Кольцевая подпись

В криптографии кольцевая подпись — это тип цифровой подписи , которую может выполнить любой член группы пользователей, у каждого из которых есть ключи . Таким образом, сообщение, подписанное кольцевой подписью, одобрено кем-то из определенной группы людей. Одним из свойств безопасности кольцевой подписи является то, что с вычислительной точки зрения невозможно определить, какой из ключей членов набора использовался для создания подписи. Кольцевые подписи похожи на групповые подписи , но отличаются двумя ключевыми моментами: во-первых, невозможно отменить анонимность отдельной подписи; и, во-вторых, любой набор пользователей может использоваться в качестве набора для подписи без дополнительной настройки.

Кольцевые подписи были изобретены Роном Ривестом , Ади Шамиром и Яэлем Тауманом Калаем и представлены на ASIACRYPT в 2001 году. ^{[ 1 ]} Название «кольцевая подпись » происходит от кольцевой структуры алгоритма подписи .

В этом определении отсутствует информация об определении. В настоящее время в этом разделе описываются некоторые полезные свойства кольцевой подписи, но не математическое определение. Пожалуйста, расширьте определение, включив в него эту информацию. Более подробную информацию можно найти на странице обсуждения . ( апрель 2022 г. )

Предположим, что каждый из множества объектов имеет пары открытого/закрытого ключей ( P ₁ , S ₁ ), ( P ₂ , S ₂ ), ..., ( P _n , S _n ). Сторона i сообщении m на входе ( m , Si _, n P ₁ , ..., P _{может вычислить кольцевую подпись σ на} ). Любой может проверить достоверность кольцевой подписи, зная σ, m и задействованные открытые ключи P ₁ , ..., P _n . Если кольцевая подпись рассчитана правильно, она должна пройти проверку. С другой стороны, кому-либо будет сложно создать действительную кольцевую подпись для любого сообщения для любого набора, не зная каких-либо закрытых ключей для этого набора. ^{[ 2 ]}

В оригинальной статье Ривест, Шамир и Тауман описали кольцевые подписи как способ раскрытия секрета. Например, кольцевая подпись может использоваться для обеспечения анонимной подписи «высокопоставленного чиновника Белого дома », не раскрывая, какой чиновник подписал сообщение. Кольцевые подписи подходят для этого приложения, поскольку анонимность кольцевой подписи не может быть отозвана, а также потому, что группу для кольцевой подписи можно создать импровизировать.

Другое применение, также описанное в оригинальной статье, предназначено для отрицаемых подписей . Здесь отправитель и получатель сообщения образуют группу для кольцевой подписи, тогда подпись действительна для получателя, но кто-либо еще не будет уверен, был ли фактический подписавший получатель или отправитель. Таким образом, такая подпись убедительна, но не может быть передана за пределы предполагаемого получателя.

Были различные работы, вводившие новые возможности и основанные на разных предположениях:

Пороговые кольцевые сигнатуры

^{[ 3 ]} В отличие от стандартной « t -out-of- n » пороговой подписи , где для подписания сообщения должны сотрудничать t из n пользователей, этот вариант кольцевой подписи требует t сотрудничества пользователей в протоколе кольцевой подписи . А именно, t сторон S ₁ , ..., S _t ∈ { P ₁ , ..., P _n } могут вычислить ( t , n )-кольцевую подпись σ в сообщении m на входе ( m , С ₁ , ..., Ст _т , П ₁ , ..., П _н ).

Связываемые кольцевые подписи

^{[ 4 ]} Свойство связываемости позволяет определить, были ли какие-либо две подписи созданы одним и тем же участником (под одним и тем же закрытым ключом). Тем не менее личность подписавшего сохраняется. Одним из возможных приложений может стать автономная система электронных денег .

Отслеживаемая кольцевая подпись

^{[ 5 ]} В дополнение к предыдущей схеме раскрывается открытый ключ подписывающего лица (если под одним и тем же закрытым ключом выдается более одной подписи). систему электронного голосования . С использованием этого протокола можно реализовать

Большинство предложенных алгоритмов имеют асимптотический размер вывода. ${\displaystyle O(n)}$; т. е. размер результирующей подписи увеличивается линейно с размером входных данных (количество открытых ключей). Это означает, что такие схемы неосуществимы для реальных случаев использования с достаточно большими ${\displaystyle n}$ (например, электронное голосование с миллионами участников). Но для некоторых приложений с относительно небольшим медианным размером входных данных такая оценка может быть приемлемой. CryptoNote реализует ${\displaystyle O(n)}$ Схема кольцевой подписи Фудзисаки и Сузуки ^{[ 5 ]} в p2p-платежах для обеспечения невозможности отслеживания отправителя.

Недавно появились более эффективные алгоритмы. Есть схемы с сублинейным размером подписи, ^{[ 6 ]} так и с постоянным размером. ^{[ 7 ]}

В оригинальной статье описывается схема кольцевой подписи на основе RSA , а также схема, основанная на подписях Рабина . Они определяют ключевую «функцию объединения». ${\displaystyle C_{k,v}(y_{1},y_{2},\dots ,y_{n})}$ который принимает ключ ${\displaystyle k}$, значение инициализации ${\displaystyle v}$и список произвольных значений ${\displaystyle y_{1},\dots y_{n}}$. ${\displaystyle y_{i}}$ определяется как ${\displaystyle g_{i}(x_{i})}$, где ${\displaystyle g_{i}}$ является функцией-ловушкой (т.е. открытым ключом RSA в случае кольцевых подписей на основе RSA).

Функция ${\displaystyle C_{k,v}(y_{1},y_{2},\dots ,y_{n})}$ называется кольцевым уравнением и определяется ниже. Уравнение основано на симметричной функции шифрования ${\displaystyle E_{k}}$:

${\displaystyle C_{k,v}(y_{1},y_{2},\dots ,y_{n})=E_{k}(y_{n}\oplus E_{k}(y_{n-1}\oplus E_{k}(\dots \oplus E_{k}(y_{1}\oplus v)\dots )))}$

Он выводит одно значение ${\displaystyle z}$ который вынужден быть равен ${\displaystyle v}$. Уравнение ${\displaystyle v=C_{k,v}(y_{1},y_{2},\dots ,y_{n})}$ можно решить, если есть хотя бы одно ${\displaystyle y_{i}}$и, соответственно, ${\displaystyle x_{i}}$, может быть выбран свободно. В предположениях RSA это подразумевает знание хотя бы одной из обратных функций люка. ${\displaystyle g_{i}^{-1}}$ (т.е. закрытый ключ), поскольку ${\displaystyle g_{i}^{-1}(y_{i})=x_{i}}$.

Создание кольцевой подписи включает шесть шагов. Открытый текст обозначается ${\displaystyle m}$, открытые ключи кольца ${\displaystyle P_{1},P_{2},\dots ,P_{n}}$.

1. Рассчитать ключ ${\displaystyle k={\mathcal {H}}(m)}$, используя криптографическую хэш-функцию . На этом этапе предполагается случайный оракул для ${\displaystyle {\mathcal {H}}}$, с ${\displaystyle k}$ будет использоваться в качестве ключа для ${\displaystyle E_{k}}$.
2. Выберите случайное значение клея ${\displaystyle v}$.
3. Выбрать случайно ${\displaystyle x_{i}}$ для всех участников кольца, кроме вас ( ${\displaystyle x_{s}}$ будет рассчитываться с использованием закрытого ключа подписывающей стороны) и вычислять соответствующий ${\displaystyle y_{i}=g_{i}(x_{i})}$.
4. Решите кольцевое уравнение для ${\displaystyle y_{s}}$
5. Рассчитать ${\displaystyle x_{s}}$ используя закрытый ключ подписывающего лица: ${\displaystyle x_{s}=g_{s}^{-1}(y_{s})}$
6. Кольцевая подпись теперь ${\displaystyle (2n+1)}$-кортеж ${\displaystyle (P_{1},P_{2},\dots ,P_{n};v;x_{1},x_{2},\dots ,x_{n})}$

Проверка подписи включает в себя три этапа.

1. Примените люк с открытым ключом ко всем ${\displaystyle x_{i}}$: ${\displaystyle y_{i}=g_{i}(x_{i})}$.
2. Вычислить симметричный ключ ${\displaystyle k={\mathcal {H}}(m)}$.
3. Убедитесь, что кольцевое уравнение выполнено ${\displaystyle C_{k,v}(y_{1},y_{2},\dots ,y_{n})=v}$.

Вот на Python реализация оригинальной статьи с использованием RSA . Требуется сторонний модуль PyCryptodome.

import os
import hashlib
import random
import Crypto.PublicKey.RSA

import functools

class Ring:
    """RSA implementation."""

    def __init__(self, k, L: int = 1024) -> None:
        self.k = k
        self.l = L
        self.n = len(k)
        self.q = 1 << (L - 1)

    def sign_message(self, m: str, z: int):
        self._permut(m)
        s = [None] * self.n
        u = random.randint(0, self.q)
        c = v = self._E(u)

        first_range = list(range(z + 1, self.n))
        second_range = list(range(z))
        whole_range = first_range + second_range

        for i in whole_range:
            s[i] = random.randint(0, self.q)
            e = self._g(s[i], self.k[i].e, self.k[i].n)
            v = self._E(v ^ e)
            if (i + 1) % self.n == 0:
                c = v

        s[z] = self._g(v ^ u, self.k[z].d, self.k[z].n)
        return [c] + s

    def verify_message(self, m: str, X) -> bool:
        self._permut(m)

        def _f(i):
            return self._g(X[i + 1], self.k[i].e, self.k[i].n)

        y = map(_f, range(len(X) - 1))
        y = list(y)

        def _g(x, i):
            return self._E(x ^ y[i])

        r = functools.reduce(_g, range(self.n), X[0])
        return r == X[0]

    def _permut(self, m):
        msg = m.encode("utf-8")
        self.p = int(hashlib.sha1(msg).hexdigest(), 16)

    def _E(self, x):
        msg = f"{x}{self.p}".encode("utf-8")
        return int(hashlib.sha1(msg).hexdigest(), 16)

    def _g(self, x, e, n):
        q, r = divmod(x, n)
        if ((q + 1) * n) <= ((1 << self.l) - 1):
            result = q * n + pow(r, e, n)
        else:
            result = x
        return result

Чтобы подписать и подтвердить 2 сообщения в кольце из 4 пользователей:

size = 4
msg1, msg2 = "hello", "world!"

def _rn(_):
    return Crypto.PublicKey.RSA.generate(1024, os.urandom)

key = map(_rn, range(size))
key = list(key)

r = Ring(key)

for i in range(size):
    signature_1 = r.sign_message(msg1, i)
    signature_2 = r.sign_message(msg2, i)
    assert r.verify_message(msg1, signature_1) and r.verify_message(msg2, signature_2) and not r.verify_message(msg1, signature_2)

Monero и несколько других криптовалют используют эту технологию. ^{[ нужна ссылка ]}

• Свидетель-неотличимые доказательства

В эту статью включен текст , доступный по лицензии CC BY-SA 4.0 .