Слепая подпись

В криптографии , слепая подпись предложенная Дэвидом Чаумом , ^[1] Это форма цифровой подписи , при которой содержание сообщения замаскировано ( ослеплено ) перед его подписанием. Полученная в результате слепая подпись может быть публично проверена по сравнению с исходным неслепым сообщением аналогично обычной цифровой подписи. Слепые подписи обычно используются в протоколах, связанных с конфиденциальностью, где подписывающая сторона и автор сообщения являются разными сторонами. Примеры включают криптографические избирательные системы и цифровых денег схемы .

Часто используемая аналогия с криптографической слепой подписью - это физический акт, когда избиратель вкладывает заполненный анонимный бюллетень в специальный конверт с копировальной бумагой , на внешней стороне которого предварительно напечатаны учетные данные избирателя. Должностное лицо проверяет полномочия и подписывает конверт, тем самым перенося свою подпись на находящийся внутри бюллетень через копировальную бумагу. После подписания пакет возвращается избирателю, который перекладывает уже подписанный бюллетень в новый обычный конверт без пометок. Таким образом, подписывающая сторона не просматривает содержимое сообщения, но третья сторона может позже проверить подпись и узнать, что подпись действительна в пределах ограничений базовой схемы подписи.

Слепые подписи также могут использоваться для обеспечения невозможности связывания , что не позволяет подписывающему лицу связать скрытое сообщение, которое оно подписывает, с более поздней неслепой версией, для проверки которой его могут попросить проверить. В этом случае ответ подписывающего лица сначала «раскрывается» перед проверкой, таким образом, что подпись остается действительной для неслепого сообщения. Это может быть полезно в схемах, где анонимность требуется .

Схемы слепой подписи могут быть реализованы с использованием ряда распространенных схем подписи с открытым ключом , например RSA и DSA . Чтобы выполнить такую подпись, сообщение сначала «ослепляется», обычно путем объединения его каким-либо образом со случайным «фактором ослепления». Скрытое сообщение передается подписывающему лицу, которое затем подписывает его, используя стандартный алгоритм подписи. Полученное сообщение вместе с фактором ослепления может быть позже проверено по открытому ключу подписавшего. В некоторых схемах слепой подписи, таких как RSA, можно даже удалить фактор ослепления из подписи до ее проверки. В этих схемах конечный результат (сообщение/подпись) схемы слепой подписи идентичен выходному сигналу обычного протокола подписи.

Использование

Схемы слепой подписи широко используются в приложениях, где важна конфиденциальность отправителя. Сюда входят различные схемы « цифровой наличности » и протоколы голосования .

Например, целостность некоторой системы электронного голосования может потребовать, чтобы каждый бюллетень был заверен избирательным органом, прежде чем он будет принят к подсчету; это позволяет органу власти проверить полномочия избирателя, чтобы убедиться, что ему разрешено голосовать и что он не подает более одного бюллетеня. При этом важно, чтобы эта власть не узнавала выбор избирателя. Несвязываемая слепая подпись обеспечивает эту гарантию, поскольку орган власти не увидит содержание любого бюллетеня, который он подписывает, и не сможет связать подписанные им слепые бюллетени с неслепыми бюллетенями, которые он получает для подсчета.

Схемы слепой подписи

Схемы слепой подписи существуют для многих протоколов подписи с открытым ключом. Более формально схема слепой подписи — это криптографический протокол , в котором участвуют две стороны: пользователь Алиса, которая хочет получить подписи на своих сообщениях, и подписывающий Боб, владеющий своим секретным ключом подписи. В конце протокола Алиса получает подпись Боба на m, при этом Боб ничего не узнает о сообщении. Интуитивное ощущение отсутствия обучения чему-либо трудно выразить в математических терминах. Обычный подход состоит в том, чтобы показать, что для каждой (противной) подписывающей стороны существует симулятор, который может выводить ту же информацию, что и подписывающая сторона. Это похоже на то, как понятие с нулевым разглашением определяется в системах доказательства с нулевым разглашением .

Слепые подписи RSA

^[2]^: 235

Одна из простейших схем слепой подписи основана на подписании RSA. Традиционная подпись RSA вычисляется путем возведения сообщения m в секретный показатель степени d по модулю публичного N. модуля В слепой версии используется случайное значение r , такое, что r является относительно простым с N (т.е. НОД ( r , N ) = 1). r возводится в публичный показатель степени e по модулю N , и полученное значение $r^{e}{\bmod {N}}$ используется в качестве ослепляющего фактора. Автор сообщения вычисляет произведение сообщения и коэффициента ослепления, т.е.:

m'\equiv mr^{e}\ (\mathrm {mod} \ N)

и отправляет полученное значение $m'$ подписавшему органу. Поскольку r — случайная величина и отображение $r\mapsto r^{e}{\bmod {N}}$ является перестановкой, отсюда следует, что $r^{e}{\bmod {N}}$ тоже случайно. Это означает, что $m'$ не передает никакой информации о м . Затем подписывающий орган рассчитывает количество скрытых подписей следующим образом:

s'\equiv (m')^{d}\ (\mathrm {mod} \ N).

s' отправляется обратно автору сообщения, который затем может удалить фактор скрытия, чтобы выявить s , действительную RSA-подпись m :

s\equiv s'\cdot r^{-1}\ (\mathrm {mod} \ N)

Это работает, потому что ключи RSA удовлетворяют уравнению $r^{ed}\equiv r{\pmod {N}}$ и таким образом

s\equiv s'\cdot r^{-1}\equiv (m')^{d}r^{-1}\equiv m^{d}r^{ed}r^{-1}\equiv m^{d}rr^{-1}\equiv m^{d}{\pmod {N}},

следовательно, s действительно является подписью m .

На практике обычно желательно свойство, при котором подписание одного скрытого сообщения дает не более одного действительного подписанного сообщения. Это означает, например, один голос за подписанный бюллетень на выборах. Это свойство не применимо к простой схеме, описанной выше: исходное сообщение и открытая подпись действительны, но также действительны и скрытое сообщение, и слепая подпись, а также, возможно, другие комбинации, данные умному злоумышленнику. Решением этой проблемы является слепая подпись криптографического хеша сообщения, а не самого сообщения. ^[3]

Опасности слепого подписания RSA

RSA подвержен атаке с использованием ослепления RSA, посредством которой можно обманным путем заставить расшифровать сообщение путем слепой подписи другого сообщения. Поскольку процесс подписи эквивалентен расшифровке с помощью секретного ключа подписывающего лица, злоумышленник может предоставить скрытую версию сообщения. $m$ зашифрован открытым ключом подписывающего лица, $m'$ чтобы они подписали. Зашифрованное сообщение обычно представляет собой некоторую секретную информацию, которую, по наблюдениям злоумышленника, отправляют зашифрованной под открытым ключом подписавшего, о которой злоумышленник хочет узнать больше. Когда злоумышленник снимет слепоту, подписанная версия будет иметь открытый текст:

{\begin{aligned}m''&=m'r^{e}{\pmod {n}}\\&=(m^{e}{\pmod {n}}\cdot r^{e}){\pmod {n}}\\&=(mr)^{e}{\pmod {n}}\\\end{aligned}}

где $m'$ это зашифрованная версия сообщения. Когда сообщение подписано, открытый текст $m$ легко извлекается:

{\begin{aligned}s'&=m''^{d}{\pmod {n}}\\&=((mr)^{e}{\pmod {n}})^{d}{\pmod {n}}\\&=(mr)^{ed}{\pmod {n}}\\&=m\cdot r{\pmod {n}}{\mbox{, since }}ed\equiv 1{\pmod {\phi (n)}}\\\end{aligned}}

Обратите внимание, что $\phi (n)$ относится к общей функции Эйлера . Сообщение теперь легко получить.

{\begin{aligned}m=s'\cdot r^{-1}{\pmod {n}}\end{aligned}}

Эта атака работает, потому что в этой схеме слепой подписи подписывающее лицо подписывает сообщение напрямую. Напротив, в схеме неслепой подписи подписывающее лицо обычно использует схему заполнения (например, вместо подписания результата криптографической хеш-функции, примененной к сообщению, вместо подписания самого сообщения), однако, поскольку подписывающее лицо не знает фактического сообщение, любая схема заполнения приведет к неправильному значению, если она не скрыта. Из-за этого мультипликативного свойства RSA никогда не следует использовать один и тот же ключ как для шифрования, так и для подписи.

См. также

Ссылки

^ Чаум, Дэвид (1983). «Слепые подписи для неотслеживаемых платежей» (PDF) . Достижения криптологии . Том. 82. стр. 199–203. дои : 10.1007/978-1-4757-0602-4_18 . ISBN 978-1-4757-0604-8 .
^ Гольдвассер, С. и Белларе, М. «Конспекты лекций по криптографии». Архивировано 21 апреля 2012 г. в Wayback Machine . Летний курс по криптографии, Массачусетский технологический институт, 1996–2001 гг.
^ Проблемы One-More-RSA-Inversion и безопасность схемы слепой подписи Чаума

Внешние ссылки

Заявка EP 1571777 , Канард, С., Гауд, М., Траоре, Дж., «Процесс электронного голосования с использованием справедливых слепых подписей», опубликовано 7 сентября 2005 г., передано France Telecom.
Безопасность слепых подписей при прерываниях
Реализация слепой подписи в Java

[1] Чаум, Дэвид (1983). «Слепые подписи для неотслеживаемых платежей» (PDF) . Достижения криптологии . Том. 82. стр. 199–203. дои : 10.1007/978-1-4757-0602-4_18 . ISBN 978-1-4757-0604-8 .

[GoldwasserBellare-2] Гольдвассер, С. и Белларе, М. «Конспекты лекций по криптографии». Архивировано 21 апреля 2012 г. в Wayback Machine . Летний курс по криптографии, Массачусетский технологический институт, 1996–2001 гг.

[3] Проблемы One-More-RSA-Inversion и безопасность схемы слепой подписи Чаума

[1]

[2]

[3]