P = A = G
Nguyễn Viết Minh Page 4
Chữ ký không thể phủ nhận
+ Khóa công khai được định nghĩa pk = ( p, g, h ), khóa bí mật sk = a.
• Thuật toán ký
Dùng khóa bí mật sk ở trên để ký lên thông điệp x, chữ ký là:
y = sig

sk
( x ) = x
a
mod p
• Giao thức kiểm thử
Bob muốn xác thực chữ ký y trên thông điệp x được ký bởi Alice. Giao thức được
thực hiện như sau:
- Bob chọn ngẫu nhiên e
1
, e
2
∈
- Bob tính c = mod p và gửi cho Alice.
- Alice tính d = mod p và gửi cho Bob.
- Bob chấp nhận y là chữ ký đúng trên x khi và chỉ khi d ≡ mod p
• Giao thức chối bỏ chữ ký
- Bob chọn ngẫu nhiên e
1
, e
2
∈
- Bob tính c = mod p và gửi cho Alice.
- Alice tính d = mod p và gửi cho Bob.
- Bob kiểm tra d ≢ mod p
- Bob chọn ngẫu nhiên f
1
, f
2
∈
- Bob tính C = mod p và gửi cho Alice

- Alice tính D = mod p và gửi cho Bob
- Bob kiểm tra D ≢ mod p
Nguyễn Viết Minh Page 5
Chữ ký không thể phủ nhận
- Bob kết luận chữ ký y thực sự là giả mạo nếu:
mod p
2.1.2. Ví dụ minh họa
Trong ví dụ này, Alice là người ký, Bob là người cần xin chữ ký.
• Chuẩn bị các tham số
Alice chuẩn bị các tham số cho việc ký
- Chọn số nguyên tố p = 59747 = 2 * q + 1, q = 29873 cũng là số nguyên tố
- G là nhóm nhân con của cấp q. Chọn phần tử sinh của nhóm G là g = 3.
- Đặt P = A = G, K = {(p, g, a, h ): a ∈ , h ≡ g
a
mod p }
Chọn a = 11, h = 3
11
mod 59747 = 57653
• Thuật toán ký
Dùng khóa bí mật sk = a để ký lên x = 229
Chữ ký thu được là y = sig
sk
(x) = x
a
mod p = 229
11
mod 59747 = 30179.
• Giao thức kiểm thử chữ ký
Dùng khóa công khai pk = ( p, g, h ) = ( 59747, 3, 57653 )
- Bob chọn ngẫu nhiên e

1
= 11, e
2
= 15 ∈
- Bob tính c = mod p = 30179
11
57653
15
mod 59747 = 55601
- Alice tính d = mod p = mod 59747 = 43319
- Bob kiểm tra điều kiện d ≡ mod p
Có mod p = 229
11
3
15
mod 59747 = 43319 ≡ 43319 mod 59747
→ Bob kết luận chữ ký là đúng.
• Giao thức chối bỏ chữ ký
Nguyễn Viết Minh Page 6
Chữ ký không thể phủ nhận
Giả sử Bob gửi tài liệu x = 229, với chữ ký y = 30178
- Bob chọn ngẫu nhiên e1 = 11, e2 = 15 ∈
- Bob tính c = mod p = 30178
11
57653
15
mod 59747 = 19071
- Alice tính d = mod p = mod 59747 = 33692
- Bob kiểm tra điều kiện d ≡ mod p
Có = 229

11
3
15
mod 59747 = 43319 ≠ 33692 mod 59747
=> Bob thực hiện tiếp
Bob chọn ngẫu nhiên f1 = 17, f2 = 19 ∈
- Bob tính C = mod p = 30178
17
57653
19
mod 59747 = 9217 và gửi cho Alice
- Alice tính D = mod p = mod 59747 = 33028 và gửi
cho Bob
- Bob kiểm tra D ≢ mod p
- Bob kiểm tra:
(dg
-e2
)
f1
≡ (Dg
-f2
)
e1
(mod p)
Có (dg
-e2
)
f1
mod p = (33692 * 3
-15

)
17
(mod 59747) = 40635
(Dg
-f2
)
e1
( mod p ) = (33028 * 3
-19
)
11
( mod 59747 ) = 40635
 (dg
-e2
)
f1
≡ (Dg
-f2
)
e1
(mod p)
 Bob kết luận chữ ký là giả mạo
Ví dụ này được trình bày với mục đích minh họa, nên chỉ sử dụng các số nguyên tố
p, q nhỏ. Trong thực tế ứng dụng, để đảm bảo an toàn, người ta dùng các số p, q rất lớn,
chẳng hạn các số có biểu diễn nhị phân cỡ 512 bits. Khi đó ta có q ≥ 2
512
tức là 1/q ≤
2
−512
, một xác suất rất bé, có thể bỏ qua; và vì vậy, các yêu cầu đối với các giao thức

kiểm thử và giao thức chối bỏ như trong phần đặt vấn đề có thể xem như là được thỏa
mãn.
Nguyễn Viết Minh Page 7
Chữ ký không thể phủ nhận
2.1.3. Một số đánh giá về sơ đồ
• Độ an toàn của chữ ký
Độ an toàn của hệ thống phụ thuộc vào bài toán logarit rời rạc do khóa bí mật sk = a
được tính từ công thức h = g
a
mod p => a = log
g
h mod p, trong đó g, h, p là công khai.
Đây chính là vấn đề của bài toán logarit rời rạc khó giải.
• Chứng minh tính đúng đắn của giao thức xác thực
1/. Kết luận 1
Nếu y đúng là chữ ký của Alice trên x ( tức là y ≡ x
a
mod p ), thì việc Bob chấp nhận
y là chữ ký của Alice trên x theo giao thức kiểm thử là đúng
Chứng minh
Giả sử y là chữ ký hợp lệ trên x. Bắt đầu từ giá trị d mà Bob nhận từ Alice:
d = mod p = mod p (1)
- Lại có y ≡ x
a
mod p => ≡ x mod p (2)
h ≡ g
a
mod p => ≡ g mod p (3)
Từ (1) (2) (3) => d ≡ x
e1

g
e2
mod p là điều kiện đúng để Bob chấp nhận một chữ
ký là đúng.
2/. Kết luận 2
Trong trường hợp y ≠ x
a
(mod p), tức y không phải là chữ ký của Alice trên x thì việc
Bob, theo giao thức kiểm thử, chấp nhận chữ ký y là chữ ký của Alice trên x, có thể xảy
ra với xác suất là 1/q.
Chứng minh
- Giá trị c mà Alice nhận được quyết định bởi sự lựa chọn 2 giá trị e1, e2.
- y, h là phần tử trong G cấp q
=> mỗi giá trị c tương ứng với q cặp (e1,e2 )
- Khi Alice nhận được c từ Bob, Alice không có cách gì để biết là Bob đã dùng cặp
(e1, e2) nào trong q cặp có thể đó. Chúng ta sẽ chứng minh rằng, nếu y ≠ x
a
mod p, bất
kỳ giá trị d nào mà Alice trả lại cho Bob tương ứng với duy nhất 1 trong q cặp ( e1, e2 ),
Nguyễn Viết Minh Page 8
Chữ ký không thể phủ nhận
tức là trong q cặp đó chỉ có đúng một cặp (e1, e2) thỏa mãn đồng dư thức d ≡ x
e1
g
e2
(mod
p). Thật vậy:
+ g là phần tử sinh của nhóm G theo modulo q. Vì thế chúng ta có thể viết lại như
sau:
c = g

i
mod q, d = g
j
mod q, x = g
k
mod q, y = g
l
mod q trong đó i, j, k, l ϵ Zq.
+ Kết hợp với
c ≡ y
e1
h
e2
(mod p)
d ≡ x
e1
g
e2
(mod p)
(I)

Do giả thiết y ≠ x
a
( mod p )
=> l ≢ ak ( mod q )
=> Định thức của ma trận hệ số của (I) với các ẩn số e1, e2 là khác 0 => (I) có
nghiệm duy nhất => bất kỳ d ∈ G là giá trị đáp ( response ) của chỉ một trong q cặp giá
trị có thể ( e1, e2 )
=> Xác suất để Alice đưa ra giá trị đáp đúng cho Bob trong quá trình xác thực chữ
ký là 1/q. Nhận định đưa ra đã được chứng minh.

• Chứng minh tính đúng đắn của giao thức chối bỏ
1/. Kết luận 1
 Nếu y ≠ x
a
mod p và cả Alice và Bob đều tuân theo giao thức chối bỏ, thì (dg
-
e2
)
f1
≡ (Dg
-f2
)
e1
(mod p) tức giao thức cho kết quả chính xác.
Chứng minh
Giả sử y ≠ x
a
(mod p), Alice và Bob cùng thực hiện giao thức chối bỏ. Do y không là
chữ ký của Alice trên x nên Bob sẽ kiểm thử đúng các bất đồng dư thức trong các bước
3 và 6 của giao thức. Vì h ≡ g
a
(mod p), nên ta có:
(dg
-e2
)
f1
≡ (mod p)
Nguyễn Viết Minh Page 9
Chữ ký không thể phủ nhận
≡ ( mod p )

≡ ( mod p )
Tương tự ta cũng có: (Dg
-f2
)
e1
≡ ( mod p )
Như vậy, đồng dư thức ở bước 7 của giao thức được nghiệm đúng, và kết luận y là
chữ ký giả mạo của A trên x là chính xác, không thể bác bỏ được
. 2/. Kết luận 2
Một điều thú vị có thể xảy ra khi Alice cố tình muốn chối bỏ một chữ ký của mình
bằng cách không tuân theo giao thức hỏi – đáp một cách trung thực. Alice có thể làm
cho Bob nghĩ rằng chữ ký thực sự là giả mạo trong khi không phải như thế. Dưới đây
xin nêu ra 1 kết luận như sau: Xác suất để Alice chối bỏ một chữ ký đúng của anh ta là
1/q
Chứng minh
Nếu Alice cố gắng lừa Bob để Bob nghĩ rằng chữ ký đó là giả mạo, có nghĩa là
những điều kiện sau đây đồng thời xảy ra:
y ≡ x
a
mod p (1)
d ≢ x
e1
g
e2
mod p (2)
D ≢ x
f1
g
f2
mod p (3)

(dg
-e2
)
f1
≡ (Dg
-f2
)
e1
(mod p) (4)
Điều kiện (4) có thể được viết lại như sau:
D ≡ d
o
f1
g
f2
(mod p) trong đó x = do = d
1/e1
g
-e2/e1
mod p mod p (5)
Như trong phần trình bày trước, chúng ta kết luận rằng y là chữ ký hợp lệ của d
o
với
xác suất 1 – 1/q (do xác suất của việc chấp nhận chữ ký y ≠ x
a
mod p là 1/q)
Do y là chữ ký hợp lệ của x, x = d
o
=> (2)  x ≢ d
1/e1

g
-e2/e1
mod p
Lại có d
o
= d
1/e1
g
-e2/e1
mod p
Từ 2 điều trên => x ≠ d
o
. Điều này có nghĩa là Alice làm cho Bod nghĩ rằng y là giả
mạo với xác suất 1/q.
2.2. Sơ đồ chữ ký không thể phủ nhận dựa trên chữ ký ElGammal
Nguyễn Viết Minh Page 10
Chữ ký không thể phủ nhận
Một thuật toán khác để chuyển đổi sơ đồ kí không thể phủ nhận, nhờ nó mà việc
xác thực và chống chối bỏ có thể chuyển thành chữ kí điện tử thông thường. Thuật toán
này dựa trên chữ kí điện tử ElGamal.
Giống như chữ ký ElGamal, đầu tiên chọn 2 sốnguyên tố p và q mà (p=2q+1).
Sau đó tạo ra một số g nhỏ hơn q. Đầu tiên chọn một số ngẫu nhiên h, nằm trong khoảng
2 và p-1. Sau đó tính:
phg
qqp
mod
/)(
−
=
Nếu g bằng 1, chọn một số ngẫu nhiên h khác. Nếu g khác 1 thì ta chọn số g này.

Những khoá bí mật là các số ngẫu nhiên khác nhau,x và z, tất cả điều nhỏ hơn q.
Khoá công khai là p,q,g,y và u trong đó:
pgy
x
mod
=
pgu
z
mod
=
Để tính toán thông điệp m của mô hình chứ ký không thể phủ nhận chuyển đối
này (thường là thu gọn của thông điệp), đầu tiên chọn một số ngẫu nhiên t trong khoảng
1 và q-1. Sau đó tính
pgT
t
mod
=
Và
pTtzmm mod
'
=
Bây giờ tính toán chuẩn chữ ký ElGamal theo m’. Lựa chọn một số ngẫu nhiên,
R, mà R là nhỏ hơn và nguyên tố cùng nhau với p-1. Sau đó tính
pgr
R
mod
=
, và
sử dụng thuật toán Euclid mở rộng để tính s,
pTtzmm mod

'
=
Chữ ký là chữ ký ElGamal (r,s) và T.
Vậy bằng cách nào mà An xác nhận chữ ký của cô ấy với Bình:
(1) Bình chọn 2 số ngẫu nhiên, a và b. Sau đó anh ta tính
bTma
gTc
=
và gửi nó
cho An.
(2) An chọn 1 sốngẫu nhiên, k và tính
pcgh
k
mod
1
=
và
phh
z
mod
12
=
gửi
cả những số này cho Bình.
(3) Bình gửi cho An a và b.
Nguyễn Viết Minh Page 11
Chữ ký không thể phủ nhận
(4) An xác nhận rằng
pgTc
bTma

mod
=
. Và gửi k cho Bình.
(5) Bình xác nhận rằng
pgTh
kbTma
mod
1
+
=
và
puryh
kbsara
mod
2
+
=
An có thể chuyển tất cả chữ ký không thể phủ nhận của cố ấy thành chữ ký thông
thường bởi cách công bố z. Giờ thì bất cứ ai cũng có thể xác nhận chữ ký của cô ấy mà
không cần sự giúp đỡ của cô ấy.
3. Các hình thức tấn công chữ ký không thể phủ nhận
Trong, Markus Jakobsson trình bày hai hình thức tấn công chữ ký không thể chối bỏ
như sau:
3.1. Tống tiền người ký
Giả sử Alice ký chữ ký y trên thông điệp x, nhưng không muốn để lộ thông tin về
x cho các đối thủ của cô biết. Người tống tiền Eve bằng cách nào đó, tìm được (x, y) và
quyết định tống tiền Alice. Eve thực hiện:
- Bước 1: Eve thông báo cho các đối thủ của Alice biết cô ta có một số thông tin
mà họ cần. Cô ta đưa cho mỗi đối thủ {Enemy
i

}( i = 1 – n ) cặp giá trị {y, h} và yêu cầu
mỗi đối thủ tạo hai số bí mật ai, bi sau đó tính bí mật c
i
= y
a1
h
bj
và đưa giá trị c
i
cho Eve.
- Bước 2: Eve cũng tạo bí mật cặp (a
0
, b
0
), tính c
0
= y
ao
h
bo
.
- Bước 3: Eve tính c = . Sau đó, Eve bằng cách nào đó yêu cầu Alice ký lên
một thông điệp x’ bất kỳ, thu được chữ ký y’. Thay vì xác thực chữ ký x’, Eve xác thực
chữ ký trên x. Alice không thể biết được điều này bởi vì cặp giá trị ngẫu nhiêu trong
giao thức hỏi đáp là do người xác thực chữ ký thực hiện. Sau khi gửi giá trị c cho Alice,
Eve nhận được d = x
e1
g
e2
trong đó e1 = và e2 = ( vào thời điểm này, Eve

không biết các giá trị a
i
, b
i
).
- Bước 4: Alice yêu cầu các đối thủ của Alice đưa cho cô ta cặp giá trị (a
i
, b
i
). Eve
thông báo cho Alice biết cô ta đã có được thông điệp x và có thể cô ta sẽ nói với các đối
thủ của Alice. Nếu Alice không thực hiện theo những gì Eve nói, Eve sẽ thực hiện bước
5 như sau:
- Bước 5: Ở bước này, Eve đưa ( ) cho tất cả các đối thủ . Khi đó
{Enemy}
i
có thể thấy cặp (a
i
, b
i
) được dùng trong tập {a
i
}{b
i
} dùng để xác thực chữ ký.
Vì thế họ tin rằng Alice đã kí lên thông điệp x.
3.2. Nhiều người cùng xác thực chữ ký mà người ký không biết
Nguyễn Viết Minh Page 12
Chữ ký không thể phủ nhận
Eve là người đứng ra xác thực, cô ta tính c = từ các giá trị c

i
= y
ai
h
bi
mà
những người muốn xác thực chữ ký gửi đến cho cô ta. Eve gửi c cho Alice.
Sau khi nhận được d từ Alice, Eve gửi ( , , d) cho những người vừa
gửi c
i
đến cho Eve. Tất cả những người này đã xác thực được chữ ký mà Alice không hề
hay biết. Thật vậy: c = = = y
=> e1 = và e2 = . Khi đó tất cả những người gửi ci cho Eve kiểm
tra được rằng (ai, bi) đã được sử dụng trong giao thức kiểm tra chữ ký, và chữ ký được
kiểm tra như là liên hệ trực tiếp với Alice.
4. Ứng dụng chữ ký không thể phủ nhận
4.1. Ứng dụng trong thẻ chứng minh thư điện tử
Bởi vì quá trình xác thực một chữ ký cần sự cộng tác của người ký, chữ ký không
thể chối bỏ phù hợp với ứng dụng chứng minh thư điện tử. Ở Bỉ người ta đã sử dụng
chứng minh thư điện tử dựa trên chữ ký không thể chối bỏ [6]. Một ví dụ minh họa,
người A mua một vài hàng hóa qua mạng Internet và được chuyển về bưu điện địa
phương cho A. A ký vào văn bản online sử dụng chữ ký không thể chối bỏ, khi A tới
bưu điện để lấy hàng hóa, A xác thực rằng anh ta chính là chủ sở hữu của những hàng
hóa đó.
4.2. Ứng dụng trong ký hợp đồng qua điện thoại
Một ví dụ khác được minh họa trong [11]. Bài báo trình bày về sự không chối cãi
của cuộc hội thoại VoIP ( Voice – over –IP ). Do sự sử dụng rộng rãi của VoIP, sẽ là
một sự tiện lợi nếu chúng ta ghi âm cuộc hội thoại và coi như 1 bản hợp đồng giữa hai tổ
chức. Một bản hợp đồng miệng có tính ràng buộc như một bản hợp đồng trên giấy, tuy
nhiên hợp đồng trên giấy thường được sử dụng rộng rãi hơn bởi vì có chữ ký của hai bên

nên sẽ dễ dàng xử lý khi có tranh chấp. Vì thế nếu chúng ta ghi âm cuộc hội thoại dưới
dạng số và ký trên nó, thì đoạn ghi âm có thể được sử dụng như bằng chứng nếu có tranh
chấp. Khi đó nó có sức thuyết phục không kém gì hợp đồng trên giấy.
Ở đây, chữ ký không thể chối bỏ là một sự lựa chọn tốt, bởi vì nó chỉ liên quan
đến hai tổ chức, không cần phát tán ra bên ngoài. Khi đó mỗi tổ chức dùng khóa bí mật
của mình ký lên đoạn ghi âm. Khi đó đoạn hội thoại cùng với 2 chữ ký của 2 tổ chức lên
đoạn hội thoại chính là hợp đồng. Bởi vì đoạn hội thoại đã được ký lên, không ai có thể
thay đổi nó hoặc tạo ra một chữ ký giả.
Nguyễn Viết Minh Page 13
Chữ ký không thể phủ nhận
4.3. Chương trình demo
Chương trình sử dụng sơ đồ ký Chaum – Van Antwerpen với giao diện như sau:
Nguyễn Viết Minh Page 14
Chữ ký không thể phủ nhận
5. Kết luận
Vấn đề chữ ký không thể phủ nhận là một trong những vấn đề khó trong lĩnh vực
mật mã học. Nó là một vấn đề không mới, đang được phát triển ở nước ta hiện nay và có
nhiều công việc cần giải quyết nếu muốn xây dựng một hệ thống ký số điện tử đạt tiêu
chuẩn quốc gia. Hướng tiếp cận theo mật mã học khóa công khai là hướng tiếp cận dựa
vào yêu cầu thực tế công nghệ là công khai và khóa mới là cái bí mật, độ an toàn của hệ
thống không dựa vào độ an toàn của công nghệ mà chính là khóa.
Nguyễn Viết Minh Page 15
Chữ ký không thể phủ nhận
TÀI LIỆU THAM KHẢO
[1]. Phan Đình Diệu (2002), Lý thuyết mật mã và an toàn thông tin, NXB Đại học
Quốc gia Hà Nội, Hà Nội.
[2]. Phạm Huy Điển (2003), Mã hóa thông tin
[3]. Alfred J. Menezes Paul C. van Ooschot Scott A. Vanstone (1998): Handbook of
Applied Cryptography, CRC press.
[4]. Bart Van Rompay. Analysis and Desigbn of Cryptographic Hash Functions,

MAC Algorithms and Block Ciphers, Juni 2004, pg. 27-28.
[5]. Benoıt Libert Jean-Jacques Quisquater, Identity Based Undeniable Signatures,
UCL Crypto Group, Belgium
[6]. David Chaum, Hans van Antwerpen. Undeniable Signature.CRYPTO ’89 tr 212
– 216.
[7]. Moti Young : Weaknesses of Undeniable Signature Schemes.
Nguyễn Viết Minh Page 16