Vak aláírás

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2021. szeptember 14-én felülvizsgált verziótól ; az ellenőrzések 3 szerkesztést igényelnek .

A vak aláírás ( angol blind signature ) a digitális aláírás egyik fajtája , amelynek sajátossága, hogy az aláíró fél nem ismerheti pontosan az aláírt dokumentum tartalmát. A vak aláírás koncepcióját David Chaum [1] találta ki 1982-ben, ő javasolta az első megvalósítást az RSA algoritmuson keresztül . A vak aláírási rendszer biztonsága a nagy összetett számok faktorálásának nehézségén alapult . Azóta számos más rendszert javasoltak [2] [3] .

Leírás

A vak aláírások alapötlete a következő:

A feladó titkosítja a dokumentumot, és elküldi B félnek.
B fél, mivel nem látja a dokumentum tartalmát, aláírja és visszaküldi A félnek.
Az A fél eltávolítja a titkosítását, és csak B fél aláírását hagyja a dokumentumon.

A protokoll végén B fél semmit sem tud a t üzenetről, sem az üzenet alatti aláírásról.

Ez a séma összehasonlítható egy borítékkal, amelybe egy dokumentumot és egy másolati lapot helyeznek. Ha aláírja a borítékot, az aláírás rányomódik a dokumentumra, és a boríték felbontásakor a dokumentum már aláírásra kerül.

A vak aláírás célja annak megakadályozása, hogy B aláíró lássa A üzenetét, amelyet aláír, és az üzenet alatti megfelelő aláírást. Ezért az aláírt üzenet nem társítható tovább az A féllel.

A biztonságos vak aláírási sémának 3 tulajdonságnak kell megfelelnie, nevezetesen:

Nulla tudás . Ez a tulajdonság segít a felhasználónak aláírást szerezni egy adott üzeneten anélkül, hogy magát az üzenetet kitenné az aláírónak.
Nyomon követhetőség . Az aláíró nem tudja nyomon követni az aláírás-üzenet párost, miután a felhasználó nyilvánossá tette az aláírást az üzenetén.
Lehetetlenség . Csak az aláíró generálhat érvényes aláírást. Ez a tulajdonság a legfontosabb, és minden aláírási séma esetében teljesülnie kell.

A zéró tudás és a nyomonkövethetetlenség tulajdonságai miatt a vak aláírási séma széles körben alkalmazható olyan alkalmazásokban, ahol titoktartásra van szükség, például az elektronikus szavazórendszerekben [4] [5] [6] [7] .

Vak aláírási algoritmusok

Teljesen vak aláírás

A helyzetre való tekintettel: Bob közjegyző . Alice-nek szüksége van rá, hogy aláírja a dokumentumot anélkül, hogy fogalma lenne a tartalmáról. Bob csak azt igazolja, hogy a dokumentum a megadott időpontban közjegyzői hitelesítésre került. Ezután a következő algoritmus szerint járnak el:

Ebben a sémában Alice azt akarja, hogy Bob vakon aláírja az üzenetet . Ezért: $m$

Alice a funkcióval titkosítja az üzenetet , és megkapja a titkosított üzenetet . $m$ $f$ $c=f(m)$
Alice titkosított üzenetet küld Bobnak.
Bob vakon (mert nem tudja, mi van benne) aláírja az üzenetet a , Receive funkcióval . $c$ $g$ $c^{{'}}=g(c)=g(f(m))$
Bob visszaküldi Alice-nek. $c^{{'}}$
Alice megkapja és eltávolítja a titkosítását, így megkapja: . $c^{{'}}$ $c^{{''}}=g(f(m))*f^{{-1}}=g(m)$

Ez a protokoll csak akkor működik, ha az aláírási és titkosítási funkciók kommutatívak .

Vak aláírás

Bob n dokumentumot készít, amelyek mindegyike tartalmaz valamilyen egyedi szót (minél több n, annál kisebb az esélye, hogy Bob csaljon).
Bob minden dokumentumot egyedi maszkolási tényezővel lát el, és elküldi Alice-nek.
Alice megkapja az összes dokumentumot, és véletlenszerűen kiválaszt n-1 darabot.
Alice megkéri Bobot, hogy küldjön maszkolási tényezőket a kiválasztott dokumentumokhoz.
Bob csinálja.
Alice kinyit n-1 dokumentumot, és meggyőződik azok helyességéről.
Alice aláírja a fennmaradó dokumentumot, és elküldi Bobnak.
Bobnak most van egy dokumentuma, amelyet Alice írt alá egy egyedi szóval, amelyet Alice nem ismer.

RSA protokoll

A vak aláírások első implementációja Chaum volt az RSA kriptorendszer használatával:

Tegyük fel, hogy Bobnak kezdetben nyilvános kulcsa van , ahol a modulus és a kulcs nyilvános kitevője. $(p, e)$ $p$ $e$

Alice kiválaszt egy véletlenszerű maszkolási tényezőt , amely viszonylag prím a -hoz , és kiszámítja . $r$ $p$ $m^{{'}}\equiv mr^{{e}}{\bmod p}$
Alice egy nyitott csatornán keresztül küld Bobnak. $m^{{'}}$
Bob a privát kulcsával számol . $s^{{'}}\equiv (m^{{'}})^{{d}}{\bmod p}$ $(p, d)$
Bob visszaküldi Alice-nek. $s^{{'}}$
Alice eltávolítja eredeti álcáját, és megkapja az eredeti üzenetet, amelyet Bob aláírt a következőképpen: . $m$ $s\equiv s^{{'}}*r^{{-1}}{\bmod p}\equiv m^{{d}}{\bmod p}$

Chaum bonyolultabb vak aláírási algoritmusok egész családjával állt elő, amelyeket összefoglaló néven váratlan vak aláírásoknak neveznek . Sémáik még bonyolultabbak, de több lehetőséget adnak [1] .

Vak aláírás Schnorr EDS alapján

Alice úgy akarja aláírni Bob üzenetét , hogy egyrészt Bob az aláírás során ne ismerkedhessen meg az üzenettel, másrészt pedig, hogy Bob utólag az üzenet és a hozzá tartozó aláírás kézhezvételekor ne tudja azonosítsa a felhasználót, aki elindította a vak aláírási protokollt ehhez az üzenethez (Alice). Ezt a protokollt a következőképpen hajtják végre: $m$ $m$

Alice interakciót kezdeményez Bobbal.
Bob elküldi az értéket Alice-nek . $R=a^{k}\mod p$
Alice kiszámítja az értékeket (w és t véletlenszerű számok, amelyek nem haladják meg a -t ), majd elküldi az értéket Bobnak . $R^{{'}}=Ra^{{-w}}y^{{-t}}\mod y$ $y$ $E^{{'}}=H(m||R^{{'}})$ $E=E^{{'}}+t\mod y$ $E$
Bob kiszámít egy értéket , és elküldi Alice-nek. $S$ $R=a^{S}y^{{E}}\mod p$ $S$
Alice kiszámol egy aláírást , ahol és , amely hiteles az üzenet tekintetében [8] . $(E^{{'}},S^{{'}})$ $E^{{'}}=E^{{-t}}\mod y$ $S^{{'}}=Sw\mod y$ $m$

Bizonyíték

Az aláírás hitelességét a következőképpen igazoljuk. A és -ből következik . Ebben az esetben az anonimitás problémája megoldódott, mivel az ilyen hármasok Bob által alkotott halmazából bármely hármas összehasonlítható a dokumentum aláírásával . Valóban van: és , azaz. kiegyenlíthető véletlenszerű kifejezésválasztással , és az aláírást azonos valószínűséggel generáltuk az aláíró által alkotott hármashalmazban szereplő bármely hármasból. Azt is megjegyezzük, hogy Bobnak még arra sincs lehetősége, hogy bebizonyítsa, hogy a dokumentum aláírásának időpontjában nem ismerte azt. $R=a^{S}y^{{E}}\mod p$ $Ra^{{-w}}y^{{-t}}=a^{{Sw}}y^{{Et}}modp$ $R^{{'}}=a^{{S^{{'}}}}y^{{E^{{'}}}}\mod p$ $(R,S,E)$ $(E^{{'}},S^{{'}})$ $m$ $R=a^{S}y^{{E}}\mod p$ $R^{{'}}=a^{{S^{{'}}}}y^{{E^{{'}}}}\mod p$ $\Jobb nyíl$ $R^{{'}}/R\equiv a^{{S^{{'}}-S}}y^{{E^{{'}}-E}}\mod p\equiv a^{{ -w}}y^{{-t}}\mod p$ $w$ $t$ $(E^{{'}},S^{{'}})$ $m$

Vak aláírás a GOST R 34.10-94 alapján Opciók

p prím , 510 ≤ | p | ≤ 512 (vagy 1022 ≤ | p | ≤ 1024), ahol |p| a p szám bináris reprezentációjának kapacitása .

q p-1 nagy prímosztója, 255 ≤ | q | ≤ 256 (vagy 511 ≤ | q | ≤ 512)

α ≠ 1, α < p , mod p = 1. ${\displaystyle \alpha ^{q))$

Számítás

Véletlenszerű k , 1 < k < q generálása szükséges ;
R = ( mod p ) mod q az aláírás első része; ${\displaystyle \alpha ^{k))$
H = Hash(m) , ahol a hash a GOST R 34.11-94 szabványban leírt hash függvény , m az aláírandó üzenet;
S = kH + zR mod q , ahol z a privát kulcs .
Ha S=0, akkor ismételje meg az 1-4 műveleteket.

Ellenőrzés

0 < R < q vagy 0 < S < q. Ha a két feltétel közül legalább az egyik nem teljesül, akkor az aláírás érvénytelen. Másképp:
R' = ( mod p ) mod q , ahol y a nyilvános kulcs ; $\alpha ^{R/H}y^{S/H}$
Ha R = R' , akkor az aláírás érvényes [9] .

Vak aláírás az STB 1176.2-99 alapján

A fehérorosz szabvány a következő protokollt biztosítja az M dokumentum vak aláírásának generálásához :

Szükséges egy olyan k véletlen generálása , amelyre 1 < k < q , és kiszámítani . Ezeket a műveleteket az aláíró hajtja végre. Ezután átadja az R számot a felhasználónak; $R=a^{k}$
A felhasználó ε és τ véletlenszámokat generál úgy, hogy 1 < ε, τ < q , majd kiszámítja , és E = E' - τ mod q ; E - az aláírás első eleme - elküldésre kerül az aláírónak; ${\displaystyle R'=R*y^{\tau }*a^{\epsilon ))$ $E'=F_{H}(R'||M)$
Az aláíró kiszámítja az aláírás második elemét S = (k - xE) mod q , és elküldi az S -t a felhasználónak;
A felhasználó kiszámítja S' = S + ε mod q .

Ebben a leírásban a következő paramétereket használjuk: q a számításokhoz használt modulus, egyszerű; a a szülőelem; x - privát kulcs; y a nyilvános kulcs [9] .

Kollektív vak aláírás

Legyenek nyilvános kulcsok az s felhasználók tulajdonában. Legyen M üzenet , amit m közülük alá akarnak írni. Ebben az esetben az összes aláírás összevonható egybe, amelynek hossza megegyezik egy felhasználó aláírásának hosszával, és nem függ m -től . Ez a következő 1 protokoll szabályai szerint valósul meg: ${\displaystyle {\overline {y_{1},y_{s))))$

Az m felhasználó mindegyike generál egy < p véletlenszámot , ahol j = , p egy nagy prímszám. Ezután az m felhasználó mindegyike kiszámítja a mod p -t ( k egy nagy prímhatvány), és elküldi ezt a számot a csoport többi felhasználójának. $t_{\alpha _{j))$ ${\overline {1,m))$ $R_{\alpha _{j}}=(t_{\alpha _{j}})^{k}$
Minden felhasználó kiszámítja a mod p -t . Ezután az e = f(R,M) = RH mod q kiszámítása történik , ahol q egy p -től eltérő nagy prímszám , H = Hash(M) pedig egy hash függvény. Az e szám lesz a közös aláírás első eleme. $R=\prod _{j=1}^{m}R_{\alpha _{j))$
$S_{\alpha _{j}}=x_{\alpha _{j}}^{e}t_{\alpha _{j}}$ mod p a felhasználó részesedése. Minden felhasználó kiszámítja ezt a részesedést, és megadja a többieknek.
Ezután minden felhasználó kiszámítja a mod p -t . Ez a közös aláírás második eleme. $S=\prod _{j=1}^{m}S_{\alpha _{j))$

A kollektív vak aláírás ellenőrzése

$y=\prod _{j=1}^{m}y_{\alpha _{j))$ mod p a megosztott nyilvános kulcs. Ennek alapján a kollektív vak aláírás ellenőrzése a következő algoritmus szerint történik:

A Mod p kiszámítása . ${\displaystyle R=S^{k}y^{-e))$
Számítsuk ki e' = f(R,M) = RH mod q
Ha e' = e , akkor az aláírás érvényes [9] .

Alkalmazás

Bankrendszerek

A vak aláírások protokollja a digitális pénz területén találta a legszélesebb körű alkalmazást . Például, hogy a betétes ne tévessze meg a bankot, a következő protokoll használható: a befizető száz különböző számú dokumentumra felírja ugyanazt a címletű bankjegyet, és azt titkosított formában letétbe helyezi a banknál. A bank véletlenszerűen választ, és 99 (vagy n-1) boríték kinyitását követeli, megbizonyosodik arról, hogy mindenhol 10 dollár van írva, és nem 1000 dollár, majd vakon aláírja a maradék borítékot, nem látva a számlaszámot.

Egy egyszerűbb lehetőség is kínálkozik: a bank saját nyilvános kulcspárral rendelkezik a bankjegy minden címletéhez. Ekkor az aláírás alá csak a bankjegyszám kerül elküldésre, és az aláírás előtt nem kell ellenőrizni a címletet [1] .

Titkos szavazás

A titkos szavazáshoz vak aláírásokat használnak . A Fujioka, Okamoto és Ota protokolljában a választópolgár saját választásával szavazólapot készít, titkos kulccsal titkosítja és elfedi. Ezután a választópolgár aláírja a szavazólapot, és elküldi az érvényesítőnek. Az érvényesítő ellenőrzi, hogy az aláírás olyan regisztrált választóhoz tartozik-e, aki még nem szavazott.

Ha a szavazás érvényes, az érvényesítő aláírja a szavazólapot és visszaküldi a választópolgárnak. A választó eltávolítja az álcát, így felfedve az érvényesítő által aláírt titkosított szavazólapot. Ezt követően a választópolgár az így kapott aláírt és titkosított szavazólapot a pulthoz küldi, amely ellenőrzi a titkosított szavazólapon lévő aláírást.

Ha a szavazás érvényes, a szavazatszámláló egy listára teszi, amelyet a teljes szavazás után közzé kell tenni. A lista közzététele után a szavazók ellenőrzik, hogy szavazólapjaik szerepelnek-e a listán, és elküldik a számlálónak a szavazólapjuk megnyitásához szükséges visszafejtési kulcsokat. A szavazatszámláló ezekkel a kulcsokkal fejti meg a szavazatokat, és hozzáadja a szavazatokat az összesítéshez. A választás után a szavazatszámláló visszafejtő kulcsokat ad ki a titkosított szavazólapokkal együtt, hogy a választók önállóan ellenőrizhessék a választást [10] .

Vak aláírással kapcsolatos sebezhetőségek

Az RSA algoritmus támadás tárgya lehet , aminek köszönhetően lehetővé válik egy korábban vakon aláírt üzenet visszafejtése, még aláírásra váró üzenetként adva tovább. Abból a tényből kiindulva, hogy az aláírási folyamat egyenértékű az aláíró általi dekódolással (a saját privát kulcsával), a támadó aláírhatja az üzenet már vakon aláírt , az aláíró nyilvános kulcsával titkosított változatát, azaz aláírhatja az üzenetet . $m$ $m'$

{\begin{aligned}m''&=m'r^{e}{\pmod n}\\&=(m^{e}{\pmod n}\cdot r^{e}){\pmod n }\\&=(mr)^{e}{\pmod n}\\\end{igazított}}

hol van az üzenet titkosított változata. Az üzenet aláírása után az egyszerű szöveg könnyen visszakereshető: $m'$ $m$

{\begin{aligned}s'&=m''^{d}{\pmod n}\\&=((mr)^{e}{\pmod n})^{d}{\pmod n}\ \&=(mr)^{{ed}}{\pmod n}\\&=m\cdot r{\pmod n}{\mbox{, mivel }}ed\equiv 1{\pmod {\phi (n )}}\\\vége{igazított}}

hol van az Euler-függvény . Mostantól könnyen fogadható az üzenet. $\phi(n)$

{\begin{aligned}m=s'\cdot r^{{-1}}{\pmod {n}}\end{aligned}}

A támadás azért működik, mert ebben a sémában az aláíró közvetlenül magát az üzenetet írja alá. Ezzel szemben a hagyományos aláírási sémákban az aláíró jellemzően aláír például egy kriptográfiai hash függvényt . Ezért az RSA multiplikatív tulajdonsága miatt soha nem szabad ugyanazt a kulcsot használni a titkosításhoz és a vak aláíráshoz [8] .

Lásd még

Jegyzetek

↑ 1 2 3 Bruce Schneier, Alkalmazott kriptográfia. 2. kiadás. Protokollok, algoritmusok és forrásszövegek C nyelven, Triumph kiadó, 2002
↑ Jean Kamenich, Jean-Marc Piveto, Markus Stadler, "Blind Signatures Based on the Discrete Logathm Problem", Eurocrypt, 428-432. oldal, Springer-Verlag, 1995.
↑ Qalian Chakrabortu, Jean Mehta, "A bélyegzett vak aláírási séma elliptikus görbén alapuló diszkrét logaritmus problémán", International Journal of Network Security, 14. szám, 316-319. oldal, 2012.
↑ Lung-Chang Lin, Ming-Shiang Hang, Chin-Chen Chang "Az anonim e-szavazás biztonságának javítása a weben", Számítógépes szabványok és interfészek, 25. szám, 131-139. oldal, 2003.
↑ Tatsuaki Okamoto, "Hatékony vak és részlegesen vak aláírások véletlenszerű előrejelzések nélkül", Papírgyűjtemény "A kriptográfia elmélete", 80-99. oldal, Springer-Verlag, 2006.
↑ Markus Ruckert, "Rácsokon alapuló vak aláírás", az Asiacrypt konferencia előadásainak gyűjteménye, 413-430. oldal, Springer-Verlag, 2010.
↑ Daniel Ortiz-Arroyo, Claudia Garcia-Zamora, "A Mu-Varadarajan Electronic Voting Protocol újabb fejlesztése", Számítógépes szabványok és interfészek, 29. szám, 471-480. oldal, 2007.
↑ 1 2 Moldovyan N.A. Workshop a nyilvános kulcsú kriptorendszerekről. - 2007. - 304 p. — ISBN 5-9775-0024-6 .
↑ 1 2 3 N.A. moldovai. Elméleti minimum és digitális aláírási algoritmusok. - BVH-Pétervár, 2010. - 304 p. - ISBN 978-5-9775-0585-7 .
↑ Anisimov V.V. A két ügynökség, a Fujioka-Okamoto-Ohta és a Sensus jegyzőkönyvei . Az információvédelem kriptográfiai módszerei . (határozatlan)

Irodalom

Schneier, B. Alkalmazott kriptográfia. 2. kiadás. Protokollok, algoritmusok és forrásszövegek C nyelven - "Triumph", 2002
Klyuzhev A. Elektronikus szavazás, 2003
Shangin, V. F. , Sokolov, A. V. Információbiztonság elosztott vállalati hálózatokban és rendszerekben - "DMK", 2002
Chaum, D. Vak aláírások a nyomon követhetetlen kifizetésekért – Springer-Verlnag, 1998
Moldovyan N. A. Workshop a nyilvános kulcsú kriptorendszerekről, 2007
Moldovyan N. A. A digitális aláírás elméleti minimuma és alapjai, 2010