Подпись группы

Схема групповой подписи — это метод, позволяющий члену группы анонимно подписывать сообщение от имени группы. Эта концепция была впервые представлена ​​Дэвидом Чаумом и Юджином ван Хейстом в 1991 году. Например, схема групповой подписи может использоваться сотрудником крупной компании, где проверяющему достаточно знать, что сообщение было подписано сотрудником, но а не какой конкретный сотрудник его подписал. Другое приложение предназначено для доступа по ключ-карте в зоны с ограниченным доступом, где нецелесообразно отслеживать перемещения отдельных сотрудников, но необходимо обеспечить безопасность зон только для сотрудников в группе.

Важным элементом схемы групповой подписи является менеджер группы , который отвечает за добавление членов группы и имеет возможность указать первоначального подписавшего в случае споров. В некоторых системах обязанности по добавлению участников и отмене анонимности подписи разделены и возложены на менеджера членства и менеджера по отзыву соответственно. Было предложено множество схем, однако все они должны соответствовать следующим основным требованиям:

Прочность и полнота

Действительные подписи членов группы всегда проверяются правильно, а недействительные подписи всегда не проходят проверку.

Неподделываемый

Только члены группы могут создавать действительные групповые подписи.

Анонимность

менеджера группы Учитывая сообщение и его подпись, личность отдельного подписавшего не может быть определена без секретного ключа .

Прослеживаемость

При наличии любой действительной подписи менеджер группы должен иметь возможность отследить, какой пользователь ее выдал. (Это и предыдущее требование подразумевают, что только менеджер группы может нарушить анонимность пользователей.)

несвязность

Учитывая два сообщения и их подписи, мы не можем сказать, были ли подписи от одного и того же подписавшего или нет.

Без рамки

Даже если все остальные члены группы (и менеджеры) вступят в сговор , они не смогут подделать подпись для неучаствующего члена группы.

Неподдельная проверка отслеживания

Менеджер по отзыву не может ложно обвинять подписавшего в создании подписи, которую он не создавал.

Коалиционное сопротивление

Подмножество вступающих в сговор членов группы не может создать действительную подпись, которую менеджер группы не может связать с одним из вступающих в сговор членов группы. ^[1]

ACJT 2000 , ^[1] ББС04 , ^[2] и схемы групповой подписи BS04 (в CCS) являются одними из самых современных. (Примечание: это может быть неполный список.)

Бонех, Бойен и Шахам опубликовали в 2004 году ( BBS04 , Crypto04) новую схему групповой подписи, основанную на билинейных картах. ^[2] Подписи в этой схеме примерно такого же размера, как стандартная подпись RSA (около 200 байт). Безопасность схемы доказана в модели случайного оракула и опирается на предположение Строгого Диффи-Хеллмана (SDH) и новое предположение в билинейных группах, называемое предположением линейного решения (DLin).

Более формальное определение, ориентированное на доказуемую безопасность, было дано Белларе, Мичиансио и Варински. ^[3]

• Кольцевая подпись : аналогичная система, которая исключает требование менеджера группы и обеспечивает истинную анонимность подписывающих лиц (некоторые алгоритмы, тем не менее, сохраняют некоторые «ограничивающие» свойства, такие как отслеживаемость или возможность связывания).
• Пороговая подпись . Пороговая подпись предполагает наличие кворума (порога) фиксированного размера подписавшихся. Каждый подписывающий должен быть действительным членом группы и иметь долю секретного ключа подписи группы. Схема пороговой подписи (t,n) поддерживает n потенциальных подписантов, любой t из которых может подписывать от имени группы. Пороговые подписи ничего не раскрывают о подписывающих сторонах; никто не может отследить личности подписавших (даже доверенный центр, установивший систему).
• Мультиподпись : Мультиподпись представляет собой определенное количество подписывающих лиц, подписывающих данное сообщение. Количество подписавших не фиксировано, и личность подписавшего очевидна из данной мультиподписи. Мультиподпись намного короче (иногда постоянной), чем простой набор отдельных подписей.
• Подпись по доверенности . Подпись по доверенности позволяет делегату предоставлять частичные права подписи другим сторонам, называемым доверенными лицами. Подписи прокси не обеспечивают анонимность
• Схемы депонирования идентификационных данных : интерактивная двойная групповая подпись. Вместо автономной генерации подпись создается непосредственно подписывающей стороной на основе запроса, предоставленного проверяющим лицом.

• Чаум, Дэвид; ван Хейст, Юджин (1991). «Подписи групп» (PDF) . Достижения в криптологии — EUROCRYPT '91 . Конспекты лекций по информатике . Том. 547. стр. 257–265. дои : 10.1007/3-540-46416-6_22 . ISBN  978-3-540-54620-7 .
• Камениш, Ян; Михельс, Маркус (1998). «Схема групповой подписи на основе варианта RSA» (PDF) . Фундаментальные исследования в области компьютерных наук . 5 (27). дои : 10.7146/brics.v5i27.19433 . ISSN   0909-0878 .
• М. Белларе; Х. Ши; К. Чжан (2005). «Основы групповых подписей: случай динамических групп» . В А. Менезесе (ред.). Темы криптологии – CT-RSA 2005 . Конспекты лекций по информатике. Том. 3376. Шпрингер-Верлаг. стр. 136–153. дои : 10.1007/978-3-540-30574-3_11 . ISBN  978-3-540-24399-1 . Архивировано из оригинала 15 февраля 2009 г. Проверено 25 августа 2007 г.
• Белларе, Михир; Миччанчо, Даниэле; Варински, Богдан (май 2003 г.). «Основы групповых подписей: формальные определения, упрощенные требования и конструкция, основанная на общих предположениях» . Достижения в криптологии — EUROCRYPT 2003 . Конспекты лекций по информатике. Том. 2656. Варшава, Польша: Springer. стр. 614–629. дои : 10.1007/3-540-39200-9_38 . ISBN  978-3-540-14039-9 . Архивировано из оригинала 15 февраля 2009 г. Проверено 25 августа 2007 г.
• Килиан, Джо; Петранк, Эрез (1998). «Удостоверение личности». Достижения криптологии — КРИПТО '98 . Конспекты лекций по информатике. Том. 1462. стр. 169–185. CiteSeerX   10.1.1.21.6420 . дои : 10.1007/BFb0055727 . ISBN  978-3-540-64892-5 .