Ryhmän allekirjoitus

Ryhmä allekirjoitus on salauksen alkeellinen analoginen digitaalinen allekirjoitus , koska sen tarkoituksena on antaa käyttäjälle mahdollisuuden allekirjoittaa viestin puolesta ryhmän , pysyen anonyymi ryhmän sisällä. Eli henkilö, joka näkee allekirjoituksen, voi tarkistaa julkisella avaimella , että ryhmän jäsen todella on lähettänyt viestin, mutta ei voi tietää kumpi. Samalla käyttäjät eivät voi käyttää tätä nimettömyyttä väärin, koska viranomainen pystyy poistamaan (haitallisten) käyttäjien nimettömyyden salaisten tietojen avulla.

Käsitteen havainnollistamiseksi voimme harkita anonyymia kommenttia, johon käyttäjät (yksityisellä avaimella) voivat lähettää viestejä. Läsnäolo todennettavissa allekirjoituksen on viesteistä mahdollistaa tarkistaa, onko viestit on todellakin lähettänyt henkilö lupaa tehdä niin. Anonymiteetin avulla hänen puolellaan varmistaa yksityisyyden suojaa käyttäjiä.
Toisaalta, siinä tapauksessa väärinkäytön , jos joku virkaa ei peruskirja viestin esimerkiksi sitten ylläpitäjä jolla salaista tietoa pystyy nostamaan nimettömyys ladannut käyttäjä petollinen sanoma, ja pystyy ottamaan asianmukaiset toimet (kuten käyttäjän peruuttaminen ).

Ryhmäallekirjoitusten etu perinteisten digitaalisten allekirjoitusten käyttöön verrattuna on, että koko ryhmälle on vain yksi julkinen avain, joka on tallennettava sen sijaan, että tarvitsisi tuntea kaikkia avaimia.Erilaiset yleisöt, jotka voivat johtaa keskellä olevan ihmisen hyökkäykseen .

Historiallinen

Chaum ja van Heyst esittivät ryhmän allekirjoittamisen vuonna 1991, jolloin nimettömyyden ja jäljitettävyyden käsitteet määriteltiin kuvaamaan protokollan turvallisuutta. Siitä hetkestä lähtien otettiin käyttöön monia protokollia, lisäämällä tähän malliin sellaisia käsitteitä kuin väärennettävyys, joka on samanlainen kuin digitaalisten allekirjoitusten, mutta myös tarkempia käsitteitä, kuten irtisanominen .

Vasta Bellare, Micciancio ja Warinschi keksivät hienostuneemman muodollisen mallin, jota käytetään nykyään muodollisena mallina työskennellä ryhmän allekirjoituksen puolesta. Turvallisuuden käsitteet on tiivistetty kahteen käsitteeseen korjauksen lisäksi  : täydellinen jäljitettävyys ja täydellinen nimettömyys.

Määritelmä

Ryhmäallekirjoitus on joukko neljää tehokasta algoritmia  : alustaminen, allekirjoittaminen, todentaminen ja avaaminen, jotka kuvataan seuraavasti.

Alustus ottaa syötteenä turvallisuus parametri λ ja ryhmän koko N ja palauttaa julkisen avaimen ryhmän Gpk , vektori salaisia avaimia GSK jossa vastaa yksityistä avainta käyttäjän d ja aukon avain ok . ${\ displaystyle {\ mathsf {gsk}} [d]}$
Allekirjoitus , joka ottaa syötteenä salainen avain , viesti m ja palauttaa allekirjoitus σ . ${\ displaystyle {\ mathsf {gsk}} [d]}$
Vahvistus , joka ottaa syötteenä julkisen avaimen ryhmän Gpk , viesti m ja allekirjoitus σ ja joka palauttaa totuusarvon.
Aukko , joka ottaa syötteenä yksityisen avausavain ok , viesti m ja allekirjoitus σ ja joka palauttaa identiteetti d tai virheilmoitus "⊥".

Korjaus ryhmän allekirjoituksen kuvastaa sitä, että tarkastuksen viestin osapuolet allekirjoittavat kääntämällä rehellisesti eri algoritmien palaa tosi  :

{\ displaystyle \ forall m, (gpk, gsk) \ saa Init (\ lambda, N): {\ mathsf {Verif}} \ left (gpk, m, {\ mathsf {Sign}} ({\ mathsf {gsk} } [d], m) \ oikea) = {\ mathsf {True}}}

turvallisuus

Kuten historiassa todettiin, ryhmän allekirjoitusjärjestelmän turvallisuus voidaan tiivistää kahdella käsitteellä: täydellinen nimettömyys ja täydellinen jäljitettävyys.

Nimettömyys

Nimettömyys kuvastaa sitä tosiasiaa, että jos sinulla ei ole ok- avainta , käyttäjien nimettömyyden poistaminen on erittäin vaikeaa.

Toisin sanoen annetaan kaksi identiteettiä ja viesti m . Pääsy käyttäjien yksityisiin avaimiin, ryhmän julkiseen avaimeen ja pääsy salauksen purkuohjelmaan on mahdotonta erottaa polynomi-ajassa, jonka todennäköisyys on vähäinen . ${\ displaystyle d_ {0} \ neq d_ {1}}$ ${\ displaystyle {\ mathsf {Sign}} (m, d_ {0})}$ ${\ displaystyle {\ mathsf {Sign}} (m, d_ {1})}$

Jäljitettävyys

Jäljitettävyyden osalta se heijastaa järjestelmän turvallisuutta epärehellisiin käyttäjiin nähden. Toisin sanoen se heijastaa sitä, että käyttäjä ei pysty "  väärentämään (sisään)  " kelvollista allekirjoitusta σ, joka avautuu rehelliselle käyttäjälle, tai johtaa epäonnistumiseen.

Laajennukset

Ryhmän allekirjoituksella on erilaisia muunnelmia ja laajennuksia. Voidaan todeta esimerkiksi lisäämällä toimintoja, kuten peruuttamista , tai jopa riippuvainen aukon viestien , joka pyrkii rajoittamaan teho aukon viranomaisen lisäämällä toinen käyttäjä, joka pystyy antamaan merkki , joka yhdessä ok aukko avainta käytetään poistaa tunnuksen kohteena olevien viestien allekirjoitusten nimettömyyden.

Yleinen rakenne

Mallinsa tueksi Bellare, Micciancio ja Warinschi ehdottivat alemman tason primitiiveihin perustuvaa yleistä rakennetta . Ne ovat täten todistaneet, että IND-CCA- salausmenetelmällä , digitaalisella allekirjoituksella, jota ei voida väärentää valituissa viestihyökkäyksissä, ja todiste nollasta tiedon paljastamisesta, joka todistaa viestin ja allekirjoituksen parin hallussapidon, on mahdollista rakentaa ryhmän allekirjoitusohjelma. Tämä rakenne on seuraava:

Alustus (1 λ , N ):
- Luo avaimen parit (sk E , pk E ), (sk S , vk S ) salausta varten ja vastaavasti allekirjoitus, jotka on valittu turvallisiksi suojausparametrille λ.
- Laske kullekin käyttäjälle allekirjoitus tälle henkilöllisyydelle ja tee siitä käyttäjän d salainen avain  : ${\ displaystyle d \ sisään [\! [0; N-1] \!]}$ ${\ displaystyle gsk [d] \ gets \ mathbf {Allekirjoittaja} ({\ mathsf {sk}} _ {S}, d)}$
- Lopuksi lähetä takaisin ja . ${\ displaystyle gpk = ({\ mathsf {pk}} _ {E}, {\ mathsf {pk}} _ {S}, 1 ^ {\ lambda})}$ ${\ displaystyle ok = {\ mathsf {sk}} _ {E}}$
Allekirjoitus ( gpk , gsk [d] , d , M ):
- Käyttäjä aloittaa salaamalla identiteetti on : . ${\ displaystyle C \ gets \ mathbf {Salaa} ({\ mathsf {sk}} _ {E}, d)}$
- Sitten käyttäjä todistaa viestin ja allekirjoituksen parin hallussapidon salauksen C alla olevalle viestille , joka antaa todistuksen π . Viesti sisältyy todisteeseen.
- Allekirjoitus on niin . ${\ displaystyle \ sigma = (C, \ pi)}$
Todentaminen ( gpk , M , σ):
- Allekirjoituksen vahvistamiseksi käyttäjä aloittaa lukemalla σ: n ( C , π).
- Allekirjoitus hyväksytään vain ja vain, jos todiste on vahvistettu.
Avaus ( gpk , ok , M , σ ):
- Jos tarkistus ei läpäise, algoritmi palauttaa virhesymbolin ⊥.
- Muuten algoritmi purkaa C päästä d 'ja tarkistaa, että d' on todellakin . Jos ei, algoritmi palauttaa virhesymbolin. Muuten palautetaan maasta . ${\ displaystyle [\! [0, N-1] \!]}$

turvallisuus

Nimettömyyden takaa se, että identiteetin C salaus salataan erottamattomalla kuviolla valittujen salaushyökkäysten alla.

Mitä tulee jäljitettävyyteen, se johtuu nollatietotodistuksen kestävyydestä ( vakaudesta ).

Huomautuksia ja viitteitä

Liitteet

Bibliografia

[Ateniese et ai. 2000] (en) Guiseppe Ateniese ja Gene Tsudik, ” Joitakin avoimia kysymyksiä ja uusia ohjeita ryhmäkirjoituksissa ” , LNCS , voi. 1648,1999, s. 196–211 ( lue verkossa [ps] ).
[Bellare, Micciancio ja Warinschi 2003] (fi) Mihir Bellare Daniele Micciancio Bogdan Warinschi , ” Foundations of Ryhmä Allekirjoitukset : formaali, yksinkertaistettuja ja Rakenne perustuu yleisiä olettamuksia ” , Eurocrypt 2003 , Lecture Notes in Computer Science , vol . 2656,2003, s. 614–629 ( lue verkossa [PDF] ) ;
[Boneh ja Shacham 2004] (en) Dan Boneh ja Hovay Shacham, ” Ryhmäallekirjoitukset todentajan paikallisen peruutuksen kanssa ” , CCS , ACM2004, s. 168–177 ( DOI 10.1145 / 1030083.1030106 , lue verkossa )
[Chaum ja van Heyst 1991] ( fr ) David Chaum ja Eugène van Heyst, " Group Signatures " , Eurocrypt , voi. 547,1991, s. 257–265 ( lue verkossa ) ;
[Sakai et ai. 2012] (en) Yusuke Sakai, Keita Emura, Goichiro Hanaoka, Yutaka Kawai, Takahiro Matsuda ja Kazumasa Omote, " Ryhmän allekirjoitukset viestistä riippuvaisella avautumisella " , pariliitos , lNCS,2012, s. 270–294 ( DOI 10.1007 / 978-3-642-36334-4_18 , lue verkossa )

Aiheeseen liittyvät artikkelit