Введение Актуальность.
Ряд приложений электронных трастовых сервисов требует обеспечения анонимности (неотслеживаемости) в качестве обязательного требования к электронному трастовому сервису.
В качестве примера можно рассмотреть секретные системы электронного голосования, электронные деньги и т.п.
Признанным механизмом предоставления услуг анонимности является использование механизма слепой подписи.
Слепая подпись — это подпись, примененная доверенной третьей стороной к ранее замаскированному сообщению.
Ряд важных для практического применения криптографических систем включает протокол слепой подписи в качестве неотъемлемой части.
К ним относятся системы тайного электронного голосования и электронных денег.
Суть слепой подписи заключается в том, что владелец закрытого ключа должен иметь возможность подписать сообщение, представленное в зашифрованном виде.
Необходимо, чтобы сторона, подготовившая сообщение (документ), была уверена, что подписавший его не прочтет.
Общая информация
В криптографии слепая подпись, предложенная Дэвидом Чаумом [1], представляет собой форму цифровой подписи, при которой содержимое сообщения маскируется (ослепляется) перед его подписанием.Полученную слепую подпись можно публично сверить с исходным открытым сообщением, как и обычную цифровую подпись.
Слепые подписи обычно используются в протоколах, связанных с конфиденциальностью, где подписывающая сторона и автор сообщения являются разными сторонами.
Примеры включают криптографические избирательные системы и схемы цифровых денег [1].
Часто используемая аналогия со слепой криптографической подписью — это физический акт помещения сообщения в специальный конверт со сквозной записью, который затем запечатывается и подписывается подписывающим агентом.
Таким образом, подписывающая сторона не просматривает содержимое сообщения, но третья сторона может позже проверить подпись и узнать, что подпись действительна в рамках ограничений базовой схемы подписи.
Слепые подписи также могут использоваться для обеспечения развязки, которая не позволяет подписывающему лицу связать скрытое сообщение, которое оно подписывает, с более поздней неслепой версией, которая может потребоваться для проверки.
В этом случае ответ подписывающего лица сначала «раскрывается» перед проверкой, чтобы подпись оставалась действительной для сообщения без «слепления».
Это может быть полезно в схемах, где требуется анонимность.
Схемы слепой подписи могут быть реализованы с использованием ряда распространенных схем подписи с открытым ключом, таких как RSA и DSA. Чтобы выполнить такую подпись, сообщение сначала «ослепляется», обычно путем объединения его каким-либо образом со случайным «фактором ослепления».
Скрытое сообщение передается подписавшему, который затем подписывает его, используя стандартный алгоритм подписи.
Полученное сообщение вместе с коэффициентом маскировки позже может быть проверено с использованием открытого ключа подписавшего [2].
В некоторых схемах слепой подписи, таких как RSA, можно даже удалить маскирующий фактор из подписи до ее проверки.
В этих схемах конечный результат (сообщение/подпись) схемы слепой подписи идентичен выходному сигналу обычного протокола подписи.
Схемы слепой подписи широко используются в приложениях, где важна конфиденциальность отправителя.
Сюда входят различные схемы «цифровых денег» и протоколы голосования.
Например, целостность некоторой системы электронного голосования может потребовать, чтобы каждый бюллетень был заверен избирательным органом, прежде чем он будет принят к подсчету; это позволяет властям проверять полномочия избирателя, чтобы убедиться, что он имеет право голосовать и не проголосовал более одного бюллетеня.
При этом важно, чтобы этот орган не узнал о выборе избирателя.
Несвязанная слепая подпись обеспечивает такую гарантию, поскольку орган власти не будет видеть содержание подписываемых им бюллетеней и не сможет связать подписываемые им слепые бюллетени с несвязанными бюллетенями, которые он получает для подсчета.
В результате исследования слепых подписей процветали, и были предложены доказуемо безопасные решения, основанные на устоявшихся теоретических предположениях о сложности стандартной модели [2], а некоторые из них были адаптированы для практического использования IBM. Однако схемы в стандартной модели требуют либо возведения в степень в группе RSA, либо билинейных пар, которые обычно выполняются значительно медленнее, чем, скажем, операции с эллиптическими кривыми.
Таким образом, более эффективные решения, которые доказуемо безопасны в модели «Случайное чудо» (RO) [3], по-прежнему имеют практическую ценность.
Некоторые из самых ранних предложенных схем [2] не имеют доказательств безопасности даже в модели RO; Фактически, свойства безопасности слепых подписей Шнорра являются важной открытой проблемой.
Более того, предложение Microsoft UProve основано на одной из недоказанных слепых подписей, а именно на подписи Брэндса.
UProve в настоящее время является частью пилотного проекта NSTIC (Национальная стратегия обеспечения безопасности идентификации в киберпространстве), который будет широко использоваться в ситуации, которая потенциально может затронуть миллионы людей [1].
Поэтому свойства безопасности этих недоказанных, но важных слепых подписей являются естественной темой для изучения.
Короче говоря, схема слепой подписи безопасна, если она удовлетворяет двум ключевым свойствам: одно более трудно подделать, что означает, что злоумышленник не может создать больше подписей, чем было выдано; и слепота, что означает, что злоумышленник не может связать конкретную подпись с конкретным экземпляром подписи [3].
Схема слепой подписи Шнорра является наиболее эффективной из всех схем слепой подписи, предложенных в литературе, поскольку ее можно реализовать с помощью беспарных эллиптических кривых.
Он построен на основе правильного протокола идентификации с использованием эвристики Фиата-Шамира и некоторых операций ослепления.
Однако безопасность этой важной схемы остается открытой проблемой.
Если схема идентификации Шнорра небезопасна (то есть после определенного количества взаимодействий с проверяющим злоумышленник может выдать себя за него), то слепая подпись Шнорра не является еще одной подлинной.
Известно, что безопасность схемы идентификации Шнорра не может быть доказана в предположении о дискретном логарифме с использованием редукции черного ящика в стандартной модели [2], поэтому, по крайней мере, кажется, что слепые подписи Шнорра требуют от нас предположения о безопасности идентификации Шнорра (также изучается).
Белларе и Паласио [1]).
Возможно, было бы разумным еще более сильное предположение.
Можем ли мы доказать его безопасность при этом или более сильном предположении? Чтобы сделать этот вопрос более интересным, давайте его более общим.
Давайте рассмотрим не только слепую подпись Шнорра, но и слепые варианты всех схем подписи на основе Фиата-Шамира в целом, построенные по описанным выше принципам: подписывающий выступает в качестве доказывающего в протоколе идентификации.
И давайте посмотрим, можно ли доказать их безопасность при любом разумном предположении (под разумным мы подразумеваем предположение, которое не является явно ложным), а не только Что делает нашу технику особенно интересной, так это то, что мы первыми ввели метаредукцию (наш личный враг), которая не требует сброса B-редукции, как это обычно делается при использовании парадигмы метаредукции [1].
Например, наш личный враг может сбросить аббревиатуру Б, получить дополнительную подпись и вернуть эту подпись Б как его подделку.
Однако этот сброс усложняет задачу, поскольку два выполнения коррелируют. Наш метод, напротив, намного проще: личный противник, pA, будет просто взаимодействовать с редукцией B так же, как реальный противник (но используя возможности, недоступные состязательному алгоритму, такие как запоминание своего предыдущего состояния, если и когда сокращение сбрасывает его и имеет доступ к случайному каналу оракула сокращения), без его сброса в любое время.
Когда B останавливается, если ему удается нарушить это предположение (что и должно быть с разумной вероятностью, иначе это не будет приемлемым снижением безопасности), pA также преуспевает, но без предположения о существовании реального противника, который нарушает безопасность.
базовой схемы подписи.
Схемы слепой подписи
Схемы слепой подписи существуют для многих протоколов подписи с открытым ключом.Ниже приведены некоторые примеры.
В каждом примере подписываемое сообщение содержится в значении m. m считается допустимым входом для функции подписи.
В качестве аналогии представьте, что у Алисы есть письмо, которое должно быть подписано авторитетным лицом (скажем, Бобом), но Алиса не хочет раскрывать содержание письма Бобу [3].
Она может поместить письмо в конверт, обклеенный копировальной бумагой, и отправить его Бобу.
Боб подпишет внешнюю сторону конверта, не открывая его, а затем отправит его обратно Алисе.
Затем Алиса может открыть его и найти письмо, подписанное Бобом, но Боб не видел его содержания.
Более формально, схема слепой подписи — это криптографический протокол, в котором участвуют две стороны: пользователь Алиса, которая хочет получать подписи на своих сообщениях, и подписывающий Боб, у которого есть свой личный ключ подписи.
В конце протокола Алиса получает подпись для m, а Боб ничего не знает о сообщении.
«Интуитивное ощущение, что вы ничему не учитесь, трудно описать математическими терминами.
Распространенный подход заключается в том, чтобы показать, что для каждой (противной) подписывающей стороны существует симулятор, который может выводить ту же информацию, что и подписывающая сторона.
Это похоже на то, как нулевое разглашение определяется в системах доказательства с нулевым разглашением [4].
Одна из простейших схем слепой подписи основана на подписании RSA. Традиционная подпись RSA вычисляется путем возведения сообщения m до секретного показателя d по модулю публичного модуля N. В слепой версии используется случайное значение r, так что r относительно просто N (т.е.
gcd(r, N) = 1).
r возводится в открытую экспоненту e по модулю N, и полученное значение используется в качестве маскирующего коэффициента.
Автор сообщения вычисляет произведение сообщения и коэффициента маскировки, т.е.
и отправляет полученное значение m' подписывающему органу.
Так как это случайное значение, а отображение 
перестановка, отсюда следует, что 
также случайный.
Это означает, что 
предотвращает утечку информации о м.
Затем подписывающий орган вычисляет слепую подпись следующим образом: 
s' отправляется обратно автору сообщения, который затем может удалить фактор маскировки, чтобы выявить s, действительную подпись RSA для m: 
Это работает, потому что ключи RSA удовлетворяют уравнению 
и поэтому 
следовательно, s действительно является подписью m. Для связи с использованием электромобилей было предложено несколько схем аутентификации [1].
В [4] была разработана схема под названием Lynx для анонимной передачи коммунальной компании информации об электромобилях в режиме реального времени, такой как время начала поездки, уровень заряда и т. д. Токен генерируется EV, который он использует для генерации секретных ключей, совместно используемых с утилитой, с использованием протокола Диффи-Хеллмана.
Кроме того, Lynx использует частично слепую схему подписи для обеспечения анонимности пользователей.
Схема также поощряет участие электромобилей, предоставляя анонимные квитанции о вознаграждении, генерируемые коммунальной службой.
Portune+ предлагает схему аутентификации в динамической системе оплаты, основанной на криптографии с симметричным ключом.
Схема позволяет электромобилям анонимно аутентифицироваться на CP, сохраняя при этом их местоположение конфиденциальным.
Поскольку во время зарядки электромобиль будет путешествовать по нескольким CP, выставление счетов реализовано таким образом, что общая сумма рассчитывается только после завершения сеанса зарядки.
Кроме того, CP должны пересылать учетные данные для аутентификации последующим CP, поэтому EV не нужно часто проходить аутентификацию.
Однако процесс распределения ключей неэффективен, поскольку утилите необходимо пересылать все псевдонимы и соответствующие ключи всем CP. CP также должны иметь большое пространство для хранения этих данных, что приводит к значительным накладным расходам на хранение и связь.
В [2] предложена схема быстрой аутентификации для оплаты электромобилей.
В схеме используется подход Just Fast Keying [3] для инициирования сеанса зарядки с каждым RSU, который служит посредником между электромобилем и коммунальным предприятием.
Чтобы обеспечить быстрый ответ и исключить необходимость частой аутентификации EV при перемещении между RSU, учетные данные EV пересылаются с одного RSU на другой.
Однако эта схема подвержена атакам повторного воспроизведения, не учитывает конфиденциальность электромобилей и не учитывает оплату.
Схема аутентификации была предложена в [1] для ускорения аутентификации между EV и CP. Схема состоит из двух основных частей: прямой и косвенной аутентификации.
При прямой аутентификации EV и CP аутентифицируют друг друга напрямую.
Затем CP пересылает запрос аутентификации утилите аутентификации драйвера.
Шифрование эллиптической кривой Эльгамаля используется для хранения криптографических ключей в списке отзыва.
Учетные данные электромобилей хранятся в модуле защиты от несанкционированного доступа, и они активируются для использования зарегистрированным органом управления автотранспортом (MA).
Эти ключи регулярно обновляются одним и тем же органом.
Чтобы отозвать ключи, ряд зарегистрированных органов отзыва должны сотрудничать, используя учетные данные от MA, чтобы идентифицировать EV, связанный с ключом.
Большое количество CP и частота связи с коммунальным предприятием могут привести к узким местам связи в CSP.
Заключение
- Слепой метод ЭС обеспечивает подтверждение истинности документов без раскрытия их авторства и может быть реализован с использованием ЭС 08А.
- В случае этого слепого ЭP критерий анонимности добавляется к критериям проверки безопасности механизма ЭP. При его использовании доказано, что подписавшему невозможно определить автора документа, если он использует все известные ему параметры, которые использовались при установке подписи.
- При тестировании механизма слепой цифровой подписи по критерию анонимности необходимо определить, может ли подписывающее лицо вычислить подпись в незамаскированном виде, используя базу данных промежуточных значений, которую он создает при размещении подписи.
- Механизм слепой подписи, основанный на WHEEL 14888-3:2014 (EU BBA), оказался устойчивым к критерию анонимности.
Исследования также показали, что связи между параметрами маскировки следует выбирать таким образом, чтобы подписывающее лицо не могло с их помощью идентифицировать автора документа.
- Основное преимущество предлагаемого слепого метода ЭП по сравнению с существующими состоит в том, что действия подписывающего и проверяющего аналогичны описанным в соответствующем стандарте для регулярного подписания и проверки в группе точек ЭК.
Единственное отличие состоит в том, что подписывающая сторона получает хэш-значение, а не рассчитывает его самостоятельно.
Действия по отличию слепой подписи от обычной подписи осуществляет эмитент. Этот метод делает реализацию слепого функционала ЭP в существующих информационных и телекоммуникационных системах такой, что практически не требуется дополнительных усилий.
Необходимо только реализовать протокол для эмитента, а подписавший и проверяющий могут использовать существующие инструменты для создания и проверки цифровых подписей.
Список использованной литературы
1. Бабаш, А.В.
Информационная безопасность.
Лабораторный практикум: Учебник / А.
В.
Бабаш, Е.
К.
Баранова, Ю.
Н.
Мельников.
- М.
: КноРус, 2016. 2. Гафнер, В.
В.
Информационная безопасность: Учебник / В.
В.
Гафнер.
— Rn/D: Финикс, 2017 г.
3. Громов Ю.
Ю.
Информационная безопасность и защита информации: Учебник / Ю.
Ю.
Громов, В.
О.
Драчев, О.
Г.
Иванова.
— Санкт-Оскол 4. Ефимова Л.
Л.
Информационная безопасность детей.
Российский и зарубежный опыт: Монография / Л.
Л.
Ефимова, С.
А.
Покер.
- М.
: ЕДИНСТВО-ДАНА, 2016. Теги: #информационная безопасность #Криптография #электронная подпись #слепая подпись
-
Вся Правда О Битых Пикселях
19 Oct, 24 -
Реалии Российского Менталитета
19 Oct, 24
