Распределенная генерация ключей

Генерация распределенных ключей (DKG) — это криптографический процесс, в котором несколько сторон участвуют в вычислении общего набора открытых и закрытых ключей. В отличие от большинства моделей шифрования с открытым ключом , генерация распределенного ключа не зависит от доверенных третьих сторон . ^[1] Вместо этого участие определенного количества честных сторон определяет, можно ли успешно вычислить пару ключей. ^[2] Распределенная генерация ключей предотвращает доступ отдельных сторон к закрытому ключу. Участие многих сторон требует распределенной генерации ключей для обеспечения секретности при наличии злонамеренного вклада в вычисление ключа. ^[1]

Генерация распределенных ключей обычно используется для расшифровки общих зашифрованных текстов или создания групповых цифровых подписей . ^[2]

История

Протокол генерации распределенных ключей был впервые описан Торбеном Педерсеном в 1991 году. Эта первая модель зависела от безопасности Объединенного протокола Фельдмана для проверяемого обмена секретами во время процесса обмена секретами. ^[3]

В 1999 году Розарио Дженнаро, Станислав Ярецкий, Хьюго Кравчик и Таль Рабин представили серию доказательств безопасности, демонстрирующих, что поддающееся проверке разделение секретов Фельдмана уязвимо для вредоносного вмешательства в распределенный генератор ключей Педерсена, который может привести к утечке информации об общем закрытом ключе. ^[4]^[5] Та же группа также предложила обновленную схему генерации распределенных ключей, предотвращающую влияние злонамеренных действий на значение закрытого ключа.

Методы

Протокол распределенной генерации ключей, указанный Дженнаро, Ярецким, Кравчиком и Рабином, предполагает, что группа игроков уже была создана честной стороной до генерации ключа. Он также предполагает, что связь между сторонами является синхронной . ^[5]

Педерсена Все стороны используют проверяемый протокол обмена секретами для обмена результатами двух случайных полиномиальных функций .
Затем каждая сторона проверяет все полученные ею акции. Если проверка не удалась, получатель передает жалобу стороне, чья доля не удалась. Затем каждая обвиняемая сторона публикует свои акции. Затем каждая сторона имеет возможность проверить долю трансляции или дисквалифицировать обвиняемых. Все стороны составляют общий список недисквалифицированных сторон.
Каждая недисквалифицированная сторона передает набор значений, созданный путем возведения общего генератора в степень каждого значения, используемого в одном полиноме в Части 1 .
Эти широковещательные значения проверяются каждой стороной аналогично тому, как описано в Части 2 . Если проверка не удалась, сторона теперь передает как значения, полученные в Части 1 , так и значения, полученные в Части 3 . Для каждой стороны с поддающимися проверке жалобами все остальные стороны реконструируют свои собственные наборы ценностей, чтобы исключить дисквалифицируемые вклады.
Группа вычисляет закрытый ключ как произведение каждого квалифицированного вклада (случайный полином каждой квалифицированной стороны, оцененный как 0). ^[5]

Как избежать предположения синхронности

В 2009 году Аникет Кейт и Ян Голдберг представили протокол распределенной генерации ключей, подходящий для использования через Интернет. ^[6] В отличие от более ранних конструкций, этот протокол не требует широковещательного канала или предположения о синхронной связи, а также готовая к использованию библиотека доступна .

Надежность

Во многих случаях надежный необходим распределенный генератор ключей. Надежные протоколы генераторов могут восстанавливать открытые ключи для удаления вредоносных общих ресурсов, даже если злоумышленники все еще остаются в квалифицированной группе на этапе восстановления. ^[5] Например, надежные многосторонние цифровые подписи могут выдерживать количество злоумышленников, примерно пропорциональное длине модуля, используемого при генерации ключа. ^[7]

DKG с редкой оценкой

Генераторы распределенных ключей могут реализовать разреженную матрицу оценки, чтобы повысить эффективность на этапах проверки. Разреженная оценка может улучшить время выполнения $O(nt)$ (где $n$ количество партий и $t$ это порог злонамеренных пользователей), чтобы $O(log^{3}n)$ . Вместо надежной проверки разреженная оценка требует, чтобы небольшая группа сторон проверила небольшой, случайно выбранный набор акций. Это приводит к небольшой вероятности того, что генерация ключа завершится неудачей в случае, если для проверки не выбрано большое количество вредоносных общих ресурсов. ^[8]

Приложения

Генерация распределенных ключей и криптография с распределенными ключами редко применяются в Интернете из-за того, что они полагаются на синхронную связь. ^[5]

Криптография с распределенным ключом полезна в службах депонирования ключей , где компания может достичь порогового значения для расшифровки зашифрованной версии закрытого ключа. Таким образом, компания может потребовать от нескольких сотрудников восстановить закрытый ключ, не предоставляя службе условного депонирования копию в виде открытого текста. ^[1]

Генерация распределенного ключа также полезна при на стороне сервера по паролю аутентификации . Если хэши паролей хранятся на одном сервере, взлом на сервере приведет к тому, что все хэши паролей станут доступны злоумышленникам для анализа в автономном режиме. Варианты генерации распределенных ключей позволяют аутентифицировать пароли пользователей на нескольких серверах и исключить единые точки сбоя . ^[9]^[10]

Распределенная генерация ключей чаще используется для групповых цифровых подписей. Это действует как форма голосования, в которой должно участвовать определенное количество членов группы, чтобы группа могла поставить цифровую подпись документа. ^[2]

Ссылки

^ Jump up to: ^а ^б ^с Кейт, Аникет; Голдберг, Ян (2010). «Распределенные генераторы закрытых ключей для криптографии на основе личных данных». Безопасность и криптография для сетей . Конспекты лекций по информатике. Том. 6280. стр. 436–453. CiteSeerX 10.1.1.389.4486 . дои : 10.1007/978-3-642-15317-4_27 . ISBN 978-3-642-15316-7 .
^ Jump up to: ^а ^б ^с Болдырева, Александра (2003). «Пороговые подписи, мультиподписи и слепые подписи на основе схемы подписи группы Гэпа-Диффи-Хеллмана» (PDF) . Криптография с открытым ключом — PKC 2003 . Конспекты лекций по информатике. Том. 2567. стр. 31–46. дои : 10.1007/3-540-36288-6_3 . ISBN 978-3-540-00324-3 . {{cite book}}: |journal= игнорируется ( помогите )
^ Педерсен, Т.П. (1992). «Неинтерактивный и теоретико-информационный безопасный и проверяемый обмен секретами». Достижения в криптологии – КРИПТО '91 . Конспекты лекций по информатике. Том. 576. стр. 129–140. дои : 10.1007/3-540-46766-1_9 . ISBN 978-3-540-55188-1 .
^ Дженнаро, Росарио; Ярецкий, Станислав; Кравчик, Хьюго; Рабин, Таль (1999). «Безопасная генерация распределенных ключей для криптосистем на основе дискретного журнала» . Материалы 17-й Международной конференции по теории и применению криптографических методов . ЕВРОКРИПТ'99. Берлин, Гейдельберг: Springer-Verlag: 295–310. ISBN 978-3-540-65889-4 .
^ Jump up to: ^а ^б ^с ^д ^и Дженнаро, Росарио; Ярецкий, Станислав; Кравчик, Хьюго; Рабин, Таль (24 мая 2006 г.). «Безопасная генерация распределенных ключей для криптосистем на основе дискретного журнала». Журнал криптологии . 20 (1): 51–83. CiteSeerX 10.1.1.134.6445 . дои : 10.1007/s00145-006-0347-3 . S2CID 3331212 .
^ Кейт, Аникет; Голдберг, Ян (2006). «Распределенная генерация ключей для Интернета». IEEE ICDCS . дои : 10.1109/ICDCS.2009.21 .
^ Кастеллучча, Клод; Ярецкий, Станислав; Ким, Джихе; Цудик, Джин (2006). «Безопасное агрегирование подтверждений и мультиподписи с ограниченной надежностью». Компьютерные сети . 50 (10): 1639–1652. дои : 10.1016/j.comnet.2005.09.021 .
^ Кэнни, Джон; Соркин, Стив (2004). «Практическая крупномасштабная распределенная генерация ключей». Достижения в криптологии - EUROCRYPT 2004 (PDF) . Конспекты лекций по информатике. Том. 3027. стр. 138–152. CiteSeerX 10.1.1.69.6028 . дои : 10.1007/978-3-540-24676-3_9 . ISBN 978-3-540-21935-4 .
^ Маккензи, Филип; Шримптон, Томас; Маркус, Якобссон (2006). «Обмен ключами с пороговой аутентификацией по паролю». Журнал криптологии . 19 (1): 27–66. CiteSeerX 10.1.1.101.6403 . дои : 10.1007/s00145-005-0232-5 . S2CID 1732140 .
^ Ярецкий, Станислав; Киайас, Аггелос; Кравчик, Хьюго (2014). «Оптимальный обмен секретами, защищенными паролем, и T-PAKE в модели только с паролем» (PDF) . Архив электронной печати по криптологии . 650 . Проверено 5 ноября 2014 г.

[Kate-1] Jump up to: ^а ^б ^с Кейт, Аникет; Голдберг, Ян (2010). «Распределенные генераторы закрытых ключей для криптографии на основе личных данных». Безопасность и криптография для сетей . Конспекты лекций по информатике. Том. 6280. стр. 436–453. CiteSeerX 10.1.1.389.4486 . дои : 10.1007/978-3-642-15317-4_27 . ISBN 978-3-642-15316-7 .

[Boldyreva-2] Jump up to: ^а ^б ^с Болдырева, Александра (2003). «Пороговые подписи, мультиподписи и слепые подписи на основе схемы подписи группы Гэпа-Диффи-Хеллмана» (PDF) . Криптография с открытым ключом — PKC 2003 . Конспекты лекций по информатике. Том. 2567. стр. 31–46. дои : 10.1007/3-540-36288-6_3 . ISBN 978-3-540-00324-3 . {{cite book}}: |journal= игнорируется ( помогите )

[3] Педерсен, Т.П. (1992). «Неинтерактивный и теоретико-информационный безопасный и проверяемый обмен секретами». Достижения в криптологии – КРИПТО '91 . Конспекты лекций по информатике. Том. 576. стр. 129–140. дои : 10.1007/3-540-46766-1_9 . ISBN 978-3-540-55188-1 .

[4] Дженнаро, Росарио; Ярецкий, Станислав; Кравчик, Хьюго; Рабин, Таль (1999). «Безопасная генерация распределенных ключей для криптосистем на основе дискретного журнала» . Материалы 17-й Международной конференции по теории и применению криптографических методов . ЕВРОКРИПТ'99. Берлин, Гейдельберг: Springer-Verlag: 295–310. ISBN 978-3-540-65889-4 .

[Gennaro-5] Jump up to: ^а ^б ^с ^д ^и Дженнаро, Росарио; Ярецкий, Станислав; Кравчик, Хьюго; Рабин, Таль (24 мая 2006 г.). «Безопасная генерация распределенных ключей для криптосистем на основе дискретного журнала». Журнал криптологии . 20 (1): 51–83. CiteSeerX 10.1.1.134.6445 . дои : 10.1007/s00145-006-0347-3 . S2CID 3331212 .

[6] Кейт, Аникет; Голдберг, Ян (2006). «Распределенная генерация ключей для Интернета». IEEE ICDCS . дои : 10.1109/ICDCS.2009.21 .

[7] Кастеллучча, Клод; Ярецкий, Станислав; Ким, Джихе; Цудик, Джин (2006). «Безопасное агрегирование подтверждений и мультиподписи с ограниченной надежностью». Компьютерные сети . 50 (10): 1639–1652. дои : 10.1016/j.comnet.2005.09.021 .

[8] Кэнни, Джон; Соркин, Стив (2004). «Практическая крупномасштабная распределенная генерация ключей». Достижения в криптологии - EUROCRYPT 2004 (PDF) . Конспекты лекций по информатике. Том. 3027. стр. 138–152. CiteSeerX 10.1.1.69.6028 . дои : 10.1007/978-3-540-24676-3_9 . ISBN 978-3-540-21935-4 .

[9] Маккензи, Филип; Шримптон, Томас; Маркус, Якобссон (2006). «Обмен ключами с пороговой аутентификацией по паролю». Журнал криптологии . 19 (1): 27–66. CiteSeerX 10.1.1.101.6403 . дои : 10.1007/s00145-005-0232-5 . S2CID 1732140 .

[10] Ярецкий, Станислав; Киайас, Аггелос; Кравчик, Хьюго (2014). «Оптимальный обмен секретами, защищенными паролем, и T-PAKE в модели только с паролем» (PDF) . Архив электронной печати по криптологии . 650 . Проверено 5 ноября 2014 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]