Введение
Актуальность. В ряде приложений электронных трастовых услуг в качестве обязательных выдвигается требование о предоставлении электронной услуги анонимности (невозможности отслеживания). В качестве примера можно рассмотреть системы тайного электронного голосования, электронные деньги и т.д. Признанным механизмом предоставления услуги анонимности является использование механизма слепой подписи. Слепая подпись - это подпись, применяемая доверенной третьей стороной к ранее замаскированному сообщению.
Ряд криптографических систем, важных для практического применения, включают протокол слепой подписи в качестве неотъемлемой части. К ним относятся тайное электронное голосование и системы электронных денег. Суть слепой подписи заключается в том, что владелец секретного ключа должен иметь возможность подписать сообщение, представленное в зашифрованном виде. Необходимо, чтобы сторона, подготовившая сообщение (документ), была уверена, что подписавший его не прочитает.
Общие сведения
В криптографии слепая подпись, представленная Дэвидом Чаумом [1], представляет собой форму цифровой подписи, в которой содержимое сообщения замаскировано (ослеплено) перед его подписанием. Полученная слепая подпись может быть публично проверена по сравнению с исходным неслепым сообщением, как обычная цифровая подпись. Слепые подписи обычно используются в протоколах, связанных с конфиденциальностью, где подписывающее лицо и автор сообщения являются разными сторонами. Примеры включают криптографические системы выборов и схемы цифровых денег [1].
Часто используемая аналогия с криптографической слепой подписью - это физический акт заключения сообщения в специальный конверт с возможностью сквозной записи, который затем запечатывается и подписывается подписывающим агентом. Таким образом, подписывающий не просматривает содержимое сообщения, но третья сторона может позже проверить подпись и узнать, что подпись действительна в рамках ограничений базовой схемы подписи.
Слепые подписи также могут использоваться для обеспечения несвязанности, что не позволяет подписывающей стороне связать скрытое сообщение, которое она подписывает, с более поздней неслепой версией, которую она может потребовать для проверки. В этом случае перед проверкой ответ подписывающей стороны сначала "не ослепляется", чтобы подпись оставалась действительной для сообщения без ослепления. Это может быть полезно в схемах, где требуется анонимность.
Схемы слепой подписи могут быть реализованы с использованием ряда общих схем подписи с открытым ключом, например RSA и DSA. Чтобы выполнить такую подпись, сообщение сначала "ослепляют", обычно путем объединения его каким-либо образом со случайным "фактором ослепления". Скрытое сообщение передается подписывающей стороне, которая затем подписывает его с использованием стандартного алгоритма подписи. Результирующее сообщение вместе с маскирующим фактором может быть позже проверено с использованием открытого ключа подписывающей стороны [2]. В некоторых схемах слепой подписи, таких как RSA, можно даже удалить маскирующий фактор из подписи до ее проверки. В этих схемах окончательный результат (сообщение / подпись) схемы слепой подписи идентичен таковому для обычного протокола подписи.
Схемы слепой подписи находят широкое применение в приложениях, где важна конфиденциальность отправителя. Сюда входят различные схемы «цифровых денег» и протоколы голосования.
Например, целостность некоторой системы электронного голосования может потребовать, чтобы каждый бюллетень был сертифицирован избирательным органом, прежде чем он может быть принят для подсчета; это позволяет властям проверять учетные данные избирателя, чтобы убедиться, что ему разрешено голосовать, и что он не подает более одного бюллетеня. В то же время важно, чтобы этот орган не узнал о выборе избирателя. Несвязанная слепая подпись обеспечивает эту гарантию, поскольку орган не будет видеть содержимое бюллетеней, которые он подписывает, и не сможет связать слепые бюллетени, которые он подписывает, с незакрытыми избирательными бюллетенями, которые он получает для подсчета.
В результате исследования слепых подписей процветали, и были предложены доказуемо безопасные решения, основанные на хорошо установленных теоретических допущениях сложности в стандартной модели [2], в то время как некоторые из них были адаптированы для практического использования IBM. Однако схемы в стандартной модели требуют либо возведения в степень в группе RSA, либо билинейных пар, которые обычно значительно медленнее, чем, скажем, операции с эллиптической кривой. Таким образом, более эффективные решения, которые доказуемо безопасны в модели случайного чуда (RO) [3], по-прежнему имеют практическое значение. Некоторые из наиболее ранних предложенных схем [2] не имеют доказательств безопасности даже в модели RO; Фактически, защитные свойства слепой подписи Шнорра - важная открытая проблема. Более того, предложение Microsoft UProve основано на одной из недоказанных слепых подписей, а именно на подписи Brands. UProve в настоящее время является частью пилотного проекта NSTIC (Национальная стратегия надежной идентификации в киберпространстве), который будет широко использоваться в ситуации, которая потенциально может затронуть миллионы людей [1]. Поэтому свойства безопасности этих недоказанных, но важных слепых подписей - естественная тема для изучения. Вкратце, схема слепой подписи является безопасной, если она удовлетворяет двум ключевым свойствам: одно - больше неподделанности, что означает, что злоумышленник не может произвести больше подписей, чем было выдано; и слепота, что означает, что злоумышленник не может связать конкретную подпись с конкретным экземпляром подписи [3]. Схема слепой подписи Шнорра является наиболее эффективной из всех схем слепой подписи, предлагаемых в литературе, учитывая, что она может быть реализована с использованием эллиптических кривых без пар. Он построен на основе соответствующего протокола идентификации с помощью эвристики Fiat-Shamir и некоторых ослепляющих операций. Однако безопасность этой важной схемы - открытая проблема. Если схема идентификации Шнорра небезопасна (то есть после некоторого количества взаимодействий с доказывающим злоумышленник может выдать себя за него), то слепая подпись Шнорра не является еще одной неподдельной. Известно, что схема идентификации Шнорра не может быть доказана безопасностью в предположении дискретного логарифма с использованием редукций черного ящика в стандартной модели [2], поэтому, по крайней мере, кажется, что слепые подписи Шнорра требуют, чтобы мы предполагали безопасность Идентификация Шнорра (также изучалась Белларе и Паласио [1]). Возможно, разумным будет даже более сильное предположение. Можем ли мы доказать его безопасность при этом или более сильном предположении? Чтобы сделать этот вопрос более интересным, давайте сделаем его более общим. Давайте рассмотрим не только слепую подпись Шнорра, но и в целом слепые варианты всех схем подписи на основе Fiat-Shamir, построенных в соответствии с описанными выше принципами: подписывающая сторона действует как доказывающая сторона в протоколе идентификации. И давайте посмотрим, можно ли доказать их безопасность при любом разумном предположении (под разумным мы подразумеваем предположение, которое не является явно ложным), а не только конкретными.
Что делает нашу технику особенно интересной, так это то, что мы впервые вводим мета-редукцию (наш личный противник-заклятый враг), которая не требует сброса редукции B, как это обычно делается при использовании парадигмы мета-редукции [1]. Например, наш личный противник-заклятый враг может сбросить сокращение B, получить дополнительную подпись и вернуть эту подпись B как его подделку. Однако этот сброс усложняет задачу, поскольку эти два выполнения коррелируют. Наш метод, напротив, намного проще: личный противник-заклятый враг, pA, будет просто взаимодействовать с редукцией B так же, как и реальный противник (но с использованием сил, недоступных для состязательного алгоритма, таких как запоминание своего предыдущего состояния, если и когда сокращение сбрасывает его, и имея доступ к случайной ленте оракула редукции), не сбрасывая его в любое время. Когда B останавливается, если ему удалось нарушить предположение (что и должно быть с немаловажной вероятностью, иначе это не было бы допустимым снижением безопасности), pA тоже преуспел, но без предположения о существовании реального противника, который нарушает безопасность базовой схемы подписи.
Схемы слепой подписи
Схемы слепой подписи существуют для многих протоколов подписи с открытым ключом. Ниже приведены некоторые примеры. В каждом примере подписываемое сообщение содержится в значении m. m считается допустимым входом в функцию подписи. В качестве аналогии представьте, что у Алисы есть письмо, которое должно быть подписано авторитетным лицом (скажем, Бобом), но Алиса не хочет раскрывать содержание письма Бобу [3]. Она может поместить письмо в конверт, выложенный копировальной бумагой, и отправить его Бобу. Боб подпишет внешнюю сторону углеродного конверта, не открывая его, а затем отправит обратно Алисе. Затем Алиса может открыть его и найти письмо, подписанное Бобом, но Боб не видел его содержимого.
Более формально схема слепой подписи - это криптографический протокол, в котором участвуют две стороны: пользователь Алиса, которая хочет получить подписи в своих сообщениях, и подписывающий Боб, который владеет своим секретным ключом подписи. В конце протокола Алиса получает подпись на m, а Боб ничего не узнает о сообщении. Эту интуицию о том, что ничего не учишь, сложно описать математическими терминами. Обычный подход состоит в том, чтобы показать, что для каждой (состязательной) подписывающей стороны существует симулятор, который может выводить ту же информацию, что и подписывающая сторона. Это похоже на то, как нулевое разглашение определяется в системах доказательства с нулевым разглашением [4].
Одна из простейших схем слепой подписи основана на подписании RSA. Традиционная подпись RSA вычисляется путем возведения сообщения m до секретного показателя d по модулю общедоступного модуля N. В слепой версии используется случайное значение r, так что r относительно просто N (т.е. gcd (r, N) = 1) . r возводится в открытую экспоненту e по модулю N, а полученное значение используется в качестве маскирующего фактора. Автор сообщения вычисляет произведение сообщения и маскирующего фактора, т.е.
и отправляет полученное значение m' подписывающему органу. Поскольку - случайное значение, а отображение перестановка, следует, что тоже случайный. Это означает, что не допускает утечки информации о м. Затем подписывающий орган вычисляет слепую подпись как:
s' отправляется обратно автору сообщения, который затем может удалить маскирующий фактор, чтобы выявить s, действительную подпись RSA для m:
Это работает, потому что ключи RSA удовлетворяют уравнению
и поэтому
следовательно, s действительно является сигнатурой m.
Для связи EV было предложено несколько схем аутентификации [1]. В [4] была разработана схема под названием Lynx для передачи в реальном времени информации об электромобилях, такой как время начала поездки, состояние заряда и т.д. анонимно в коммунальную компанию. Токен генерируется EV, который он использует для создания секретных ключей, совместно используемых с утилитой, с использованием протокола Диффи-Хеллмана. Кроме того, Lynx использует схему частично слепой подписи для обеспечения анонимности пользователей. Схема также поощряет участие электромобилей путем предоставления анонимных квитанций о вознаграждении, созданных коммунальным предприятием.
Portune + предлагает схему аутентификации в системе динамической тарификации, основанной на криптографии с симметричным ключом. Схема позволяет электромобилям анонимно аутентифицироваться для CP, пока сохраняется конфиденциальность их местоположения. Поскольку электромобиль будет перемещаться по нескольким CP во время зарядки, выставление счетов реализовано таким образом, что общая сумма вычисляется только после завершения сеанса начисления платы. Кроме того, CP требуются для пересылки учетных данных аутентификации последующим CP, поэтому EV не нужно часто аутентифицироваться. Однако процесс распределения ключей неэффективен, поскольку утилите необходимо пересылать все псевдонимы и соответствующие ключи всем CP. CP также должны иметь большое пространство для хранения этих данных, что приводит к значительным накладным расходам на хранение и связь.
В [2] предлагается схема быстрой аутентификации для оплаты электромобилей. Схема использует подход Just Fast Keying [3] для инициирования сеанса начисления платы с каждым RSU, который служит посредником между EV и коммунальным предприятием. Чтобы обеспечить быстрый ответ и устранить необходимость частой аутентификации EV при перемещении между RSU, учетные данные EV пересылаются от одного RSU к другому. Однако эта схема подвержена атакам с повторением, не учитывает конфиденциальность электромобилей, а также не учитывает оплату.
Схема аутентификации была предложена в [1] для ускорения аутентификации между EV и CP. Схема состоит из двух основных частей: прямой и косвенной аутентификации. При прямой аутентификации EV и CP аутентифицируются друг с другом напрямую. После этого CP пересылает запрос аутентификации утилите для аутентификации драйверов. Шифрование Elgamal по эллиптической кривой используется для хранения криптографических ключей в списке отзыва. У электромобилей есть свои учетные данные, хранящиеся в модуле защиты от несанкционированного доступа, и они активируются для использования зарегистрированным органом управления двигателями (MA). Эти ключи обновляются через определенные промежутки времени одним и тем же органом. Для отзыва ключей ряд зарегистрированных органов аннулирования должны сотрудничать, используя учетные данные от MA для идентификации EV, связанного с ключом. Большое количество CP и частота обмена данными с коммунальной службой могут привести к возникновению узких мест связи в CSP.
Заключение
Метод слепой ЭС обеспечивает подтверждение истинности документов без раскрытия их авторства и может быть реализован с помощью ЭС 08А.
В случае данной слепой ЭП к критериям проверки безопасности механизма ЭП добавляется критерий анонимности. При его использовании доказано, что невозможно определить автора документа подписавшему, если он использует все известные ему параметры, которые использовались при установке подписи.
При проверке механизма слепой цифровой подписи по критерию анонимности необходимо выяснить, может ли подписавший рассчитать подпись в немаскированном виде, используя базу данных промежуточных значений, которую он создает при размещении подписи.
Было показано, что механизм слепой подписи, основанный на WHEEL 14888-3: 2014 (EU BBA), устойчив к критерию анонимности. Исследования также показали, что отношения между параметрами маскирования должны быть выбраны таким образом, чтобы, используя их, подписывающая сторона не могла определить автора документа.
Основным преимуществом предложенного метода слепой ЭП по сравнению с существующими является то, что действия подписывающего и проверяющего такие же, как описано в соответствующем стандарте для регулярной подписи и проверки в группе точек ЭК. Единственное отличие состоит в том, что подписывающая сторона получает хеш-значение, а не вычисляет его самостоятельно. Шаги, позволяющие отличить слепую подпись от обычной подписи, выполняет эмитент. Этот метод делает реализацию функциональных возможностей слепого ЭП в существующих информационных и телекоммуникационных системах такой, что почти не требуется дополнительных усилий. Необходимо только реализовать протокол для эмитента, а подписывающий и проверяющий могут использовать уже существующие средства создания и проверки цифровой подписи.
Список использованной литературы
1. Бабаш, А.В. Информационная безопасность. Лабораторный практикум: Учебное пособие / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. — М.: КноРус, 2016.
2. Гафнер, В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. — Рн/Д: Феникс, 2017.
3. Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. — Ст. Оскол
4. Ефимова, Л.Л. Информационная безопасность детей. Российский и зарубежный опыт: Монография / Л.Л. Ефимова, С.А. Кочерга. — М.: ЮНИТИ-ДАНА, 2016.
pohjalainen
Астрологи объявили неделю, количество рефератов на хабре удвоилось?
Извините, но это абсолютно несвязный текст, состоящий из скопированных откуда попало подстрочников. Полный ахтунг с терминологией. Вот почему у вас кривые без пары?
Неплохо бы сверить источники, например, [4].
Отдельно прошу пояснительную бригаду вот для этого: "мы впервые вводим мета-редукцию (наш личный противник-заклятый враг), которая не требует сброса редукции B, как это обычно делается при использовании парадигмы мета-редукции"
Короче, приходите на пересдачу.