Все о геологии :: на главную страницу! Геовикипедия 
wiki.web.ru 
Поиск  
   Rambler's Top100 Service
 Главная страница  Конференции: Календарь / Материалы  Каталог ссылок    Словарь       Форумы        В помощь студенту     Последние поступления
   Геология | Курсы лекций
 Обсудить в форуме  Добавить новое сообщение
Вперед Вверх Назад Содержание Предметный указатель
Вперед: 4.4 Реализация схем подписи на интеллектуальных карточках Вверх: 4.3 Разновидности схем электронной подписи Назад: 4.3.3 Схемы, в которых подделка подписи может быть доказана   Содержание   Предметный указатель

4.3.4 Групповая подпись

Понятие групповой подписи было предложено Шаумом и ван Хейстом в работе [CH]. Схема подписи для группы подписывающих и одного проверяющего называется схемой групповой подписи (group signature scheme), если     1) подписывать сообщения могут только члены группы подписывающих (в отличие от схем мультиподписи (см. подраздел 4.3.1) каждый подписывающий может самостоятельно подписывать сообщения);

    2) проверяющий может проверить, что подпись была сгенерирована некоторым подписывающим, но не может установить, кем именно (анонимность подписывающего);

    3) при необходимости подпись может быть "открыта" (например, центром доверия), т. е. установлен подписывающий, который ее сгенерировал (с помощью или без помощи членов группы подписывающих).

В той же работе [CH] предложено четыре схемы групповой подписи. Приведем для примера краткое описание первой схемы. Центр доверия (trusted authority) $ \mathcal Z$ выбирает некоторую схему электронной подписи, дает каждому подписывающему список секретных ключей (эти списки для разных подписывающих должны быть непересекающимися), а соответствующие открытые ключи публикует в случайном порядке в некотором общедоступном сертифицированном справочнике. После этого каждый подписывающий использует для подписи сообщений выбранную $ \mathcal Z$ схему с одним из данных ему секретных ключей. Каждый секретный ключ может быть использован лишь один раз, так как в противном случае проверяющий может установить, что несколько подписей сгенерированы одним и тем же подписывающим. Подпись принимается проверяющим, если и только если она является допустимой подписью по отношению к некоторому открытому ключу из сертифицированного справочника. Так как открытые ключи опубликованы в этом справочнике в случайном порядке, проверяющий не может узнать, кому из подписывающих принадлежит тот или иной открытый ключ. Только $ \mathcal Z$, зная соответствие между открытыми ключами и подписывающими, может "открыть" данную подпись.

Одним из недостатков данной схемы является то, что $ \mathcal Z$ знает секретные ключи подписывающих и, следовательно, может сам подписывать сообщения вместо них. Авторы [CH] предлагают для предотвращения этой угрозы использовать затемненные открытые ключи (blinded public keys), смысл которых заключается в следующем. Пусть в используемой схеме электронной подписи секретные ключи выбираются из $ \mathbb{Z}_{p-1}$, где $ p$ -- простое число, и каждому секретному ключу $ x$ соответствует открытый ключ $ g^x\bmod p$, где $ g$ -- некоторый порождающий группы $ \mathbb{Z}_p*$. Каждый подписывающий (скажем, $ i$-й) выбирает $ s_i\in_{\mbox{\tiny\rm R}}\mathbb{Z}_{p-1}$ и посылает $ g^{s_i}\bmod p$ в $ \mathcal Z$. После этого $ \mathcal Z$ выбирает $ r_i\in_{\mbox{\tiny\rm R}}\mathbb{Z}_{p-1}$, дает его подписывающему и публикует $ (g^{s_i})^{r_i}\bmod p$ в качестве открытого ключа. Соответствующий секретный ключ может быть вычислен подписывающим в виде $ s_ir_i\bmod(p-1)$. Достоинством этого метода является также и то, что одно и то же значение $ s$ может быть использовано для выработки нескольких секретных ключей.

В работе Чена и Педерсена [CP3] описана модификация этой схемы, в которой ключи выбирает не $ \mathcal Z$, а подписывающие. Каждый подписывающий свои секретные ключи сохраняет в секрете, а открытые -- посылает в $ \mathcal Z$. После получения открытых ключей от всех подписывающих $ \mathcal Z$ публикует эти ключи в случайном порядке в некотором общедоступном сертифицированном справочнике. В остальном схема совпадает с описанной выше. Другие схемы групповой подписи предложены в работах Чена и Педерсена [CP1] и [CP2].

Вперед Вверх Назад Содержание Предметный указатель
Вперед: 4.4 Реализация схем подписи на интеллектуальных карточках Вверх: 4.3 Разновидности схем электронной подписи Назад: 4.3.3 Схемы, в которых подделка подписи может быть доказана   Содержание   Предметный указатель

Проект осуществляется при поддержке:
 Геологического факультета МГУ,
РФФИ
    
TopList Rambler's Top100