Все о геологии :: на главную страницу! Геовикипедия 
wiki.web.ru 
Поиск  
   Rambler's Top100 Service
 Главная страница  Конференции: Календарь / Материалы  Каталог ссылок    Словарь       Форумы        В помощь студенту     Последние поступления
   Геология | Курсы лекций
 Обсудить в форуме  Добавить новое сообщение
Вперед Вверх Назад Содержание Предметный указатель
Вперед: 8.2.5 Доказуемо стойкие схемы Вверх: 8.2 Электронные платежи Назад: 8.2.3 Проблемы арбитража   Содержание   Предметный указатель

8.2.4 Законные затемненные подписи

Как уже отмечалось выше, практически все системы электронных платежей основываются на использовании затемненных подписей, что обеспечивает неотслеживаемость, как правило -- безусловную, клиентов. Однако, такая абсолютная неотслеживаемость может использоваться преступными элементами, например, для отмывания денег или для безопасного получения выкупа.

Штадлер, Пивето и Камениш [SPC] предлагают использовать так называемые законные (fair) схемы затемненной подписи. Это -- своего рода затемненные подписи с секретом; при использовании в системах электронных платежей они обеспечивают безусловную неотслеживаемость клиентов, но существует некоторый секрет, доступный третьей стороне (например, правоохранительному органу), знание которого позволяет отследить действия любого клиента. Эта третья сторона называется арбитром (judge).

Штадлер и др. [SPC] определяют два типа законной затемненной подписи:

    Тип 1: на основе информации, полученной подписывающим при генерации подписи, арбитр выдает информацию, позволяющую подписывающему эффективно узнавать соответствующую пару (сообщение, подпись).

    Тип 2: по заданной паре (сообщение, подпись) арбитр выдает информацию, позволяющую подписывающему эффективно определить, в каком из сеансов выполнения протокола затемненной подписи это сообщение было подписано.

Предлагается следующая схема законной затемненной подписи. Пусть $ (n,e)$ -- открытый ключ схемы RSA, секретный ключ которой известен подписывающему, $ E_J(\cdot)$ -- функция шифрования криптосистемы с открытым ключом, секретный ключ которой известен арбитру, $ H$ -- криптографически стойкая хэш-функция, $ k$ -- параметр безопасности. Участник протокола, желающий получить затемненную подпись, называется отправителем. Знак $ \mathbin\Vert$ обозначает конкатенацию, $ ID$ -- идентификатор сеанса выполнения протокола, $ m$ -- подписываемое сообщение.


Протокол законной затемненной подписи     1. Отправитель для всякого $ i=1,\ldots,2k$ выбирает наудачу $ r_i\in\mathbb{Z}_n$ и строки $ \alpha_i, \beta_i$. Вычисляет $ u_i=E_J(m\mathbin\Vert\alpha_i)$, $ v_i=E_J(ID\mathbin\Vert\beta_i)$, $ m_i=r_i^eH(u_i\mathbin\Vert v_i)\bmod n$. Посылает $ m_i$ подписывающему.

    2. Подписывающий выбирает наудачу подмножество $ S\subset\{1,\ldots,2k\}$ мощности $ k$. Посылает $ S$ отправителю.

    3. Отправитель для всех $ i\in S$ посылает подписывающему $ r_i$, $ u_i$, $ \beta_i$.

    4. Подписывающий для всех $ i\in S$ проверяет, что $ m_i=r_i^eH(u_i\mathbin\Vert E_J(ID\mathbin\Vert\beta_i))\bmod n$. Если хотя бы одно из этих сравнений не выполнено, останавливается. В противном случае вычисляет $ b=\prod\limits_{i\notin S}m_i^{1/e} \bmod n$ и посылает его отправителю.

    5. Отправитель вычисляет $ s=b\big/\prod\limits_{i\notin S}r_i\bmod n$. Подпись состоит из $ s$ и множества $ T=\{(\alpha_i,v_i)\,\vert\,i\notin S\}$.

Верификация подписи состоит в проверке сравнения

$\displaystyle s^e=\prod_{(\alpha,v)\in T}H(E_J(m\mathbin\Vert\alpha)\mathbin\Vert v)\bmod n. $

Этот протокол является схемой законной затемненной подписи одновременно типа 1 и типа 2, поскольку:

  • по заданным значениям $ u_i$, $ i\in S$, арбитр может вычислить сообщение $ m$;

  • по заданной подписи $ (s,T)$ арбитр может вычислить строку $ ID$, идентифицирующую сеанс выполнения протокола.

Если вместо указанных в описании протокола вычислений положить $ v_i=H(ID\mathbin\Vert\beta_i)$ (соответственно, $ u_i=H(m\mathbin\Vert\alpha_i)$), то протокол будет схемой законной затемненной подписи только типа 1 (соответственно, только типа 2). К сожалению, эта схема неэффективна: она имеет высокую коммуникационную сложность и большую длину подписи.

В работе [SPC] предложены еще две схемы законной затемненной подписи, но с ними также имеются проблемы: в одной из них протокол генерации подписи неэффективен, а во второй отправитель должен регистрироваться у арбитра, чтобы иметь возможность получать подписанные сообщения.

Вперед Вверх Назад Содержание Предметный указатель
Вперед: 8.2.5 Доказуемо стойкие схемы Вверх: 8.2 Электронные платежи Назад: 8.2.3 Проблемы арбитража   Содержание   Предметный указатель

Проект осуществляется при поддержке:
 Геологического факультета МГУ,
РФФИ
    
TopList Rambler's Top100