Все о геологии :: на главную страницу! Геовикипедия 
wiki.web.ru 
Поиск  
  Rambler's Top100 Service
 Главная страница  Конференции: Календарь / Материалы  Каталог ссылок    Словарь       Форумы        В помощь студенту     Последние поступления
   Геология | Курсы лекций
 Обсудить в форуме  Добавить новое сообщение
Вперед Вверх Назад Содержание Предметный указатель
Вперед: 8.3 Электронная монета Вверх: 8.2 Электронные платежи Назад: 8.2.4 Законные затемненные подписи   Содержание   Предметный указатель

8.2.5 Доказуемо стойкие схемы

Стойкость всех рассмотренных выше централизованных систем электронных платежей остается недоказанной. Главным препятствием здесь является отсутствие методов доказательства стойкости конкретных схем электронной подписи -- свойства, необходимого для обеспечения безопасности банка, т. е. предотвращения выпуска фальшивых банкнот. Большинство работ, посвященных системам электронных платежей, вообще не содержит никаких математических результатов. Единственное, что может быть доказано практически для всех предлагаемых систем электронных платежей -- это безусловная неотслеживаемость клиента банком, наблюдающим лишь снятие со счета (в транзакции снятия со счета) и депозиты (в транзакциях платежа и депозита), при условии, что все электронные банкноты имеют одинаковое достоинство и тратятся целиком (см. подраздел 8.2.2). Правда, ни в одной работе данное свойство не сформулировано в качестве математического утверждения, но это можно объяснить лишь его очевидностью.

В литературе идет обсуждение тех требований, которым должна удовлетворять централизованная система электронных платежей. Минимальный набор состоит из двух основных требований: невозможность выпуска фальшивых электронных банкнот и неотслеживаемость клиента банком, наблюдающим лишь снятие со счета (в транзакции снятия со счета) и депозит (в транзакциях платежа и депозита). В дальнейшем под стойкой системой электронных платежей мы будем понимать систему, удовлетворяющую этим двум требованиям.

Следует заметить, что ни одна из тех немногих работ, которые посвящены доказуемо стойким системам электронных платежей, не содержит ни достаточно строгих определений, ни полных доказательств. Поэтому, данный раздел является лишь кратким введением в проблематику.

Для доказательства невозможности выпуска фальшивых банкнот необходима доказуемо стойкая схема электронной подписи. Такие схемы известны, однако для них по определению затемненные подписи невозможны. Дамгорд [Dam90] предложил использовать вместо затемненных подписей так называемый протокол конфиденциального вычисления (secure computation) функций. В случае двух участников A и B такой протокол вычисляет некоторую данную функцию $ f$ от двух аргументов $ x_{\mbox{\tiny A}}$ и $ x_{\mbox{\tiny B}}$. Участникам изначально известны функция $ f$ и один аргумент (A знает $ x_{\mbox{\tiny A}}$, B -- $ x_{\mbox{\tiny B}}$). После завершения протокола оба участника получают значение $ f(x_{\mbox{\tiny A}},x_{\mbox{\tiny B}})$ и не получают никакой дополнительной информации о значении другого аргумента, кроме той, которая содержится в значении функции.

В схеме Дамгорда [Dam90] в транзакции снятия со счета покупатель выбирает случайное число $ R$, которое в дальнейшем будет использоваться в качестве номера электронной банкноты. Чтобы получить подпись банка на этой банкноте, покупатель выполняет с банком протокол конфиденциального вычисления функции, в котором секретными входами покупателя и банка являются $ R$ и секретный ключ банка $ k$ соответственно, а выходом -- подпись банка $ s=f(k,R)$ для сообщения (банкноты) $ R$. Здесь $ f$ -- функция, соответствующая алгоритму генерации подписи какой-либо доказуемо стойкой схемы электронной подписи. При этом протокол конфиденциального вычисления выполняется таким образом, что значение $ s$ становится известным только покупателю, а банк не получает никакой информации о значении $ R$ (пример такого протокола см. в работе [ChDG88]).

В транзакции платежа покупатель передает $ R$ и $ s$ продавцу, который, в свою очередь, передает эту информацию банку. Банк проверяет правильность подписи, а также выясняет, не была ли банкнота $ R$ потрачена ранее. Если никаких нарушений не обнаружено, то банк кладет полученную банкноту на счет продавца.

Дамгорд [Dam90] приводит доказательство теоремы о том, что при наличии стойкой схемы электронной подписи и стойкого протокола конфиденциального вычисления функций данная система электронных платежей является стойкой. Однако, Пфитцманн и Вайднер [PW] показали, что это утверждение ошибочно. Суть проблемы в том, что доказуемо стойкие схемы электронной подписи имеют некоторые побочные эффекты, препятствующие неотслеживаемости. Например, во многих таких схемах длина подписи возрастает с ростом числа подписанных сообщений (т. е. каждая последующая подпись длиннее предыдущей).

Пфитцманн и Вайднер [PW] предложили также следующий способ восстановления стойкости схемы Дамгорда.

Транзакция снятия со счета выполняется таким же образом, как и в исходной схеме.

В транзакции платежа покупатель передает продавцу, а тот -- банку, только номер электронной банкноты $ R$. Затем покупатель доказывает банку (обмениваясь сообщениями через продавца), что знает подпись банка $ s$ для банкноты $ R$. Протокол доказательства должен быть аргументом с абсолютно нулевым разглашением.

В работе [PW] приводится очень краткий набросок доказательства стойкости этого модифицированного варианта. При этом требуется существование следующих трех примитивов: стойкой схемы электронной подписи, стойкого протокола конфиденциального вычисления функций и аргумента с абсолютно нулевым разглашением.

В заключение отметим, что после выхода в свет работы [PW] появились новые доказуемо стойкие схемы электронной подписи, в которых подписи не зависят от предыстории. По-видимому, использование этих схем в системе электронных платежей Дамгорда позволит восстановить стойкость последней.


Вперед Вверх Назад Содержание Предметный указатель
Вперед: 8.3 Электронная монета Вверх: 8.2 Электронные платежи Назад: 8.2.4 Законные затемненные подписи   Содержание   Предметный указатель


Проект осуществляется при поддержке:
Геологического факультета МГУ,
РФФИ
   

TopList Rambler's Top100