Tweemaal ondertekenen: het beperken van de gevolgen van hergebruik van de status bij statusafhankelijke handtekeningen

Tweemaal ondertekenen: het beperken van de gevolgen van hergebruik van de status bij statusafhankelijke handtekeningen – omslag

Door Niels Duif en Daan S. Meijer

Stateful, op hashfuncties gebaseerde ondertekeningsschema’s zoals LMS en XMSS zijn algemeen aanvaarde post-kwantumstandaarden, maar ze hebben een bekende zwakte gemeen: als een ondertekeningssleutel ooit per ongeluk wordt hergebruikt – zelfs maar één keer – kan dit in de praktijk leiden tot vervalsing. In de praktijk, met back-ups, caching en systeemcrashes, is dat soort onbedoeld hergebruik nooit helemaal uitgesloten.

In dit artikel presenteren Sentyron Niels Duif en Daan Meijer een manier om de schade aanzienlijk te beperken wanneer hergebruik toch plaatsvindt. Hun methode, ‘checksum pinning’ genaamd, zorgt ervoor dat de ondertekenaar een deel van het ondertekeningsproces herhaalt totdat de resulterende checksum een specifieke streefwaarde bereikt. Hierdoor lijken twee handtekeningen die met dezelfde hergebruikte sleutel zijn aangemaakt veel meer op elkaar, waardoor het grootste deel van de kwetsbaarheid die een aanvaller normaal gesproken zou uitbuiten, wordt gedicht. Deze aanpak vereist geen aanpassingen voor degenen die een handtekening verifiëren en werkt met bestaande LMS- en XMSS-implementaties.

De resultaten zijn aanzienlijk. Zonder deze maatregel kan één enkel hergebruik van een sleutel de beveiliging terugbrengen tot ongeveer 60 bits, wat gevaarlijk laag is. Met checksum-pinning tonen de onderzoekers aan dat in 99 procent van de gevallen waarin een sleutel wordt hergebruikt, een beveiligingsniveau van 80 bits kan worden gehandhaafd, ten koste van ongeveer 1,4 miljoen extra hashbewerkingen tijdens het ondertekenen.

De onderzoekers benadrukken dat dit geen vrijbrief is om onvoorzichtig te zijn. Het vermijden van hergebruik van sleutels blijft essentieel. Deze methode is bedoeld als een extra vangnet, niet als vervanging, voor het geval er ondanks alle voorzorgsmaatregelen toch iets misgaat.

Dit onderzoek werd in mei 2026 gepresenteerd op de Internationale conferentie over militaire communicatie- en informatiesystemen (ICMCIS) in Bath, Verenigd Koninkrijk.

Lees hier het volledige artikel, inclusief alle figuren en de volledige technische afleiding.