1

BỘ GIÁO DỤC VÀ ĐÀO TẠO

BỘ QUỐC PHÒNG

VIỆN KHOA HỌC VÀ CÔNG NGHỆ QUÂN SỰ

Nguyễn Hữu Hùng

NGHIÊN CỨU GIẢI PHÁP XÂY DỰNG
HẠ TẦNG CƠ SỞ KHÓA CÔNG KHAI (PKI) AN TOÀN
PHỤC VỤ XÁC THỰC VÀ BẢO MẬT CHO CÁC
CƠ QUAN ĐẢNG, NHÀ NƯỚC, AN NINH, QUỐC PHÒNG
Chuyên ngành: Cơ sở toán học cho tin học
Mã số: 62 46 01 10

TÓM TẮT LUẬN ÁN TIẾN SĨ TOÁN HỌC

Hà Nội - 2017


2
CÔNG TRÌNH ĐƯỢC
HOÀN THÀNH TẠI
VIỆN KHOA HỌC VÀ CÔNG NGHỆ QUÂN SỰ
BỘ QUỐC PHÒNG

Người hướng dẫn khoa học:
1. Tiến sĩ Trần Văn Sơn
2. Tiến sĩ Phạm Việt Trung

Phản biện 1: GS. TS Nguyễn Bình
Học viện Công nghệ Bưu chính Viễn thông
Phản biện 2: PGS. TS Lê Mỹ Tú
Học viện Kỹ thuật Mật mã
Phản biện 3: PGS. TS Bùi Thu Lâm
Học viện Kỹ thuật quân sự

Luận án sẽ được bảo vệ trước Hội đồng chấm luận án cấp Viện họp tại
Viện Khoa học và Công nghệ quân sự vào hồi.... giờ......
ngày……..tháng.......năm 2017

Có thể tìm hiểu Luận án tại:
- Thư viện Viện Khoa học và Công nghệ quân sự.
- Thư viện Quốc gia Việt Nam.


1
MỞ ĐẦU
1. Tính cấp thiết
Hạ tầng cơ sở khóa công khai (PKI) được coi là giải pháp tốt nhất
hiện nay để đảm bảo xác thực, bảo mật các giao dịch điện tử. Mỗi thực
thể tham gia vào hệ thống PKI sở hữu một khóa bí mật/công khai. Khóa
công khai của các thực thể kết hợp với danh tính của chủ sở hữu và các
thông tin liên quan được Cơ quan chứng thực (CA) chứng nhận thông qua
chữ ký số sử dụng khóa bí mật của CA. Trong hệ thống PKI dựa trên mật
mã Elliptic, chữ ký số của CA được tạo lập bằng cách sử dụng lược đồ
chữ ký số đường cong Elliptic (ECDSA).
Việc đảm bảo an toàn cho hệ thống PKI là hết sức cần thiết. Việc
nghiên cứu để đảm bảo an toàn cho hệ thống PKI có ý nghĩa to lớn về mặt

khoa học cũng như thực tiễn. Đối với hệ thống PKI phục vụ các cơ quan
Đảng, Nhà nước, Quốc phòng, An ninh (PKI Chính phủ) lại càng phải là
ưu tiên hàng đầu. Vì vậy, Luận án đặt vấn đề cần phải nghiên cứu, phân
tích, đề xuất mô hình PKI Chính phủ, các thành phần đảm bảo an toàn,
an ninh và an toàn mật mã; đặc biệt thành phần cốt lõi của hệ thống PKI
dựa trên mật mã Elliptic là lược đồ chữ ký số ECDSA và an toàn cho khóa
bí mật.
2. Đối tượng và phạm vi nghiên cứu
Đối tượng và phạm vi nghiên cứu của Luận án là hệ thống PKI dựa
trên mật mã Elliptic. Các vấn đề an toàn mật mã và đảm bảo an toàn mật
mã cho hệ thống PKI dựa trên mật mã Elliptic.
3. Mục đích nghiên cứu
Đưa ra đánh giá tổng quát về vấn đề an toàn cho hệ thống PKI. Phân
tích các điểm tồn tại, các tấn công và đưa ra cách sửa đổi, phòng chống
để đảm bảo an toàn mật mã cho hệ thống PKI dựa trên mật mã Elliptic.


2
4. Phương pháp nghiên cứu
Nghiên cứu các công trình, tài liệu trong và ngoài nước về hệ thống
PKI nói chung và các vấn đề đảm bảo an toàn cho PKI. Nghiên cứu mật
mã Elliptic, phân tích, đánh giá an toàn lược đồ chữ ký số ECDSA, khóa
bí mật, và an toàn cài đặt thuật toán ECDSA đối với các tấn công trên
kênh thứ cấp để đề xuất giải pháp đảm bảo an toàn cho các vấn đề trên.
5. Ý nghĩa khoa học
Luận án đã đề xuất lược đồ chữ ký ECDSA mới và chứng minh lược
đồ đề xuất là an toàn. Đề xuất tiêu chuẩn an toàn cho khóa bí mật sử dụng
trong lược đồ chữ ký số ECDSA và phép nhân điểm an toàn trong cài đặt
lược đồ ECDSA. Đề xuất mô hình triển khai, các thành phần đảm bảo an
toàn, an ninh cho hệ thống PKI phục vụ các cơ quan Đảng, Nhà nước,

Quốc phòng, An ninh.

Những đề xuất này sẽ mở ra những hướng

nghiên cứu mới về đảm bảo an toàn mật mã cho hệ thống PKI dựa trên
mật mã Elliptic.
6. Ý nghĩa thực tiễn
Đáp ứng nhu cầu triển khai hệ thống PKI phục vụ xác thực, bảo mật
cho các cơ quan Đảng, Nhà nước, Quốc phòng, An ninh. Góp phần thúc
đẩy ứng dụng CNTT và phát triển Chính phủ điện tử tại Việt nam.
7. Bố cục của Luận án
Luận án gồm 03 Chương với các phần mở đầu, kết luận, danh mục
các công trình, bài báo khoa học đã được công bố của tác giả, tài liệu tham
khảo và phụ lục thực nghiệm kèm theo.
Chương 1: Tổng quan về hệ thống PKI dựa trên mật mã Elliptic
Trình bày tổng quan về hệ thống PKI, một số khái niệm cơ bản về
mật mã Elliptic, lược đồ chữ ký số ECDSA. Các vấn đề an toàn cho hệ
thống PKI, an toàn lược đồ ECDSA, an toàn cho khóa bí mật và an toàn


3
trong phép nhân điểm trong cài đặt thuật toán ECDSA.
Chương 2: Nâng cao độ an toàn cho hệ thống PKI dựa trên mật
mã Elliptic
Trình bày các kết quả nghiên cứu mới của Luận án đó là đề xuất lược
đồ chữ ký số ECDSA-IV (lược đồ chữ ký số mới) và đề xuất tiêu chuẩn
an toàn cho khóa bí mật dài hạn và khóa bí mật tức thì sử dụng trong lược
đồ chữ ký số ECDSA; tiêu chuẩn này cũng áp dụng cho lược đồ đề xuất
ECDSA-IV. Để làm cơ sở đề xuất những kết quả nghiên cứu mới, trong
Chương này, Luận án sử dụng phương pháp phân tích, tổng hợp các công

trình trên thế giới về an toàn cho lược đồ chữ ký số ECDSA, các hạn chế,
tồn tại của lược đồ chữ ký số ECDSA, tấn công lên khóa bí mật dài hạn
và khóa bí mật tức thì sử dụng trong lược đồ chữ ký số ECDSA.
Chương 3: Đề xuất mô hình PKI và các thành phần mật mã dựa
trên mật mã Elliptic
Trình bày các nội dung liên quan đến đề xuất một mô hình tổng thể
hệ thống PKI Chính phủ. Chương này cũng trình bày một kết quả nghiên
cứu mới của Luận án về một thuật toán nhân điểm để nâng cao độ an toàn
trong cài đặt thuật toán chữ ký số ECDSA, các thành phần đảm bảo an
toàn, an ninh mạng cho hệ thống PKI, các thành phần mật mã và đưa ra
một số đánh giá thực nghiệm đối với các kết quả nghiên cứu mới của
Luận án.


4
CHƯƠNG 1. TỔNG QUAN VỀ HỆ THỐNG PKI DỰA TRÊN
MẬT MÃ ELLIPTIC
Chương này trình bày tổng quan về hệ thống PKI, một số khái niệm
cơ bản về mật mã Elliptic, lược đồ chữ ký số ECDSA. Tổng hợp các
nghiên cứu trong và ngoài nước về các vấn đề an toàn hệ thống PKI, an
toàn lược đồ chữ ký số ECDSA và các tham số khóa bí mật. Phân tích,
chỉ ra các vấn đề cần đảm bảo an toàn cho hệ thống PKI nói chung, các
vấn đề còn tồn tại của lược đồ chữ ký số ECDSA và các tham số khóa bí
mật để đề xuất giải quyết trong Chương 2 và Chương 3.
1.1. Tổng quan về Hệ thống PKI
1.1.1. Các thành phần của PKI
1.1.2. Các mô hình hệ thống PKI
1.1.3. Các thành phần mật mã trong PKI dựa trên mật mã Elliptic
1.2. Mật mã Elliptic
1.2.1. Một số định nghĩa toán học về đường cong Elliptic

1.2.2. Nhóm các điểm đường cong Elliptic trên trường nguyên tố
1.2.3. Các tiêu chuẩn an toàn của hệ mật Elliptic
1.2.4. Các tham số miền và cặp khóa của hệ mật Elliptic
1.1.4. Lược đồ chữ ký số ECDSA
1.1.5. Lược đồ chữ ký số của Nga
1.3. An toàn cho hệ thống PKI dựa trên mật mã Elliptic
1.3.1. An toàn PKI nói chung
a) An toàn khóa bí mật của CA
b) An toàn khóa bí mật của người dùng
c) An toàn của máy tính
d) Vấn đề lộ khóa bí mật và khôi phục hệ thống
e) Vấn đề thẩm quyền CA và an toàn tin cậy trong PKI


5
f) Vấn đề kết hợp CA với RA
1.3.2. An toàn lược đồ chữ ký số ECDSA
- Lỗi 1 “lỗi chữ ký kép”: Từ hai thông điệp 𝑚1 và 𝑚2 bất kỳ chúng
ta luôn sinh ra được một cặp khóa bí mật và khóa công khai sao cho hai
thông điệp này cùng nhận một chữ ký chung.
- Lỗi 2: Với chữ ký (𝑟, 𝑠) là chữ ký hợp lệ trên thông điệp 𝑚, chúng
ta dễ dàng suy ra (𝑟, −𝑠) là chữ ký của thông điệp này.
1.3.3. An toàn liên quan đến tham số và khóa bí mật ECDSA
a) Tấn công khi sử dụng lặp lại khóa bí mật của mỗi thông điệp
b) Tấn công của Vaudenay liên quan đến tham số miền của hệ mật
Elliptic
c) Vấn đề lựa chọn khóa cho việc sao chép chữ ký số
d) Các tấn công liên quan đến việc sinh các khóa bí mật dài hạn và
tức thì của DSA và ECDSA
Trước đây, việc thám mã khóa bí mật của hệ mật RSA sử dụng công

cụ rút gọn lưới đã được công bố với nhiều phiên bản cải tiến khác nhau.
Gần đây, bằng cách tiếp cận tương tự, Dimitrios Poulakis đã đưa ra những
kết quả tấn công liên quan đến việc sinh các khóa bí mật dài hạn d và tức
thì k của ECDSA. Giả sử rằng một chữ ký được sử dụng và mỗi số trong
ít nhất một trong các tập {𝑑, 𝑘 −1 𝑚𝑜𝑑 𝑝}, {𝑘, 𝑑−1 𝑚𝑜𝑑 𝑝},
{𝑘 −1 , 𝑑−1 𝑚𝑜𝑑 𝑝} là nhỏ hơn hoặc lớn hơn một cận đã biết nào đó, khi
đó khóa bí mật dài hạn d và khóa bí mật tức thì k có thể được tìm ra. Hơn
nữa, nếu hai chữ ký với các khóa tức thì k1, k2 được sử dụng và ít nhất có
một số trong các tập các số {𝑘1 , 𝑘2−1 𝑚𝑜𝑑 𝑝}, {𝑘2 , 𝑘1−1 𝑚𝑜𝑑 𝑝},
{𝑘1−1 , 𝑘2−1 𝑚𝑜𝑑 𝑝} nhỏ hơn hoặc lớn hơn một cận đã biết nào đó thì k1, k2
và cả d sẽ được tìm ra.


6
1.3.4. An toàn của phép nhân điểm trong thuật toán ECDSA
Phép nhân điểm là một thủ tục thường xuyên phải thực hiện trong
mật mã Elliptic. Nó đặc biệt nhạy cảm khi thực hiện phép nhân giữa khóa
bí mật với một điểm công khai trên đường cong Elliptic. Phép nhân điểm
trong thuật toán chữ ký số ECDSA có dạng: 𝑄 = 𝑑𝑃.
Trong đó, P là một điểm công khai trên đường cong Elliptic và d là
khóa bí mật. Các cuộc tấn công kênh kề dựa trên việc tiêu thụ năng lượng
và thời gian như đã chỉ ra bởi độ phức tạp tính toán cần thiết để thực hiện
phép nhân điểm khi cài đặt thuật toán chữ ký số ECDSA. Nếu sử dụng
các phép nhân điểm thông thường, phương pháp nhị phân chẳng hạn, các
tấn công phân tích năng lượng sẽ phân biệt được các bít 0 và 1 của khóa
bí mật d khi thực hiện phép nhân điểm dẫn đến khả năng tìm ra khóa bí
mật d.
1.4. Kết luận Chương 1
Chương 1 trình bày các nội dung nghiên cứu tổng quan về hệ thống
PKI, một số vấn đề cơ bản của mật mã Elliptic. Đã phân tích một số vấn

đề an toàn của hệ thống PKI nói chung. Phân tích các tồn tại liên quan
đến lược đồ chữ ký số ECDSA, các vấn đề an toàn liên quan đến khóa bí
mật dài hạn, khóa bí mật tức thì và vấn đề an toàn trong phép nhân điểm
sử dụng trong lược đồ chữ ký số ECDSA.
Từ tính chất và tầm quan trọng trong đảm bảo an toàn cho các giao
dịch điện tử trong lãnh đạo, chỉ đạo, điều hành nên vấn đề an toàn đặt ra
ở Chương này đối với hệ thống PKI phục vụ các cơ quan Đảng, Nhà nước,
Quốc phòng, An ninh là ưu tiên hàng đầu. Các vấn đề an toàn đặt ra ở đây
sẽ được giải quyết trong Chương 2 và Chương 3 của Luận án.


7
CHƯƠNG 2. NÂNG CAO ĐỘ AN TOÀN CHO HỆ THỐNG
PKI DỰA TRÊN MẬT MÃ ELLIPTIC
Trong Chương này, Luận án sẽ đề xuất một lược đồ chữ ký số là một
biến thể của thuật toán chữ ký số ECDSA. Lược đồ đề xuất sẽ được chứng
minh là an toàn trong mô hình nhóm tổng quát (GGM), an toàn trước tấn
công không sử dụng thông điệp (NMA) trong mô hình bộ tiên tri ngẫu
nhiên (ROM) và lược đồ đề xuất khắc phục được lỗi “chữ ký kép” của
ECDSA. Liên quan đến an toàn cho khóa bí mật, Luận án đề xuất tiêu
chuẩn an toàn cho khóa bí mật dài hạn d và khóa bí mật tức thì k của lược
đồ chữ ký số ECDSA. Các kết quả nghiên cứu của Chương này liên quan
đến các công trình công bố số [1], [6], [7] của Nghiên cứu sinh.
2.1. Đề xuất một lược đồ chữ ký số nâng cao độ an toàn cho CA
2.1.1. Một số khái niệm an toàn của lược đồ chữ ký số
a) Mô hình nhóm tổng quát GGM
b) Mô hình bộ tiên tri ngẫu nhiên ROM
c) Tấn công không sử dụng thông điệp NMA
d) Tấn công lựa chọn thông điệp thích nghi CMA
2.1.2. Mô hình chữ ký số dựa trên bài toán logarit rời rạc (DLP)

Một lược đồ chữ ký tổng quát dựa trên bài toán logarit rời rạc được
xây dựng dựa trên các thành phần sau:
 Một nhóm rời rạc 〈𝐺〉 cấp 𝑞 mà ở đó việc tính logarit rời rạc là
khó.
 Tập các khóa bí mật có thể tồn tại là 𝒱 ⊂ ℤ𝑞 . Nếu khóa bí mật của
người ký là 𝑣 ∈ 𝒱, khóa công khai tương ứng là phần tử 𝑉 = 𝐺 𝑣 . Phụ
thuộc vào kiểu chữ ký số, ta có thể cần 𝒱 = ℤ𝑞 hoặc 𝒱 = ℤ𝑞× . Tất cả các
nhóm sẽ được coi là các nhóm nhân, ngay cả trong trường hợp của các
đường cong Elliptic.


8
 Một phép chiếu: là một ánh xạ 𝜌: 〈𝐺〉 → ℛ.
 Một hàm băm, là một hàm 𝐻: ℳ × ℛ → ℋ mà ở đó ℳ là tập tất
cả các thông điệp có thể tồn tại.
 Một kiểu chữ ký số mà xác định các công thức tường minh cho
quá trình thực hiện chữ ký và quá trình xác minh. Kiểu chữ ký số định
nghĩa các hàm sau đây: Hàm 𝜙 và 𝜓 : ℋ × ℛ × 𝑆 → ℤ𝑞 ; hàm 𝜎 : ℐ → 𝑆,
×
trong đó ℐ ⊂ ℋ × ℛ × 𝒱 × 𝒦 với 𝑆 = ℤ𝑞 hoặc ℤ×
𝑞 và 𝒦 = ℤ𝑞 hoặc ℤ𝑞 .

Lược đồ chữ ký số thực hiện như sau:
 Quá trình ký: Để ký thông điệp m người ta lấy một giá trị 𝑘 ngẫu
nhiên thuộc 𝒦, tính 𝑅 = 𝐺 𝑘 , 𝑟 = 𝜌(𝑅), ℎ = 𝐻(𝑚, 𝑟) đến khi
(ℎ, 𝑟, 𝑣, 𝑘) ∈ ℐ và 𝑠 = 𝜎(ℎ, 𝑟, 𝑣, 𝑘). Thông điệp được ký là (𝑚, 𝑟, 𝑠).
 Quá trình xác minh chữ ký: Việc xác minh (𝑚, 𝑟, 𝑠) ∈ ℳ × ℛ ×
S bằng việc tính toán ℎ = 𝐻(𝑚, 𝑟), 𝛼 = 𝜙(ℎ, 𝑟, 𝑠), 𝛽 = 𝜓(ℎ, 𝑟, 𝑠), 𝑅 =
?


𝐺 𝛼 𝑉𝛽 và kiểm tra nếu 𝑅 ∈ 𝐺 𝒦 và nếu 𝑟 = 𝜌(𝑅).
2.1.3. Hàm băm của một lược đồ chữ ký số
Đối với lược đồ chữ ký số, hàm băm 𝐻: ℳ × ℛ → ℋ phải là dễ tính
toán, kháng va chạm, có đầu ra ngẫu nhiên đều với 𝑚 ∈𝑅 ℳ. Khác với
hàm băm thông thường, hàm băm của một lược đồ chữ ký số còn có một
số tính chất sau.
Định nghĩa 2.1: Hàm băm loại I của lược đồ chữ ký số.
Hàm băm 𝐻 của một lược đồ chữ ký số được gọi là Loại I nếu ∀ 𝑚 ∈
ℳ; 𝑟, 𝑟 ′ ∈ ℛ: 𝐻(𝑚, 𝑟) = 𝐻(𝑚, 𝑟 ′ ).
Định nghĩa 2.2: Hàm băm loại II của lược đồ chữ ký số.
Hàm băm 𝐻 của một lược đồ chữ ký số được gọi là Loại II nếu nó
không phải là hàm băm loại I.
Định nghĩa 2.3: Kháng va chạm cộng.
Hàm băm 𝐻 của một lược đồ chữ ký với ℋ ⊂ ℤ𝑞 và ℛ ⊂ ℤ𝑞 được


9
gọi là kháng va chạm cộng nếu cho trước 𝑟, 𝑟 ′ ngẫu nhiên thì khó để tìm
được 𝑚, 𝑚′ sao cho 𝐻(𝑚, 𝑟) + 𝑟 = 𝐻(𝑚′ , 𝑟 ′ ) + 𝑟 ′ .
Định nghĩa 2.4: Kháng va chạm chia.
Hàm băm 𝐻 của một lược đồ chữ ký với ℋ ⊂ ℤ𝑞 và ℛ ⊂ ℤ×
𝑞 được
gọi là kháng va chạm chia nếu cho trước 𝑟, 𝑟 ′ ngẫu nhiên thì khó để tìm
được 𝑚, 𝑚′ sao cho 𝐻(𝑚, 𝑟)/𝑟 = 𝐻(𝑚′ , 𝑟 ′ )/𝑟 ′ .
Định nghĩa 2.5: Hàm băm như một bộ tiên tri ngẫu nhiên.
Hàm băm H của một lược đồ chữ ký được coi như một bộ tiên tri
ngẫu nhiên nếu hiểu biết về cặp đầu vào - đầu ra không làm hạn chế đáng
kể không gian ảnh có thể có cho một đầu vào khác.
2.1.4. Phép chiếu của lược đồ chữ ký số
Phép chiếu 𝜌: 〈𝐺〉 → ℛ phải là dễ tính toán bởi người ký, và người

?

xác minh sẽ có khả năng để kiểm tra 𝑟 = 𝜌(𝑅) với 𝑅 ∈ 〈𝐺〉 và 𝑟 ∈ ℛ.
Nếu các phần tử của 〈𝐺〉 là không phân biệt được với các phần tử của một
tập lớn hơn, thì 𝜌 được định nghĩa trên toàn bộ tập lớn hơn đó. Phép chiếu
có thể có một số tính chất sau đây.
Định nghĩa 2.6: 𝜀 −hầu đều.
Ánh xạ 𝜌 được gọi là 𝜀 −hầu đều nếu ∀𝑟 ∈ ℛ : | 𝑃𝑟 [𝜌(𝑅) = 𝑟] −
𝑅∈〈𝐺〉

1
|
𝑞

≤ 𝜀, với 𝑞 là số phần tử của 〈𝐺〉. Khi 𝜀 là đại lượng không đáng kể

theo 𝑙𝑜𝑔( 𝑞) thì 𝜌 được gọi là hầu đều. Nói cách khác, hàm 𝜌 là hầu đều
nếu xác suất phân bố của từng phần tử thuộc tập đầu ra là lệch không
đáng kể so với phân bố đều.
Định nghĩa 2.7: 𝜀 −hầu khả nghịch.
Ánh xạ 𝜌 là 𝜀 −hầu khả nghịch nếu tồn tại một thuật toán hiệu quả
để tính hàm ngược 𝜌−1 : ℛ → 〈𝐺〉 sao cho:
- ∀𝑅 ∈ 𝜌−1 (𝑟): 𝜌(𝑅) = 𝑟
- Ít nhất một tỷ lệ 𝜀 của các tập 𝜌−1 (𝑟) là khác rỗng.
- Các phần tử được lấy ngẫu nhiên từ các tập 𝜌−1 (𝑟) là không


10
phân biệt được với các phân tử được lấy ngẫu nhiên từ 〈𝐺〉.
Định nghĩa 2.8: 𝑙 + 1 −kháng va chạm.

Phép chiếu 𝜌 là 𝑙 + 1 - kháng va chạm nếu với 𝑙 ≥ 1 thì việc tìm
𝑅0 , … , 𝑅𝑙 sao cho 𝜌(𝑅0 ) = 𝜌(𝑅1 ) = ⋯ = 𝜌(𝑅𝑙 ) là khó.
Định nghĩa 2.9: phép chiếu như là một bộ tiên tri ngẫu nhiên.
Phép chiếu 𝜌 là phù hợp như một bộ tiên tri ngẫu nhiên nếu hiểu biết
về các cặp đầu vào-đầu ra không hạn chế đáng kể không gian ảnh có thể
có cho một đầu vào khác. Một hàm hầu khả nghịch có thể là phù hợp như
một bộ tiên tri ngẫu nhiên.
2.1.5. Một số tính chất và các kiểu chữ ký số
Một kiểu chữ ký số được mô tả bởi các tập 𝒱 ⊂ ℤ𝑞 , 𝑆 ⊂ ℤ𝑞 và ℛ,
với hai hàm 𝜙, 𝜓 : ℋ × ℛ × 𝑆 → ℤ𝑞 và một tập ℐ ⊂ ℋ × ℛ × 𝒱 × 𝒦.
Tuy nhiên, có thể sử dụng bổ sung thêm một số hàm khác như sau:
Các hàm bổ sung: Gọi 𝒜 là tập các đầu ra có thể có đối với 𝜙 và ℬ
là tập các đầu ra có thể có đối với 𝜓.
Năm hàm bổ sung có thể được định nghĩa như sau:


𝜎: ℐ → 𝑆



𝜆ℎ : 𝒜 × ℬ × ℛ → ℋ



𝜆𝑠 : 𝒜 × ℬ × ℛ → 𝑆



𝜆𝑟 : 𝒜 × ℬ × ℋ → ℛ




𝜇ℎ : 𝑆 × ℛ × 𝒱 × 𝒦 → ℋ

Đối với mỗi kiểu chữ ký số, luôn tồn tại một thuật toán hiệu quả để
tính toán kết quả của các hàm (𝜙, 𝜓, 𝜎, 𝜆ℎ , 𝜆𝑟 , 𝜇ℎ ).
Các tính chất cơ bản của một kiểu lược đồ chữ ký số:
Tính chất (m1): Với tất cả các bộ (ℎ, 𝑟, 𝑣, 𝑘) ∈ ℐ, giá trị 𝑠 =
𝜎(ℎ, 𝑟, 𝑣, 𝑘) thỏa mãn điều kiện: nếu 𝛼 = 𝜙(ℎ, 𝑟, 𝑠) và 𝛽 = 𝜓(ℎ, 𝑟, 𝑠) thì


11
𝑘 = 𝛼 + 𝑣 ⋅ 𝛽.
Tính chất (m2): Với tất cả 𝑣 ∈ 𝒱 và ℎ ∈ ℋ:

𝑃𝑟 [(ℎ, 𝑟, 𝑣) ∈

𝑟∈ℛ,𝑘∈𝒦

ℐ] ≥ 𝜀𝑚 .
Tính chất (o1): Với tất cả (ℎ, 𝑟, 𝑠) ∈ ℋ × ℛ × 𝑆: Phương trình
𝜆ℎ (𝜙(ℎ, 𝑟, 𝑠), 𝜓(ℎ, 𝑟, 𝑠), 𝑟) = ℎ là đúng.
Tính chất (o2): Với tất cả (ℎ, 𝑟, 𝑠) ∈ ℋ × ℛ × 𝑆: Phương trình
𝜆𝑠 (𝜙(ℎ, 𝑟, 𝑠), 𝜓(ℎ, 𝑟, 𝑠), 𝑟) = 𝑠 là đúng.
Tính chất (o3): Hàm 𝑠 → 𝜇ℎ (𝑠, 𝑟, 𝑣, 𝑘) là nghịch đảo của ℎ →
𝜎(ℎ, 𝑟, 𝑣, 𝑘).
Các tính chất bổ sung cho độ an toàn với hàm lý tưởng 𝝆:
Tính chất (p1): Với (ℎ, 𝑟, 𝑣) cố định và 𝑘 đều sao cho:
(ℎ, 𝑟, 𝑣, 𝑘) ∈ ℐ, giá trị 𝜎(ℎ, 𝑟, 𝑣, 𝑘) là đều trong 𝑆.
Tính chất (p2): Với ℎ ∈ ℋ và 𝑣 ∈ 𝒱 cố định và giá trị ngẫu nhiên

đều 𝑠 ∈ 𝑆 và 𝑟 ∈ ℛ thì 𝑘 = 𝜙(ℎ, 𝑟, 𝑠) + 𝑣 ⋅ 𝜓(ℎ, 𝑟, 𝑠) là ngẫu nhiên đều
trong 𝒦.
Tính chất (p3): Cho trước 𝑟 và 𝑟 ′ ngẫu nhiên, việc tìm (𝛼, 𝛽) và các
thông điệp 𝑚 và 𝑚′ nào đó sao cho : 𝜆ℎ (𝛼, 𝛽, 𝑟) = 𝐻(𝑚, 𝑟) và
𝜆ℎ (𝛼, 𝛽, 𝑟 ′ ) = 𝐻(𝑚′ , 𝑟 ′ ) là khó.
Các tính chất bổ sung cho độ an toàn với hàm lý tưởng 𝑯:
Tính chất (h1): Nếu ℎ = 𝜆ℎ (𝛼, 𝛽, 𝑟) và 𝑠 = 𝜆𝑠 (𝛼, 𝛽, 𝑟) thì 𝛼 =
𝜙(ℎ, 𝑟, 𝑠) và 𝛽 = 𝜓(ℎ, 𝑟, 𝑠).
Tính chất (h2):
𝑃𝑟

𝛼∈𝒜,𝛽∈ℬ

[𝜆ℎ (𝛼, 𝛽, 𝜌(𝐺 𝛼 𝑉𝛽 )) ∈ ℋ 𝑣à𝜆𝑠 (𝛼, 𝛽, 𝜌(𝐺 𝛼 𝑉𝛽 )) ∈ 𝑆] ≥

𝜀ℎ .
Các tính chất cho độ an toàn với nhóm lý tưởng 〈𝐆〉:
Tính chất (g1): Với tất cả các bộ(ℎ, 𝑟, 𝑠) phương trình


12
𝜆𝑟 (𝜙(ℎ, 𝑟, 𝑠), 𝜓(ℎ, 𝑟, 𝑠), ℎ) = 𝑟 đúng.
Tính chất (g2): Với tất cả các bộ(ℎ, ℎ′ , 𝑟, 𝑠), nếu
𝜆𝑟 (𝜙(ℎ, 𝑟, 𝑠), 𝜓(ℎ, 𝑟, 𝑠), ℎ′ ) = 𝑟 thì ℎ′ = ℎ.
Các tính chất (m1), (m2), (o1), (o2), (o3), (p1), (p2), (h1) và (h2)
đúng đối với kiểu chữ ký số điển hình sau đây.
Kiểu chữ ký số ElGamal nghịch:
Gọi ℋ ⊂ ℤ𝑞 , ℛ = 𝒱 = 𝒦 = 𝑆 = ℬ = ℤ𝑞× và 𝒜 = ℤ𝑞 . Bởi vì ℐ =
{(ℎ, 𝑟, 𝑣, 𝑘)|ℎ + 𝑣 ⋅ 𝑟 ∈ ℤ×
𝑞 }, tính chất (p2) có thể sai với xác suất không

đáng kể. Tính chất (p3) là tương đương với sự kháng va chạm chia của
×
𝐻. Tính chất (g1) và (g2) đúng với hạn chế là ℋ ⊂ ℤ×
𝑞 và 𝒜 = ℤ𝑞 . Tính
chất (m2) và (h2) đúng với 𝜀𝑚 =

𝜑(𝑞)
𝑞

và 𝜀ℎ =

|ℋ|
𝑞

. Các hàm được xác

định như sau :
  h, r , s   h  s;   h, r , s   r  s;   h, r , v, k   k / (h  v  r )

1
 h  s, r , v, k   k / s  v  r ; h  ,  , r       r

1
1
s  ,  , r   r   ; r  ,  , r       h
2.1.6. Một số biến thể của lược đồ chữ ký số ECDSA
Các biến thể của lược đồ ECDSA là lược đồ ECDSA-II và ECDSAIII được đề xuất bởi tác giả N.P. Smart (năm 2002) và đã được chứng
minh là an toàn trong mô hình bộ tiên tri ngẫu nhiên ROM.
a) Lược đồ ECDSA-II
Điểm khác biệt duy nhất của lược đồ này so với ECDSA là việc sử

dụng hàm băm loại II thay vì sử dụng hàm băm loại I như ECDSA (tính
ℎ = 𝐻(𝑀‖𝑟).
Lược đồ này đã được chứng minh an toàn trong mô hình bộ tiên tri
ngẫu nhiên.
b) Lược đồ ECDSA-III
Điểm khác biệt duy nhất của lược đồ này so với ECDSA-II là việc
sử dụng phép chiếu ECaddq thay vì phép chiếu ECxq như ECDSA và


13
ECDSA-II (tính 𝑟 = 𝜌(𝑅) = 𝑥𝑅 + 𝑦𝑅 𝑚𝑜𝑑 𝑛, và ℎ = 𝐻(𝑀‖𝑟)). Lược đồ
này cũng được chứng minh an toàn trong mô hình bộ tiên tri ngẫu nhiên.
2.1.7. Đề xuất một lược đồ chữ ký số dựa trên ECDSA
Luận án đề xuất lược đồ ECDSA-IV được định nghĩa trên một nhóm
con cấp nguyên tố của nhóm các điểm đường cong Elliptic với kiểu chữ
ký số ElGamal nghịch sử dụng phép chiếu ECaddq và hàm băm loại II.
Việc sinh tham số miền (p, a, b, G, n, h) của lược đồ đề xuất ECDSA-IV
là tương tự như của ECDSA.
Thuật toán sinh khóa ECDSA-IV:
(1). Chọn ngẫu nhiên một số nguyên d thuộc khoảng [1, n − 1].
(2). Tính 𝑄 = 𝑑𝐺.
(3). Khóa bí mật của người gửi là 𝑑.
(4). Khóa công khai là bộ tham số(𝑝, 𝑎, 𝑏, 𝐺, 𝑛, ℎ, 𝑄).
Thuật toán ký của ECDSA-IV:
(1). Chọn ngẫu nhiên một số nguyên 𝑘 thuộc khoảng [1, 𝑛 − 1].
(2). Tính 𝑘𝐺 = (𝑥, 𝑦).
(3). Tính 𝑟 = (𝑥 + 𝑦) 𝑚𝑜𝑑 𝑛, nếu 𝑟 = 0, quay về bước 1.
(4). Tính ℎ = 𝐻(𝑚, 𝑟), trong đó 𝐻 là hàm băm SHA-256.
(5). Tính 𝑠 = 𝑘(ℎ + 𝑑𝑟)−1 mod 𝑛 ; nếu 𝑠 = 0, thì quay về bước 1.
(6). Chữ ký đối với thông điệp 𝑀 là cặp số nguyên (𝑟, 𝑠)

Thuật toán xác minh của ECDSA-IV:
(1). Xác minh rằng giá trị 𝑟 và 𝑠 thuộc khoảng [1, 𝑛 − 1].
(2). Tính ℎ = 𝐻(𝑀, 𝑟), trong đó 𝐻 là hàm băm SHA-256.
(3). Tính 𝑢1 = ℎ𝑠 mod 𝑛.
(4). Tính 𝑢2 = 𝑟𝑠 𝑚𝑜𝑑 𝑛.
(5). Tính 𝑢1 𝐺 + 𝑢2 𝑄 = (𝑥0 , 𝑦0 ).
(6). Tính 𝑣 = (𝑥0 + 𝑦0 ) 𝑚𝑜𝑑 𝑛.


14
(7). Chữ ký đối với thông điệp 𝑀 được xác minh là hợp lệ chỉ nếu 𝑣 = 𝑟.
2.1.8. Đánh giá về độ an toàn của lược đồ ECDSA-IV
a) Độ an toàn của lược đồ đề xuất trước tấn công lựa chọn thông
điệp thích nghi (CMA) trong mô hình nhóm tổng quát (GGM)
Khẳng định 2.1: Một lược đồ chữ ký dựa trên bài toán logarit rời
rạc là “không có giả mạo tồn tại dưới các tấn công CMA trong mô hình
GGM” nếu 𝐻 là đều và kháng va chạm, 𝜌 là hầu đều và hầu khả nghịch,
và thuộc một kiểu chữ ký số có tính chất (g1) và (g2). Phép suy dẫn độ an
toàn là chặt.
Mệnh đề 2.1: Lược đồ chữ ký số đề xuất ECDSA-IV là an toàn trước
tấn công CMA trong mô hình GGM.
Chứng minh: Để chứng mính lược đồ đề xuất ECDSA-IV là an toàn
trước tấn công lựa chọn thông điệp thích nghi (CMA) trong mô hình nhóm
tổng quát (GGM) như đã được chứng minh bởi tác giả Brown đối với lược
đồ ECDSA, Luận án đã chứng minh phép chiếu 𝜌(𝑅) = (𝑅𝑥 +
𝑅𝑦 ) 𝑚𝑜𝑑 𝑛 thỏa mãn các tính chất: “hầu đều”, “hầu khả nghịch”, và tính
chất (g1), (g2). Từ đó, Luận án đã chỉ ra rằng lược đồ đề xuất ECDSAIV thỏa mãn tất cả các yêu cầu trong Khẳng định 2.1. Do đó, thu được kết
quả: Lược đồ chữ ký số đề xuất ECDSA-IV là an toàn trước tấn công lựa
chọn thông điệp thích nghi (CMA) trong mô hình nhóm tổng quát
(GGM).■

b) Độ an toàn của lược đồ đề xuất trước tấn công không sử dụng
thông điệp (NMA) trong mô hình bộ tiên tri ngẫu nhiên(ROM)
Việc chứng minh độ an toàn của lược đồ đề xuất là tương tự với lược
đồ ECDSA-III bằng cách sử dụng Bổ đề forking cải tiến. Bổ đề này sử
dụng để chứng minh cho các lược đồ chữ ký kiểu ElGamal tin cậy
(Trusted ElGamal Type Signature Scheme- TEGTSS) và áp dụng cho


15
phiên bản đường cong Elliptic của TEGTSS là ECTEGTSS.■
Khẳng định 2.2: Lược đồ chữ ký số đề xuất ECDSA-IV là một kiểu
ECTEGTSS và tương đương với kiểu TEGTSS-II.
Mệnh đề 2.2: Giả sử tồn tại kẻ tấn công 𝒜 lên lược đồ ECDSA-IV
4

với xác suất thành công là 𝜖 > 𝑝 sử dụng 𝑄 truy vấn tới bộ tiên tri ngẫu
nhiên 𝐻, thì người ta có thể giải bài toán logarit rời rạc trong nhóm các
điểm của đường cong elliptic 𝐸(𝔽𝑝 ) bằng cách sử dụng ít hơn
(1+72𝑄 log 6)
𝜖

1

lần lặp của 𝒜 với xác suất lớn hơn 100.

Chứng minh: Tác giả N.P. Smart đã chứng minh TEGTSS-II là an
toàn trước tấn công không sử dụng thông điệp (NMA) trong mô hình bộ
tiên tri ngẫu nhiên (ROM) bằng cách sử dụng bổ đề forking cải tiến. Cũng
bằng cách tương tự, sử dụng bổ đề forking cải tiến, Luận án đã chứng
minh lược đồ đề xuất ECDSA-IV là một kiểu TEGTSS-II. Và do đó thu

được kết quả: lược đồ ECDSA-IV là an toàn trước tấn công không sử
dụng thông điệp (NMA) trong mô hình bộ tiên tri ngẫu nhiên (ROM).■
c) Lược đồ đề xuất ECDSA-IV khắc phục được lỗi chữ ký kép:
Dễ dàng thấy rằng lược đồ đề xuất ECDSA-IV khắc phục được lỗi
chữ ký kép vì phép chiếu của nó không có tính chất
𝜌(𝑄) = 𝜌(−𝑄).
2.2. Cập nhật tiêu chuẩn an toàn tham số cho khóa bí mật của
ECDSA
2.2.1. Giới thiệu
Luận án xem xét một vài tấn công chặt chẽ trên ECDSA sử dụng
phương pháp rút gọn lưới dựa trên phương trình:
𝑠 = 𝑘 −1 (ℎ(𝑚) + 𝑑𝑟) 𝑚𝑜𝑑 𝑛.


16
2.2.2. Tấn công ECDSA sử dụng một thông báo đã ký
Các tấn công được đưa ra và được phát biểu trong công trình công
bố của tác giả Dimitrios Poulakis (năm 2013, 2016) như sau:
Định lý 2.1. Giả sử có một thông báo đã được ký với khóa bí mật tức
thì k và tồn tại các số nguyên dương X, Y thỏa mãn:
3

𝑖) |𝑑| < 𝑋, |𝑘 −1 | < 𝑌 𝑣à 𝑋𝑌 2 < 𝑛/62
𝑖𝑖) |𝑘| < 𝑋, |𝑑−1 | < 𝑌 𝑣à 𝑋𝑌 2 < 𝑛/63/2
𝑖𝑖𝑖) |𝑘 −1 | < 𝑋, |𝑑−1 | < 𝑌 𝑣à 𝑋𝑌 < 𝑛1/2 /63/4
Khi đó tồn tại một thuật toán tất định để tìm khóa bí mật d.
2.2.3. Tấn công ECDSA sử dụng hai thông báo đã ký
Định lý 2.2. Giả sử có hai thông báo đã được ký với các khóa bí mật
tức thì k1, k2 và điều kiện sau đây đúng: Tồn tại các số nguyên dương X,
Y thỏa mãn điều kiện (i) hoặc (ii) hoặc (iii)

Khi đó tồn tại một thuật toán tất định để tìm d.
2.2.4. Đề xuất tiêu chuẩn an toàn cho khóa bí mật dài hạn và tức thì
của ECDSA
Mệnh đề 2.3: Nếu khóa bí mật dài hạn d và khóa bí mật tức thì k
được chọn thỏa mãn điều kiện:
3

{

|𝑑| > 3√𝑛, |𝑑−1 | > √𝑛
3

|𝑘| > 3√𝑛, |𝑘 −1 | > √𝑛

thì sẽ không tồn tại các số nguyên X>0, Y>0 thỏa mãn Định lý 2.1 và
Định lý 2.2.
Chứng minh: Thật vậy, giả sử với điều kiện của d và k như trong
tiêu chuẩn, tồn tại X>0, Y>0 thỏa mãn Định lý 2.1 (hoặc Định lý 2.2).
3

3

Khi đó ta có √𝑛 < 𝑋, √𝑛 < 𝑌 dẫn đến 𝑛 < 𝑋𝑌 2 < 𝑛/62/3 . Điều này là
vô lý.■


17
2.3. Kết luận Chương 2
Trên cơ sở các yêu cầu đảm bảo an toàn các thành phần mật mã mang
tính cấp bách đối với hệ thống PKI phục vụ các cơ quan Đảng, Nhà nước,

Quốc phòng, An ninh đặt ra ở Chương 1. Luận án giải quyết vấn đề nâng
cao độ an toàn cho lược đồ chữ ký số ECDSA bằng việc đề xuất lược đồ
chữ ký số mới ECDSA-IV nhằm khắc phục những hạn chế, tồn tại của
ECDSA và các biến thể của nó; đồng thời đề xuất tiêu chuẩn an toàn cho
khóa bí mật dài hạn và khóa bí mật tức thì sử dụng trong lược đồ chữ ký
số ECDSA. Tiêu chuẩn này cũng áp dụng cho lược đồ chữ ký số đề xuất
ECDSA-IV.
Các kết quả chính được trình bày trong Chương này bao gồm:
 Đề xuất một lược đồ chữ ký số ECDSA-IV. Chứng minh lược đồ
đề xuất là an toàn tương đương với ECDSA trong mô hình GGM trước
tấn công CMA (Mệnh đề 2.1) và chứng minh lược đồ đề xuất là an toàn
trước tấn công NMA trong mô hình ROM (Mệnh đề 2.2).
 Phân tích và đánh giá các tấn công lên khóa bí mật dài hạn d và
khóa bí mật tức thì k sử dụng trong lược đồ chữ ký số ECDSA, từ đó làm
cơ sở để đề xuất một tiêu chuẩn an toàn cho lược đồ ECDSA (Mệnh đề
2.3). Tiêu chuẩn này cũng áp dụng cho lược đồ chữ ký số đã đề xuất
ECDSA-IV.


18
CHƯƠNG 3. ĐỀ XUẤT MÔ HÌNH PKI VÀ CÁC THÀNH
PHẦN MẬT MÃ DỰA TRÊN MẬT MÃ ELLIPTIC

Nội dung chính của Chương này đề xuất mô hình PKI sử dụng
mật mã Elliptic (PKI-ECC), đề xuất các thành phần mật mã đảm bảo an
toàn cho hệ thống PKI-ECC; trong đó Luận án đề xuất sử dụng lược đồ
chữ ký số ECDSA-IV và áp dụng tiêu chuẩn an toàn cho khóa bí mật đã
được nghiên cứu ở Chương 2 và một số thành phần đảm bảo an ninh, an
toàn cho hệ thống PKI nhằm đảm bảo độ an toàn cao và tính sẵn sàng
hoạt động của hệ thống PKI.

Bên cạnh đó, Luận án đưa ra một số đánh giá thực nghiệm đối
với lược đồ chữ ký số đề xuất ECDSA-IV, cài đặt tiêu chuẩn an toàn cho
khóa bí mật dài hạn và tức thì, cài đặt phép nhân điểm an toàn sử dụng
trong thuật toán ECDSA nhằm chống lại tấn công phân tích năng lượng
đã biết.
Nội dung của Chương này liên quan đến các công trình công bố
số [2], [3], [4], [5] của Nghiên cứu sinh.
3.1. Mô hình hệ thống PKI tại Việt Nam
3.2. Đề xuất mô hình hạ tầng khóa công khai dựa trên mật mã
Elliptic
3.2.1. Cơ sở đề xuất
Trên cơ sở các nghiên cứu ở Chương 1 và Chương 2, Luận án đề
xuất mô hình PKI dựa trên mật mã Elliptic (PKI-ECC) phục vụ triển khai
cho các cơ quan Đảng, Nhà nước, Quốc phòng, An ninh. Mô hình đề xuất
đáp ứng các tiêu chí về sự phù hợp với tổ chức bộ máy của các cơ quan
Đảng, Nhà nước; đáp ứng yêu cầu cao về đảm bảo an ninh, an toàn hệ
thống và an toàn mật mã.


19
3.2.2. Đề xuất mô hình PKI-ECC tổng thể
Mô hình PKI-ECC phục vụ các cơ quan Đảng, Nhà nước, Quốc
phòng, An ninh là mô hình có kiến trúc phân cấp bao gồm: 01 hệ thống
CA gốc (Master RootCA), CA quản trị (Admin CA), các CA thực thi
chính sách (policy CA), các cấp dưới (SubCA).
3.2.3. Đề xuất các thành phần đảm bảo an toàn cho PKI-ECC
a) Đảm bảo các vấn đề an toàn về thuật toán mật mã
Luận án đề xuất các thành phần mật mã áp dụng cho hệ thống PKI
dựa trên mật mã Elliptic (PKI-ECC), bao gồm: thuật toán mã hóa khóa
công khai, mã hóa khóa bí mật, hàm băm, dẫn xuất khóa…Đối với thành

phần mật mã cốt lõi của hệ thống PKI-ECC, Luận án đề xuất sử dụng lược
đồ chữ ký số ECDSA-IV và tiêu chuẩn áp dụng cho khóa bí mật được
nghiên cứu ở Chương 2.
b) Đảm bảo các vấn đề an toàn về kỹ thuật mật mã
3.2.4. Đề xuất các thành phần khác
a) Hệ thống mạng CNTT
b) Hệ thống các thiết bị an ninh an toàn mạng
3.2.5. Các dịch vụ xác thực và bảo mật tổng thể sử dụng PKI-ECC
3.3. Đánh giá về mô hình PKI-ECC đã đề xuất
Mô hình đã đề xuất ở trên đáp ứng một số yêu cầu sau đây:
 Tăng cường được tính bảo mật của hệ thống thông qua việc sử
dụng thuật toán chữ ký số kiểu ECDSA-IV được đề xuất sử dụng cho CA
và các tiêu chuẩn an toàn đề xuất cho khóa bí mật dài hạn, khóa bí mật
tức thì của lược đồ chữ ký số ECDSA nhằm nâng cao độ an toàn của hệ
thống.
 Đáp ứng được yêu cầu bảo mật xác thực cho người dùng ở xa với
nhiều dịch vụ như web, mail, truyền tệp, ký số, bảo mật tài liệu.


20
 Hệ thống được phân chia thành các mô-đun với những chức năng
chuyên biệt giúp tăng cường an ninh an toàn cho hệ thống cũng như khả
năng xử lý đáp ứng các yêu cầu cao về hiệu năng sử dụng và độ sẵn sàng.
 Tuân thủ các nguyên tắc thiết kế của hệ thống mở: Như phân tích,
đánh giá ở Chương 1, mô hình này sẽ được áp dụng xuyên suốt trong quá
trình phát triển của hệ thống. Đây là một mô hình mở, mang tính chất kế
thừa và phát triển trong tương lai, phù hợp triển khai trên quy mô lớn.
 Tính sẵn sàng và tin cậy: Đảm bảo tính sẵn sàng và hiệu suất cao
cho các dịch vụ xác thực và bảo mật nhờ sử dụng các dịch vụ chứng thực
chữ ký số (OCSP, TSA).

 Tính mô-đun: Việc thiết kế trên cơ sở mô-đun hóa các thành phần
trong hệ thống nhằm đảm bảo việc phân tách một hệ thống phức tạp thành
các cấu phần nhỏ hơn, đáp ứng tính dễ dàng, thuận lợi trong vận hành,
quản lý và bảo trì cũng như khả năng cô lập các sự cố. Hơn nữa với việc
thiết kế theo từng phần hỗ trợ việc đầu tư theo từng mô-đun và từng giai
đoạn mà không hề ảnh hưởng tới toàn bộ hệ thống. Đối với việc quản trị
thì hệ thống hỗ trợ người quản trị khả năng quản trị tập trung, hỗ trợ một
cách nhanh chóng việc xác định, cô lập và khắc phục các sự cố.
3.4. Phép nhân điểm an toàn và một số kết quả cài đặt thực nghiệm
3.4.1. Một số phương pháp nhân điểm
3.4.2. Đề xuất sử dụng thuật toán kết hợp giữa phương pháp cửa sổ và
phương pháp luôn cộng và nhân đôi
Như đã phân tích ở Chương 1, phép nhân điểm là một thủ tục thường
xuyên phải sử dụng trong quá trình thực hiện thuật toán chữ ký số
ECDSA. Nếu sử dụng các phép nhân điểm thông thường thì khóa bí mật
có thể bị tìm ra bằng các tấn công trên kênh thứ cấp như phân tích năng
lượng chẳng hạn. Để chống lại các tấn công phân tích năng lượng trên


21
kênh thứ cấp, Luận án đề xuất thuật toán nhân điểm an toàn, trong đó ký
hiệu ECDBL(Q) là phép nhân đôi điểm Q.
Thuật toán này, tính trước dãy các điểm {1, 3, 5, ..., 2w1  1}P và các
điểm đối của chúng (điểm đối của P( x, y ) là  P( x,  y ) ), biểu diễn
wNAF của d là (di 1 , di  2 , ..., d 0 ) .
Đề xuất phương pháp cửa sổ kết hợp wNAF
Input: Biểu diễn wNAF của khóa bí mật d = (di 1 , di  2 , ..., d 0 ) ,
P  E(

p


)

Output: dP.
1. Q∞
2. Cho j = (i – 1) giảm đến 0 thực hiện:
2.1. Q ECDBL(Q).



2.2. Nếu (dj> 0) thì: Q  Q  d j P và Q 1  Q   d j P









Còn không thì: Q  Q   d j P và Q 1  Q  d j P
3. Trả về Q.



3.4.3. Cài đặt lược đồ chữ ký số ECDSA-IV đã đề xuất
Với thuật toán ECDSA-IV đã đề xuất trong chương 2, Luận án đã
cài đặt thuật toán này và so sánh kết quả thực hiện của quá trình ký/kiểm
tra chữ ký đối với ECDSA, ECDSA-II, ECDSA-III và GOST R 34.102012 của Nga. Kết quả cho thấy về mặt tổng thể thời gian thực hiện cho
quá trình ký/kiểm tra chữ ký là nhanh hơn so với các thuật toán còn lại do

thuật toán đề xuất ECDSA-IV chỉ sử dụng 1 phép nghịch đảo.
3.4.4. Cài đặt tiêu chuẩn an toàn cho khóa bí mật
Để đảm bảo an toàn cho khóa bí mật dài hạn và tức thì, ta cần áp
dụng tiêu chuẩn như đã được mô tả ở Chương 2. Thủ tục sinh khóa cho
lược đồ chữ ký số ECDSA như sau:


22
Sinh khóa bí mật ECDSA theo tiêu chuẩn đã đề xuất
Input: Bô ̣ tham số miề n (p, a, b, n, G)
Output: Cặp khóa bí mật công khai (priv_key, pub_key)
(1). Sinh ngẫu nhiên một số 𝑝𝑟𝑖𝑣_𝑘𝑒𝑦 ∈𝑅 (1, 𝑛 − 1).
3

(2). Kiểm tra tiêu chuẩn: 𝑛/2 < (𝑝𝑟𝑖𝑣_𝑘𝑒𝑦) < 𝑛 − √𝑛
3
𝑣à 𝑛/2 < (𝑝𝑟𝑖𝑣_𝑘𝑒𝑦)−1 < 𝑛 − √𝑛 . Nếu không thỏa mãn
quay về bước 1
(3). Tính điểm công khai 𝑝𝑢𝑏_𝑘𝑒𝑦 = 𝑝𝑟𝑖𝑣_𝑘𝑒𝑦. 𝐺
(4). Trả về cặp khóa bí mật-công khai là (priv_key, pub_key)
3.5. Kết luận Chương 3
Chương 3 đã đề xuất mô hình PKI-ECC phân cấp với những đặc
điểm ưu việt của mô hình này như được phân tích ở Chương 1. Đề xuất
mô hình cho các dịch vụ xác thực và bảo mật sử dụng hệ thống PKI-ECC.
Đề xuất các thành phần mật mã đảm bảo an toàn cho hệ thống trong đó
sử dụng lược đồ chữ ký số đề xuất ECDSA-IV, tiêu chuẩn an toàn đề xuất
cho khóa bí mật sử dụng trong ECDSA được nghiên cứu ở Chương 2.
Phân tích và đánh giá mô hình được đề xuất. Đưa ra các kết quả thực
nghiệm của việc cài đặt thuật toán chữ ký số ECDSA-IV; cài đặt tiêu
chuẩn an toàn cho khóa bí mật; cài đặt phép nhân điểm an toàn cho thuật

toán chữ ký số ECDSA nhằm chống lại các tấn công phân tích năng lượng
trên kênh thứ cấp.


23
KẾT LUẬN

Hạ tầng cơ sở khóa công khai PKI là hạ tầng an ninh, bảo mật trọng
yếu của mỗi một quốc gia nhằm đảm bảo an toàn cho các giao dịch điện
tử phục vụ ứng dụng CNTT và phát triển Chính phủ điện tử. Đảm bảo an
toàn cho hệ thống PKI luôn là vấn đề quan trọng. Đặc biệt, đối với hệ
thống PKI phục vụ các cơ quan Đảng, Nhà nước, Quốc phòng, An ninh
thì vấn đề đảm bảo an toàn lại là ưu tiên hàng đầu. Với mục tiêu như vậy,
Luận án đã có những đóng góp sau:
A. Các kết quả đạt được của luận án:
1) Nghiên cứu tổng quan về hệ thống PKI, tổng quan về mật mã
Elliptic. Phân tích các vấn đề đảm bảo an toàn cho hệ thống PKI, các vấn
đề an toàn cho lược đồ chữ ký số ECDSA và vấn đề đảm bảo an toàn cho
khóa bí mật sử dụng trong lược đồ chữ ký số ECDSA.
2) Đề xuất một lược đồ chữ ký số ECDSA-IV nâng cao độ an toàn
cho CA đồng thời giảm số phép tính nghịch đảo trong quá trình xác minh
chữ ký nhằm tăng tốc độ xử lý của thuật toán. Chứng minh ECDSA-IV
là an toàn trong mô hình nhóm tổng quát và bộ tiên tri ngẫu nhiên trước
tấn công không sử dụng thông điệp.
3) Phân tích và đánh giá các tấn công lên khóa bí mật tức thì và khóa
bí mật dài hạn sử dụng trong lược đồ chữ ký số ECDSA, từ đó làm cơ sở
để đề xuất một tiêu chuẩn an toàn cho các khóa bí mật dài hạn và tức thì
của lược đồ chữ ký số ECDSA.
4) Đề xuất mô hình tổng thể hệ thống PKI-ECC, giải pháp đảm bảo
an toàn cho PKI-ECC; cài đặt lược đồ chữ ký số ECDSA-IV và tiêu chuẩn

an toàn đã đề xuất trong Chương 2; đề xuất và cài đặt thuật toán nhân
điểm an toàn cho lược đồ chữ ký số ECDSA-IV.