Sokea allekirjoitus

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 14.9.2021 tarkistetusta versiosta . tarkastukset vaativat 3 muokkausta .

Sokea allekirjoitus ( englanniksi blind signature ) on digitaalisen allekirjoituksen tyyppi , jonka erityispiirre on, että allekirjoittaja ei voi tietää tarkasti allekirjoitetun asiakirjan sisältöä. David Chaum [1] keksi sokean allekirjoituksen käsitteen vuonna 1982, ja hän ehdotti myös ensimmäistä toteutusta RSA-algoritmin kautta . Sokean allekirjoitusjärjestelmän turvallisuus perustui suurten yhdistelmälukujen huomioon ottamisen vaikeuteen . Sen jälkeen on ehdotettu monia muita järjestelmiä [2] [3] .

Kuvaus

Sokeiden allekirjoitusten perusidea on seuraava:

Lähettäjä A salaa asiakirjan ja lähettää sen osapuolelle B.
Osapuoli B, joka ei näe asiakirjan sisältöä, allekirjoittaa sen ja palauttaa sen takaisin osapuolelle A.
Osapuoli A poistaa salauksensa jättäen asiakirjaan vain osapuolen B allekirjoituksen.

Tämän protokollan lopussa osapuoli B ei tiedä mitään viestistä t eikä tämän viestin alla olevasta allekirjoituksesta.

Tätä mallia voidaan verrata kirjekuoreen, johon asiakirja ja kopioarkki asetetaan. Jos allekirjoitat kirjekuoren, allekirjoitus painetaan asiakirjaan, ja kun kirjekuori avataan, asiakirja on jo allekirjoitettu.

Sokean allekirjoituksen tarkoituksena on estää allekirjoittajaa B näkemästä A:n viestiä, jonka hän allekirjoittaa, ja vastaavaa allekirjoitusta viestin alla. Tästä syystä allekirjoitettua viestiä ei voi yhdistää osapuolelle A.

Suojatun sokean allekirjoitusjärjestelmän on täytettävä kolme ominaisuutta, nimittäin:

Nolla tietämystä . Tämä ominaisuus auttaa käyttäjää saamaan allekirjoituksen tietylle viestille paljastamatta itse viestiä allekirjoittajalle.
Jäljitettävyys . Allekirjoittaja ei voi jäljittää allekirjoitus-viesti-paria sen jälkeen, kun käyttäjä on julkistanut allekirjoituksen viestissään.
mahdottomuus . Vain allekirjoittaja voi luoda kelvollisen allekirjoituksen. Tämä ominaisuus on tärkein ja sen tulee täyttyä kaikissa allekirjoitusjärjestelmissä.

Nollatiedon ja jäljittämättömyyden ominaisuuksien vuoksi sokea allekirjoitusjärjestelmä voidaan käyttää laajasti sovelluksissa, joissa luottamuksellisuutta tarvitaan, esimerkiksi sähköisissä äänestysjärjestelmissä [4] [5] [6] [7] .

Sokeat allekirjoitusalgoritmit

Täysin sokea allekirjoitus

Tilanne huomioon ottaen: Bob on notaari . Alice tarvitsee hänen allekirjoittamaan asiakirjan ilman aavistustakaan sen sisällöstä. Bob vain vahvistaa, että asiakirja on notaarin vahvistama määritettynä ajankohtana. Sitten he toimivat seuraavan algoritmin mukaan:

Tässä järjestelmässä Alice haluaa Bobin allekirjoittavan sokeasti viestin . Tätä varten: $m$

Alice salaa viestin toiminnolla ja vastaanottaa salatun viestin . $m$ $f$ $c=f(m)$
Alice lähettää salatun viestin Bobille.
Bob sokeasti (koska hän ei tiedä mitä sisällä on) allekirjoittaa viestin funktiolla vastaanottaa . $c$ $g$ $c^{{'}}=g(c)=g(f(m))$
Bob lähettää takaisin Alicelle. $c^{{'}}$
Alice vastaanottaa ja poistaa salauksensa ja saa: . $c^{{'}}$ $c^{{''}}=g(f(m))*f^{{-1}}=g(m)$

Tämä protokolla toimii vain, jos allekirjoitus- ja salaustoiminnot ovat kommutatiivisia .

Sokea allekirjoitus

Bob valmistelee n asiakirjaa, joista jokainen sisältää ainutlaatuisen sanan (mitä enemmän n, sitä pienempi mahdollisuus Bobin on huijata).
Bob peittää jokaisen asiakirjan ainutlaatuisella peittotekijällä ja lähettää ne Alicelle.
Alice vastaanottaa kaikki asiakirjat ja valitsee niistä satunnaisesti n-1.
Alice pyytää Bobia lähettämään peittotekijät valituille asiakirjoille.
Bob tekee sen.
Alice avaa n-1 asiakirjaa ja varmistaa, että ne ovat oikein.
Alice allekirjoittaa jäljellä olevan asiakirjan ja lähettää sen Bobille.
Bobilla on nyt asiakirja, jonka Alice on allekirjoittanut ainutlaatuisella sanalla, jota Alice ei tiedä.

RSA-protokolla

Chaum toteutti ensimmäisen sokean allekirjoituksen käyttämällä RSA-salausjärjestelmää:

Oletetaan, että Bobilla on aluksi julkinen avain , jossa on moduuli ja avaimen julkinen eksponentti. $(p,e)$ $s$ $e$

Alice valitsee satunnaisen peittokertoimen, joka on suhteellisesti ensisijainen :lle ja laskee . $r$ $s$ $m^{{'}}\equiv mr^{{e}}{\bmod p}$
Alice lähettää avoimen kanavan Bobille. $m^{{'}}$
Bob laskee yksityisellä avaimellaan . $s^{{'}}\equiv (m^{{'}})^{{d}}{\bmod p}$ $(p, d)$
Bob lähettää takaisin Alicelle. $s^{{'}}$
Alice poistaa alkuperäisen naamionsa ja vastaanottaa Bobin allekirjoittaman alkuperäisen viestin seuraavasti: . $m$ $s\equiv s^{{'}}*r^{{-1}}{\bmod p}\equiv m^{{d}}{\bmod p}$

Chaum keksi koko perheen monimutkaisempia sokea allekirjoitusalgoritmeja, joita kutsutaan yhteisesti odottamattomiksi sokeiksi allekirjoituksiksi . Niiden suunnitelmat ovat vielä monimutkaisempia, mutta ne antavat enemmän mahdollisuuksia [1] .

Sokea allekirjoitus perustuu Schnorr EDS :ään

Haluaako Liisa allekirjoittaa Bobin viestin siten, että ensinnäkin Bob ei voinut tutustua viestiin allekirjoituksen aikana, ja toiseksi, jotta Bob ei voi myöhemmin, vastaanotettuaan viestin ja vastaavan allekirjoituksen, tunnistaa käyttäjä, joka aloitti sokean allekirjoitusprotokollan tälle viestille (Alice). Tämä protokolla toteutetaan seuraavasti: $m$ $m$

Alice aloittaa vuorovaikutuksen Bobin kanssa.
Bob lähettää arvon Alicelle . $R=a^{k}\mod p$
Alice laskee arvot (w ja t ovat satunnaislukuja, jotka eivät ylitä ), ja lähettää sitten arvon Bobille . $R^{{'}}=Ra^{{-w}}y^{{-t}}\mod y$ $y$ $E^{{'}}=H(m||R^{{'}})$ $E=E^{{'}}+t\mod y$ $E$
Bob laskee arvon , joka on , ja lähettää sen Alicelle. $S$ $R=a^{S}y^{{E}}\mod p$ $S$
Alice laskee allekirjoituksen , jossa ja , joka on autenttinen viestin suhteen [8] . $(E^{{'}},S^{{'}})$ $E^{{'}}=E^{{-t}}\mod y$ $S^{{'}}=Sw\mod y$ $m$

Todiste

Allekirjoituksen aitous todistetaan seuraavasti. Se seuraa ja . Tässä tapauksessa anonymiteettiongelma on ratkaistu, koska mitä tahansa Bobin muodostamien kolmosten joukosta voidaan verrata tämän asiakirjan allekirjoitukseen . Meillä on todellakin: ja ts. yhtäläisellä satunnaisella termivalinnalla ja allekirjoitus luotiin yhtä suurella todennäköisyydellä mistä tahansa allekirjoittajan muodostamaan kolmiosuuteen sisältyvästä kolmiosta. Huomioimme myös, että Bobilla ei ole edes mahdollisuutta todistaa, ettei hän tuntenut sitä tämän asiakirjan allekirjoitushetkellä. $R=a^{S}y^{{E}}\mod p$ $Ra^{{-w}}y^{{-t}}=a^{{Sw}}y^{{Et}}modp$ $R^{{'}}=a^{{S^{{'}}}}y^{{E^{{'}}}}\mod p$ $(R,S,E)$ $(E^{{'}},S^{{'}})$ $m$ $R=a^{S}y^{{E}}\mod p$ $R^{{'}}=a^{{S^{{'}}}}y^{{E^{{'}}}}\mod p$ $\Nuoli oikealle$ $R^{{'}}/R\equiv a^{{S^{{'}}-S}}y^{{E^{{'}}-E}}\mod p\equiv a^{{ -w}}y^{{-t}}\mod p$ $w$ $t$ $(E^{{'}},S^{{'}})$ $m$

Sokea allekirjoitus perustuu GOST R 34.10-94 Vaihtoehdot

p on alkuluku , 510 ≤ | p | ≤ 512 (tai 1022 ≤ | p | ≤ 1024), jossa |p| on luvun p binääriesityksen kapasiteetti .

q on p-1:n suuri alkujakaja, 255 ≤ | q | ≤ 256 (tai 511 ≤ | q | ≤ 512)

α ≠ 1, α < p , mod p = 1. ${\displaystyle \alpha ^{q))$

Laskenta

Tarve generoida satunnainen k , 1 < k < q ;
R = ( mod p ) mod q on allekirjoituksen ensimmäinen osa; ${\displaystyle \alpha ^{k))$
H = Hash(m) , jossa Hash on GOST R 34.11-94 -standardissa kuvattu hash-funktio , m on allekirjoitettava viesti;
S = kH + zR mod q , missä z on yksityinen avain .
Jos S=0, toista toimenpiteet 1-4.

Tarkistetaan

0 < R < q tai 0 < S < q. Jos vähintään yksi kahdesta ehdosta ei täyty, allekirjoitus on virheellinen. Muuten:
R' = ( mod p ) mod q , missä y on julkinen avain ; $\alpha ^{R/H}y^{S/H}$
Jos R = R' , niin allekirjoitus on voimassa [9] .

Sokea allekirjoitus perustuu STB 1176.2-99

Valko - Venäjän standardi tarjoaa seuraavan protokollan sokean allekirjoituksen luomiseksi asiakirjalle M :

On tarpeen generoida satunnainen k siten, että 1 < k < q ja laskea . Nämä toiminnot suorittaa allekirjoittaja. Sitten se välittää numeron R käyttäjälle; ${\displaystyle R=a^{k))$
Käyttäjä generoi satunnaisluvut ε ja τ siten, että 1 < ε, τ < q ja laskee sitten ja E = E ' - τ mod q ; E - allekirjoituksen ensimmäinen elementti - lähetetään allekirjoittajalle; ${\displaystyle R'=R*y^{\tau }*a^{\epsilon ))$ $E'=F_{H}(R'||M)$
Allekirjoittaja laskee allekirjoituksen toisen elementin S = (k - xE) mod q ja lähettää S :n käyttäjälle;
Käyttäjä laskee S' = S + ε mod q .

Tässä kuvauksessa käytetään seuraavia parametreja: q on laskelmissa käytetty moduuli, yksinkertainen; a on emoelementti; x - yksityinen avain; y on julkinen avain [9] .

Kollektiivinen sokea allekirjoitus

Olkoon käyttäjien omistamia julkisia avaimia . Olkoon viesti M , jonka m heistä haluaa allekirjoittaa. Tässä tapauksessa kaikki allekirjoitukset voidaan yhdistää yhdeksi, jonka pituus on yhtä suuri kuin yhden käyttäjän allekirjoituksen pituus eikä riipu m :stä . Tämä toteutetaan seuraavan 1 protokollan sääntöjen mukaisesti: ${\displaystyle {\overline {y_{1},y_{s))))$

Jokainen m:stä käyttäjää generoi satunnaisluvun < p , missä j = , p on suuri alkuluku. Sitten jokainen m käyttäjää laskee mod p ( k on suuri alkuteho) ja lähettää tämän luvun kaikille muille tämän ryhmän käyttäjille. $t_{\alpha _{j))$ ${\overline {1,m))$ $R_{\alpha _{j}}=(t_{\alpha _{j}})^{k}$
Jokainen käyttäjä laskee mod p . Seuraavaksi lasketaan e = f(R,M) = RH mod q , jossa q on suuri alkuluku, joka eroaa p :stä , H = Hash(M) on hash-funktio. Numero e on kollektiivisen allekirjoituksen ensimmäinen elementti. $R=\prod _{j=1}^{m}R_{\alpha _{j))$
$S_{\alpha _{j}}=x_{\alpha _{j}}^{e}t_{\alpha _{j}}$ mod p on käyttäjän osuus. Jokainen käyttäjä laskee tämän osuuden ja toimittaa sen muille.
Jokainen käyttäjä laskee sitten mod p . Tämä on kollektiivisen allekirjoituksen toinen osa. $S=\prod _{j=1}^{m}S_{\alpha _{j))$

Kollektiivisen sokean allekirjoituksen todentaminen

$y=\prod _{j=1}^{m}y_{\alpha _{j))$ mod p on jaettu julkinen avain. Sen perusteella kollektiivinen sokea allekirjoitus varmistetaan seuraavan algoritmin mukaisesti:

Mod p lasketaan . ${\displaystyle R=S^{k}y^{-e))$
Laske e' = f(R,M) = RH mod q
Jos e' = e , niin allekirjoitus on kelvollinen [9] .

Sovellus

Pankkijärjestelmät

Sokean allekirjoituksen protokolla on löytänyt laajimman sovelluksen digitaalisen rahan alalla . Esimerkiksi, jotta tallettaja ei petä pankkia, voidaan käyttää seuraavaa protokollaa: tallettaja kirjoittaa saman arvon seteleitä sataan eri numeroituun asiakirjaan ja tallettaa sen salatussa muodossa pankkiin. Pankki valitsee satunnaisesti ja vaatii avaamaan 99 (tai n-1) kirjekuorta, varmistaa, että kaikkialle on kirjoitettu 10 dollaria, ei 1000 dollaria, ja sitten allekirjoittaa jäljellä olevan kirjekuoren sokeasti, näkemättä laskun numeroa.

Yksinkertaisempi vaihtoehto voidaan tarjota: pankilla on oma julkisten avainten pari, joka on määritetty kullekin setelin arvolle. Tällöin allekirjoituksen alle lähetetään vain setelin numero, eikä nimellisarvoa tarvitse tarkistaa ennen allekirjoitusta [1] .

Salainen äänestys

Sokeita allekirjoituksia käytetään salaisessa äänestyksessä . Fujiokan , Okamoton ja Otan pöytäkirjassa äänestäjä valmistelee valinnallaan äänestyslipun, salaa sen salaisella avaimella ja peittää sen. Seuraavaksi äänestäjä allekirjoittaa äänestyslipun ja lähettää sen valitsijalle. Validaattori varmistaa, että allekirjoitus kuuluu rekisteröidylle äänestäjälle, joka ei ole vielä äänestänyt.

Jos äänestyslippu on kelvollinen, validoija allekirjoittaa äänestyksen ja palauttaa sen äänestäjälle. Äänestäjä poistaa valepuvun ja paljastaa siten validoijan allekirjoittaman salatun äänestyslipun. Seuraavaksi äänestäjä lähettää näin saadun allekirjoitetun ja salatun äänestyslipun laskuriin, joka tarkistaa salatun äänestyslipun allekirjoituksen.

Jos äänestyslippu on kelvollinen, ääntenlaskija asettaa sen listalle, joka julkaistaan koko äänestyksen jälkeen. Listan julkaisemisen jälkeen äänestäjät tarkistavat, että heidän äänestysliput ovat listalla, ja lähettävät ääntenlaskijalle äänestyslippujen avaamiseen tarvittavat salauksenpurkuavaimet. Ääntenlaskija käyttää näitä näppäimiä äänestyslippujen tulkitsemiseen ja lisää äänten kokonaismäärään. Vaalien jälkeen ääntenlaskija antaa salauksen purkuavaimet sekä salatut äänestysliput, jotta äänestäjät voivat itsenäisesti todentaa vaalin [10] .

Sokean allekirjoituksen haavoittuvuudet

RSA-algoritmi voi olla hyökkäyksen kohteena, minkä ansiosta on mahdollista purkaa aiemmin sokeasti allekirjoitetun viestin salaus ja välittää se viestiksi, jota ei ole vielä allekirjoitettu. Koska allekirjoitusprosessi vastaa allekirjoittajan suorittamaa salauksen purkamista (käyttäen sen yksityistä avainta), hyökkääjä voi allekirjoittaa viestin jo sokeasti allekirjoitetun version, joka on salattu allekirjoittajan julkisella avaimella, eli allekirjoittaa viestin . $m$ $m'$

{\begin{aligned}m''&=m'r^{e}{\pmod n}\\&=(m^{e}{\pmod n}\cdot r^{e}){\pmod n }\\&=(herra)^{e}{\pmod n}\\\end{aligned}}

missä on viestin salattu versio. Kun viesti on allekirjoitettu, selväteksti on helppo hakea: $m'$ $m$

{\begin{aligned}s'&=m''^{d}{\pmod n}\\&=((mr)^{e}{\pmod n})^{d}{\pmod n}\ \&=(mr)^{{ed}}{\pmod n}\\&=m\cdot r{\pmod n}{\mbox{, koska }}ed\equiv 1{\pmod {\phi (n )}}\\\end{tasattu}}

missä on Euler-funktio . Nyt viesti on helppo vastaanottaa. $\phi(n)$

{\begin{aligned}m=s'\cdot r^{{-1}}{\pmod {n}}\end{aligned}}

Hyökkäys toimii, koska tässä järjestelmässä allekirjoittaja allekirjoittaa itse viestin. Sitä vastoin perinteisissä allekirjoitusmenetelmissä allekirjoittaja tyypillisesti allekirjoittaa esimerkiksi kryptografisen hajautusfunktion . Tästä syystä RSA :n multiplikatiivisen ominaisuuden vuoksi samaa avainta ei tulisi koskaan käyttää sekä salaukseen että sokkoallekirjoitukseen [8] .

Katso myös

Muistiinpanot

↑ 1 2 3 Bruce Schneier, Applied Cryptography. 2. painos. Protokollat, algoritmit ja lähdetekstit C-kielellä, Kustantaja Triumph, 2002
↑ Jean Kamenich, Jean-Marc Piveto, Markus Stadler, "Blind Signatures Based on the Discrete Logathm Problem", Eurocrypt, sivut 428-432, Springer-Verlag, 1995.
↑ Qalian Chakrabortu, Jean Mehta, "Leimattu sokea allekirjoitusmalli, joka perustuu elliptisen käyrän diskreettilogaritmiongelmaan", International Journal of Network Security, Issue 14, sivut 316-319, 2012.
↑ Lung-Chang Lin, Ming-Shiang Hang, Chin-Chen Chang "Anonyymin sähköisen äänestämisen turvallisuuden parantaminen verkossa", tietokonestandardit ja liitännät, numero 25, sivut 131-139, 2003.
↑ Tatsuaki Okamoto, "Tehokkaat sokeat ja osittain sokeat allekirjoitukset ilman satunnaisia ennusteita", Paperikokoelma "Kryptografian teoria", sivut 80-99, Springer-Verlag, 2006.
↑ Markus Ruckert, "Sokea allekirjoitus perustuu ristikkoihin", kokoelma Asiacrypt-konferenssin artikkeleita, sivut 413-430, Springer-Verlag, 2010.
↑ Daniel Ortiz-Arroyo, Claudia Garcia-Zamora, "Another Improvement to the Mu-Varadarajan Electronic Voting Protocol", Computer Standards and Interfaces, Issue 29, sivut 471-480, 2007.
↑ 1 2 Moldovyan N.A. Työpaja julkisen avaimen salausjärjestelmistä. - 2007. - 304 s. — ISBN 5-9775-0024-6 .
↑ 1 2 3 N.A. Moldovan. Teoreettiset minimi- ja digitaalisen allekirjoituksen algoritmit. - BVH-Pietari, 2010. - 304 s. - ISBN 978-5-9775-0585-7 .
↑ Anisimov V.V. Kahden viraston Fujioka-Okamoto-Ohta ja Sensus pöytäkirjat . Tietojen suojauksen kryptografiset menetelmät . (määrätön)

Kirjallisuus

Schneier, B. Applied Cryptography. 2. painos. Protokollat, algoritmit ja lähdetekstit C-kielellä - "Triumph", 2002
Klyuzhev A. Sähköinen äänestys, 2003
Shangin, V. F. , Sokolov, A. V. Tietoturva hajautetuissa yritysverkoissa ja -järjestelmissä - "DMK", 2002
Chaum, D. Sokeat allekirjoitukset jäljittämättömille maksuille - Springer-Verlnag, 1998
Moldovyan N. A. Workshop julkisen avaimen salausjärjestelmistä, 2007
Moldovyan N. A. Digitaalisen allekirjoituksen teoreettinen minimi ja perusteet, 2010