Brunon Hotvst, Jacek Pomykała
Bez
pieczeństwo
podpisu progowego
w grupach dynamicz
nych
Wiedza na temat tradycyjnego podpisu cyfrowego jest w społeczeństwie informacyjnym powszechna. W gospodarce elektronicznej stosowane są różne schematypodpisu ,np. standardy ANSI,takiejak OSA',
RSA2 czy EC-DSA3.Wiele rozwiniętych krajów świata
wprowadziło odpowiednie regulacje prawne4, zaś w niektórych państwach europejskich,np. skandy
naw-skich, sprawnie funkcjonuje już infrastruktura podpisu
elektron iczneg o.
Tradycyjny podpis cyfrowy poddanogłębokiej anali-zie i dokonano jego klasyfikacji w kategoriach bezpie-czeństwa. Aspekty kryminalistyczne,prawne i informa-tyczne były zaś przedmiotem badań omówionych we
wcześniejszym artykule 5. Niniejszy tekst jest jego kon -tyn uacj ąi ma ukazaćnowe rozwi ązania, które dotyczą bezpieczeństwa podpisu progowego w grupach dyna-micznych- zagadnienie szczególnie aktualne w
odnie-sieniu do współczesnych aplikacji internetowych i k o-munikacji w sieciach bezprzewodowych lub sieciach sensorów.
Kwestia bezpieczeństwapodpisuprogowego wyma -ganiezbędnychzmianiuściśleńw odniesieniudopoję cia autentyczności podpisu. W podpisie tradycyjnym oznacza ona, że podpisujący jest identyfikowalny. W podpisie progowym .autentyczność " nie sprowadza sięjuż do identyfikacji podpisujących, zatemwtymno -wym modelu podp isunależydoprecyzowaćpojęci efał szerstwa.
Z fałszerstwem mamy do czynieniawtedy,gdy po
-prawny podpis zostaje wygenerowany przez podg rupę członków (na ogół nieidentyfikowalnych ) o liczbie mniejszejniżwymaganaliczba progowa.Po drugie,do -chodzi tu dodatkowy wymiar bezpieczeństwa
-członkowieskorumpowaniniesąwstanie uniemożliwić
uczciwym członkompodgrupyzłożenie podpisu.Pozo
-stałe aspekty bezpieczeństwa możn a zdefiniować w sposób tradycyjny,określającfałszerstwojako odpo-wiednią funkcję typu ataku i poziomu sukcesu poten-cjalnego przeciwnika. Poziom sukcesu ataku prowadzi
do wyodrębnienia następujących kategorii: fałsze rstwo egzystencjalne,selektywne , uniwersalne itotalne. Ten model bezpieczeństwa tradycyjnego podpisu opisano
dokładniew wielu podręczntkachś. O wymiarze grupo-wym podpisu cyfrowego wspomniano zaś w pop rzed-nim artykule autorów niniejszego tekstu?' Poniżej
roz-16
winiemy ten temat, przeprowadzając analizę podpisu
progowegodlatzw.grupdynamicznych. Kryptografia progowa
- podstawowe pojęciai definicje
Głównym wyzwaniem dla kryptografii progowej jest
ochrona informacji w ramach systemów z tolerancją błędów (fault tolerantty distributing). Największym pro-blemem jest kwestia bezpiecznego dzielenia sekretu (secure sharing of a secreti,co polega na rozdzieleniu części sekretu (tajnej informacji)międzywiele podmio-tów (np.serwerów) tak,abyzostałyspełnione następu jącewymagania:
t) żadnagrupaskorumpowanych graczy (członków grupy) wliczbie mniejszej niżprogowanie jestwstanie zrekonstruować na podstawie tych części tajnej i nfor-macji nawet w przypadku, gdy skorumpowani gracze współprac ują zesobą,
2) w razie potrzeby rekonstrukcji tajnej informacji może dokonać dowolna , dostatecznie duża grupa (co najmniej wliczbieprogowej) uczciwych graczy.
Dzielenie sekretu jest kluczo wym elementem sche-matupodpisuprogowego.Załóżmy, żedany jest sc he-mat podpisu cyfrowego (K, S, 11), gdzie Kjest a
lgoryt-mem generacji kluczy,
S
algorytm em podpisywania, zaś V algo rytmem weryfikacji podpisu. Odpowiednischematpodpisu progoweg o(TK,TS, II)różnisięd
wo-ma pierwszym i algorytmami. TK jest algorytmem dys -trybucjiudziałów klucza, któryna wejściu ma dane pu
-bliczneczłonkówgrupy, natomiast nawyjściuklucz pu-bliczny grupy pk i odpowiednie udziały (prywatne) czło n ków grupy. Wymagane jest, aby rekonstrukcja
tychudziałów(zgodniez punktem2powyżej)prowadzi
-łado odpowiedniego kluczaprywatnegosk danej gru-py,takiego ,żepara (sk,pk) jest parą odpowiedniądla algorytmu K.Co więcej, rozkładtakich pardla algoryt-muK jesttakisam jak dlaalgorytmu TK.Spełnienieta
-kiego wymagania eliminuje możliwośćataków p
olega-jących na tzw.sterowaniu kluczem.Algorytm generacji podpisuprogowego TSskłada sięz dwóch etapów: ge
-neracji podpisówczęściowych ifazy rekonstrukcji pod-pisu.W pierwszym etapie każdyz graczy na podstawie wiadomości i swojego udziału oblicza odpowiedni pod-pisczęściowy,który w etapie drugim zostajezłożonydo
pełnego podpisu progowego grupy. Wymaganiem dla algorytmu
TS
jest to,by dladowolnejwiadomości złożonywten sposób podpisbyłtaki sam jak podpis otrzy-many zużyciem algorytmu
S.
Celem kryptografii progowej jest implementacja wy-dajnych protokołówgwarantujących najwyższy poziom bezpieczeństwaodpowiednichsystemów kryptograficz-nych w możliwiesilnychmodelach ztole ran cją błędów. Realizację takiego celu osiąga się z uwzględnieniem
następujących warunków:
a) dopuszczalny poziom korupcji,który niepowodu -je szkody wdziałaniu całego systemu,
b) wymagania wydajności protokołu, tj. zasoby (pa-mięć), koszty komunikacji ikoszty obliczeń, c)przyjęty model komunikacji, tj. synchroniczność
komunikacji,istnienie poufnych kanałów komuni-kacjimiędzyczłonkamigrupy,istnienie
publiczne-go, uwierzytelnionego kanału informacyjnego
(broadcastchanne~,
d) typ przeciwnika określający, w jakisposób może onkorumpowaćgraczyi jakiesą możliwościobro -ny gracza przed przeciwnikiem (np. czy potrafi skutecznie zlikwidować posiadanezasoby, by nie dopuścićdo ich infiltracji przezatakującego), e)identyfikacja zagrożeń, jakie mogą pojawić się
w wyniku implementacji takich protokołów zarów-no na platformieprogramowej, jak isprzętowej. W dalszej części pracy zajmiemy się dokładniej
schematami deszyfrowania oraz podpisu progowego
wgrupach niestatycznych. Grupy dyn ami czn e
Pojęcie "grupa dynamiczna" odnosić będziemy nie tylkodozmienności liczby jejczło n ków(dodawanie
no-wych, usuwanie skompromitowanych) , lecz także
zmienności ich tożsamości lub pełnionych przez nich
funkcji. Przykładem dynamiki grupowej jest zmiana przynależności członkaz jednej podgrupy do drugiej(w ramach jednej rodziny grup). Dynamika może wymu
-szać zmiany sekretu grupy lub nie. Ponieważ g enero-wanie nowego sekretugrupy jest zazwyczaj związane z ponowną inicjalizacją systemu,takie rozwiązan i a są wpraktycemałowydajne.Z tego powodu niebędziemy
poświęcaćim uwagi.Załóżmy więc, żedana jest a pr io-ri niewielka grupa G, której członkowie mają udziały w sekreciegrupy s.
Niech zbiorem udziałów dla tajemnicy s będzie zbiór {sI, s2'" ' ' sm)' Jeśli do rekonstrukcji sekretu s niezbędne są wszystkie udziały
s
,
będziemy mówić orozkładzie (splitting) sekretu s naudziałysbjeśli zaś wystarczy ich progowa liczbat
(t < m), to powiemy o progowym dzieleniu (threshold secret sharing)tajem-PROBLEMY KRYMINALISTYKI259(styczeń-marzec)2008
nicy.Będziemydalej zakładać, że grupamoż e zrekon-struować tajemnicę s, tylko z użyc i e m co najmniej
t
wartości udzi ałów. Typowym przykładem rozkładu se-kretu jestlosowy wybórm-t
ud z iałów i zdefiniowanie sm=
s - (sI +s2 +... Sm_I)'Jest to tzw.rozkład addy-tywny (dzielenie addytywne) wodróżnieniu od dziele-niawielomianowego (interpolacyjnego).Wzorcowym przykładem dzielenia progowego jest
schematShamiraśoparty na interpolacjiLagrange'a. In-terpolowany wielomian ma wtedy stopień
t-t
,
gdziet
jestwartościąprogu.Jakkolwiekroz kładsekretumożnazreal izowaćjakoskrajne dzielenietajemnicy (t=m),nie jest to rozsądne. Znaczenie schematów progowych po-jawiasiędla
t
<m
,
jakzobaczymy w dalszejczęści arty-kułu.Według standardowego scenariusza realizacji dy -namiki do grupdołącza się nowychczłonków. W trak-cietego procesu może się okazać, że wgrupie wyod-rębniają się specyficzne podgrupy (np.zewzg l ęd u na
specyfikację zadań wykonywanych przez jej człon
ków). Jeśli od tak wyspecjalizowanych podgrup bę dziemy oczekiwać autoryzacji określonych wiadomo -ści, tobędziemy miećdo czynienia z podpisamic yfro-wymiczłonkóww imieniutych podgrup. Jeśli dodatko -wo zbiory autoryzujące zawierają minimalne zbiory (progowe),mówisięo podpisach progowych dla danej rodziny grup.
Dołączanie nowych członków może odbywać się
"lokalnie" (tzn. przezpojedynczych graczy już istn i ej ą cych w grupie) lub globalnie,tj. za wiedzą izgodą qu-orum grupy. Jest przytym jasne,żeprocesdołączania nowych członkówmożnarealizować ,wykorzystującje -den z dwóch typów podziału tajemnicy omówionych powyżej. Przypadek pierwszy badany w artykule R.Di Pietra, L.V.ManciniegoiG.Zanina 9możnarozszerzyć takżedo badaniasystemówpełnomocnictwcyfrowych, którym poświęcona byłapraca J.Pomykały i
S
.
Bara-basza10. W modelugrupowym ma to oczywisty zwią zek z grupami hlerarchicznyrnll l. Przypadek globalny rozważano zaś w artykule J. Pomykały i T.Wa rcho-ła12.Dynamika grup może być realizowana na różne
sposoby wzależności odwymagań stawianych
syste-mowi. Przykładowo, dynamika reprezentacji grup
w obrębie wi ę kszych rodzin została omówiona w po-wyż szej pracy J.PomykałyiT.Wa rch oła dzięki wpro-wadzeniu odpowiednich certyfikatów cyfrowych dla
członków grupy. Ważnym elementem bezpiecznego
funkcjonowania grup dynamicznych są przyj ęte zało żenia,np.dotycząceistnieniazaufanyc hstronwproto -kołach,takich jak:dilerrozdzielającyudziałydlaczłon ków grupy,administratorprzydzielającycertyfikatyczy
menedżer weryfikujący poprawność udziałów lub cer
-tyfikatów.Imsłabsze założenia,tym lepszyjest system
- pod warunkiem, że umie się dowieść jego bezpie
-czeństwa .
Idea podpisu progowego została wprowadzona przez Y.Desmedta13, ajego bezpieczny schemat dla grupystatycznejzaproponowaliR.Genarro, S. Jarecki,
H. Krawczyk i
T.
Rabin14. Bezpiecznyschematprogo -wypodpisudlarodzinygrupdynamicznych wminimal-nym modeluzaufaniazostał omówiony wew spomnia-nejpracyJ.Pomykały i
T.
Warchoła15,zaś kwestię a l-ternatywnegomodelupodpisu progowego dla grupy dy -namicznej poruszyli w swej pracy R. Di Pietro, L.V. ManciniiG.Zanin16.Tego typu rozwiązaniejest szcze -gólniedogodne dla bezpiecznego gromadzeniai prze -kazywania informacji w rozległych sieciach sensoro-wych17.Kry ptosyst emy progowe
Kryptosystemy progowe realizują bezpieczną i w y-dajną wymian ę informacji w strukturach grupowych. Dwiekluczoweaplikacje są związane z podpisem pro -gowym i tzw. deszyfrowaniem progowym wzależ ności
od tego,czyprogowość jest z koleizwiązana z gr upo-wym szyfrowaniem iub deszyfrowaniem. W obu sytu-acjach progowość jest szczególnymprzypadkiem tzw. ogólnych struktur dostępu (access structures), w któ -rych do poprawnegozaszyfrowania lub odszyfrowania
wiadomości potrzebnajest grupauprzywilejowana,bę dącawtym przypadkudowolną grupą posiadającąpro
-gową liczbę udziałów wsekrecie grupy.Najbardziejt y-powymi schematamiprogowymisątzw.(t,n) schema-ty,gdzie
n
oznaczaliczbę członkówgrupy,natomiastt
liczb ę udz i ałów niezbędnych do odtworzenia sekretu grupy (wartość progu). Głównym powodem tworzenia tego typu systemówkryptograficznych jest zapewnianie
ni ezawod n ości iwydajności usług wsystemachtelein -formatycznych, zamiar zwiększen ia zaufania podmio -tówświadczących usługi,atakżerozdzielanieodpowie
-dzia lności w uzgadnianiu odpowiednich decyzji. W praktycznej realizacji protokołu istotnym zadaniem jestustalenie poziomuprogu dobieranego odpowiednio do zakładanego poziomu korupcji. Systemy deszyfro -wania progowego typu (/, n) odgrywają ważną rolę
wsytuacjach,gdyodszyfrowaniewiadomościniemoże być zależnetylko od posiadaniajednego klucza deszy
-frującego. Stwarzałoby to ryzyko,że w wypadku jego utracenia informacja nigdy nie zostałaby odzyskana.
Z drugiej strony,w przypadkugdy szyfrowanei nforma-cje mają np.klauzu lę "ści śle tajne",może być istotne, aby ich zdeszyfrowanie mogło być przeprowadzone wobecn ości kilkustron.
Omówimy teraz id e ę deszyfrowania progowego z wykorzystaniem systemu RSA. Pomysł pochodzi od J.Pieprzykaiwsp.18imanastępującezalety:
18
a)systemniewymaga istnieniazaufanej strony, b)system nie wymaga przekazywaniaudziałów
pod-pisubezpiecznymikanałami,
c)każdy użytkown ikjestwyposażonywparę kluczy: prywatny i publiczny, przy czym klucz publiczny jest przechowywanyw pewnym publicznym reje -strze (tzw.white pages),
d) docelowa grupa odbiorców wiado mości oraz po-ziomproguodbiorcówsąwybierane przeznadaw
-cę,
e) kryptogram może być odczytany jedynie przy
współpracyprogowej liczby odbiorców z usta lone-go przeznadawcę zbioru.
Proto kół składa się z dwóchalgorytmów:
• szyfrującego, który nawejści u ma klucze publ icz-neużytkowników,wiadomośćm i próg
t
,
a na wyj-ściukryptogram,który jest podany dowiad omości publicznej,• deszyfrującego, który mając na wejści u krypto-gram i kluczeprywatnedowolnej progowej liczby uczestników, oblicza wartość odszyfrowanej wia
-domości.
Wpierwszymetapiedeszyfrowanianadawca oblicza iloczynwykład n ikówpublicznych odpowiedniegozbioru
użytkowni ków, do którego adresowana jestwiadomość oraziloczyn
N
ichmodułówRSA.Następnielosuje wie-lomian f stopnia t-t nad ciałem skończonym, którego wyraz wolny s jest sekretem odbierającej grupy, po czymdokonujelokalizacji:a)przygotowaną wiadomość M(mniejszą od iloczy -nu odpowiednich modułów) reprezentuje lokalnie wpostaciresztmodule, a odpowiedniepubliczne
moduły odbiorców i odpowiednie reszty podnosi
lokalniedopotęg i s,
b)sekretgrupydzieli wielomianem f,otrzymując od-powiedniciąg udziałów (lokalnareprezentacja ta-jemnicy),który szyfruje następniezapomocąwy
-kładni kówpublicznych odbiorców.
Tak uzyskane ciąg i "skleja" modularnie,otrzymując globalną parę (Cj,C2 ).Wyjściemfazy szyfrowaniajest
czwórka(N,
t
,
c
;
C2).W drugimetapieczłonkowiegrupynajpierwlokal
izu-ją pa rę (Cj ,
C2)
,
a następnie, używając swoich kluczyprywatnych RSA,ob liczają na podstawie C2w grupie progowej wartość s, któ rą podają do wi adomości pu-blicznej.Terazkażdyodbiorcaodtwarza lokalnie
wiado-mo ś ć M,korzystajączeznajomościzapadki dla "swoje-go"systemu RSA.Ostatnią faząjest"sklejenie"wi ado-mościmna podstawiejejwa rtościlokalnych (reszt),kt ó-remożesię odbyćw dowolnej grupieprogowej.
Podpis progowy to w istocie szyfrowanie progowe kluczem prywatnym.Składasięz trzech algorytmów:
aj algorytmugeneracji kluczy będącego i nteraktyw-nym protokołe m przeprowadzanym przez cz
ków grupy, który na wejściu ma dane publiczne grupy, a na wyjści u daje klucz publiczny grupy wraz z odpowiednimudziałem dlakażdego użyt
kownikaindywidualnie.Rekonstrukcjatych
udzia-łów prowadzi do klucza prywatnego grupybędą cego w odpowiedniości z wygenerowanym kl u-czempublicznym,
b) algorytmu podpisywania mającego na wejściu
wi ado moś ć i klucze prywatne podp isujących ,
z których najpierwgeneruje odpowiednieudziały podpisu (faza generacji podpisów części owych),
a następnie łączy je w cały podpis (faza r ekon-strukcjipodpisu),
c)algorytmu weryfikacji podpisu,którymającnawej
-ściu klucz publiczny grupy i podpis pod zadaną
wiadom ością, dajenawyjści u odpowiedź: a
kcep-tujlubodrzuć.
Ogólny przegląd kryptografii progowej został omó-wionyprzez jednego z jejczołowychtwórców - Y. De -smedta wpracy..Thresholdcryptography"19.Zewzglę du na powszechniefu n kcjon ujące obecnie modeie z
a-ufaniawkomunikacjielektronicznej trudnojest prz
ece-nić rolę bezpieczeństwa danych izastosowania p
roto-kołów wykorzystujących obliczenia wielopodmiotowe. Wnastępnymparagrafiezdefiniujemykoncepcjępodp i-su wieloprogowego,który odpowiadana nowe wyzwa
-niawspółczesn ejkomunikacjielektronicznej.
Podpis wi
elop
rogowy
Jak wykazaliśmy, moż na efektywnie zap rojektować system deszyfrowania, w którym wartość progu jest
ustalanarazem zprzygotowaną dozaszyfrowania wia
-domością. W przypadku szyfrowania kluczem prywat -nym grupa jeststroną autoryzującą wiadomość. W ta-kiej sytuacji,zmieniającpróg dladanejwiado mości, wy-musza się też zmianę wielomianu dzielącego sekret
grupy. Z punktu widzeniawydajn ośc i jest toduż e osła
bienie systemu,gdyż wymagaczęsteg o zaangażowa
nia generatora liczb pseudolosowychprzy podpisywa
-niu różnych wiadomości (z różnym progiem). Rozwią zanie zaproponowane wpracy B.Nakielskiego,J.
Po-mykały i JA Pomykały20jest następujące: skoro nie
chcemyzmien iaćwielomianukaźdo razowoprzy p odpi-sywaniu różnych wiad om ości, to ustalmy wielomian wyższeg ostopnia,odpowiadający większejgrupie, któ -rej podgrupabędziepełniłarolępodpisujących.Pro wa-dzi to do wyodrębnien ia dwóch grup: podpisujących
iuzupełniających.
Z punktuwidzenia dużej grupy mamy do czynienia ze zwykłym podpisem progowym,natomiast z punktu widzenia jej podgrupy z podpisem o zmiennym progu, czyli wieloprogowym. Taka elastyczność w wyborze
progu może wskazywać na potencjalne zastosowania
PROBLEMYKRYMINALISTY KI 259(styczeń-marzec)2008
np.dlapodpisówwiadomości oróżnych"priorytetach".
Co więcej, powyższa idea pozwala na real i zację
zarównopodpisu anonimowego,jakteżzpełnąidenty
-fikacją podpisujących. Drugi wariant można osiąg nąć
przez prostą autoryzację podpisu ..anonimowego" z użyciem prywatnych kluczy podpisujących. Schemat zaproponowany wpowyżejcytowanejpracyskładasi ę z czterechnastępującychfaz:
a) algorytmuinicjalizacji systemu, b)fazypodpisywania,
c)fazy autoryzacji,
d)fazy weryfikacjipodpisu.
Omówionypowyżejpodpis wieloprogowybazuje na systemie RSA i protokole Shamira dzielenia sekretu. Wkolejnym paragrafie wprowadzimynową ideę z asto-sowania podpisów progowych dla rodziny grup d yna-micznychzużyciemsystemu certyfikatówcyfrowych.
Podpisy progowe
dlag
rupy
dynamicznejMożna wyróżnićdwakluczowe icałkowicieodm ien-ne podejścia do realizacji takich schematów. Każde z nichinaczej reprezentujeideę progowości. Jedno od
-nosi ją do dystrybucji niepowtarzalnych ud ziałów dla poszczególnychczłonkówgrupy,drugiezaś do d ystry-bucji powtarzalnychudziałóww grupie.W obydwup rzy-padkach liczbaróż nych udziałówdecydujeowłaściwej
liczbie progowej.
Zacznijmy od drugiej idei zaprezentowanej np.
w pracy R. Di Pietra, L.V. Manciniego i G. Zanina21. Podstawowym powodem zastosowania tego po mysłu dosieci mobilnychsąnastępująceuwarunkowania:
a)dynamiczneuczestnictwo wpodpisywaniu, b) dynamicznastrukturagrupy,
c)og ra niczonośćzasobów, d) rozproszenieobliczeń ,
e)brakzaufanejinfrastruktury,
f) potrzebaświadczenia usługi realizacjiprotokołów
grupowych,
g)minimalne założeni a dotyczące operacji w wę złach sieci (np. wyposażeni e każdego węzła w generatorliczb pseudolosowychi niewielkiewy -magania co do lokalnych zdolności ob liczenio-wych).
Udziałyczłonków są rozdzielanewgrupie z rozkła
demrównomiernym(możnatoosiąg nąćdziękiz astoso-waniuodpowiedniej funkcjimieszającej). Do wy genero-wania podpisu potrzeba zbioru wszystkich różnych udziałówrozproszonych wgrupie.Jeśli wieleudziałów jest powtarzalnych (równych), to istnieje dużo odpo
-wiednich podgrupprogowych.Zapewniatowięcprzede wszystkim ciągłość realizacji usług przez odpowiedni system.Z drugiej strony przeciwnikmoże doprowad zić do zablokowania działania systemu jedynie w razie
przejęciakontrolinadcałąpodg ru pączłonkówOj
edna-kowych udziałach. Zatem w przypadku,gdy członków
całej grupyjest znaczniewięcej niż różnych udziałów,
system ma wysoki poziom bezpieczeństwa. Probabili -styczna analiza wydajności przeprowadzona w pracy
dowodzitakżejegoprzydatności praktycznej.
Udziałydla nowychczłon kówgrupysągenerowane
przez repli kacjęjednej klasy(człon kówojednakowych udziałach ) przy współudzi ale jakiejkolwiek innej klasy
koniecznej do aktualizacji danych w oparciu opomysł
addytywnego dzielenia tajemnicy. Mocną stroną tego protokołu jest fakt, że dynamika (dołączanie nowych
graczy) odbywa się przez replikacjęprzyzaangażowa niu jedynie dowolnych dwóch członków grupy z róż nychklas.
Pierwsza idea w grupie dynamicznej wykorzystuje
statyczny schemat wielomianowego dzieleniatajemni
-cy22 powołujący się na interpolację Lagrange'a. Wszystkierozdzielane udziały są róż ne , zatem pr ogo-wośćjest zcałkowitąpewności ą(a nietylko prawdopo -dobi e ństwem )zagwarantowana przezli cze bność
odpo-wiedniej podgrupy. Mocną stroną schematów opartych
na tejideisą:
a) orientacja na progowość liczby podpisujących,
anie liczbyróżnych udziałów,
b)większa elastyczność w generowaniu sekretu
grupy(dzielenie wielomianowe,a nie addytywne),
c) rozdzielenieodpowiedzialności podpisujących , d) zapewnienie ciągłości podpisywania (eliminacja
wąskich gardeł),
e) wzmocnieniezaufaniaużytkowni ków,
f) rozproszenie obliczeń ipodwyższe ni e wydajności systemu,
g)możliwośćrealizacji w grupach dynamicznych. Ideę dynamiki w rodzinie grup zaproponowaną we wspomnianej już pracy J. Pomykały i T. Warchoła23 można wyrazićnastępująco:mamyzadanąrodzinę,któ
-rejczłonkowiezaczynają się dziel ić naokreślone kate
-gorie (np.ze względu naspecyfikę zadań, jakie będą wykonywać). Abywyróżnione grupymogły podpisywać wiadomości, wprowadzamy certytikaty przyna leż ności
do odpowiednich rodzin.Zakłada to istnieniedynamiki w zakresiewymienności rólczłon ków całejrodziny. Aby wzmocnić taki schemat o elastyczność wyboruprogu, w omawianej pracy zastosowanopomysłpodpisu wielo -progowego. Niewątpliwą przewag ą tego schematu
w porównaniu do schematu opartego na addytywnym
dzieleniusekretujest fakt,że- pomijając członków
sko-rumpowanych- każdapodgrupa wilości progowej m o-że poprawniepodpisać zadaną wiadomość. Po drugie,
przy wysokim poziomie progu dla liczby koniecznych
udział ów system ten- w przeciwieństwie doprotokołu
opisanego w pracy24- jestcałkowiciebezpieczny.
20
Analiza bez pi eczeń stwa
Jak już pisaliśmy25, bezpieczeństwo klasycznego
podpisucyfrowegodefiniuje się w odniesieniu do cha-rakteru przeciwnika (adversal}'). Dokład niej musimy
określić więc jego cel i środki, jakimi dysponuje.
W obecnej sytuacji przyjmujemy, że przeciwnik jest w stanieprzejąć kontrolę (s ko rumpować) nad - co na j-wyżej- k-graczami. Oznacza to przede wszystkim,że skorumpowani uczestnicy protokołu mogą się zacho
-wywać tak, jak wymaga tego adwersarz, z przekaza-niemmu swoichkluczyprywatnychwłącznie.Zakłada
my, że w analizowanym modelu obliczeniowym prze
-ciwnik dysponuje ograniczoną (wielomia nową) pamię ciąimocą obliczeniową.Celemadwersarzajestdziała
nie, któredoprowadzi do sfałszowania podpisupro go-wegolub niedoprowadzi do wygenerowania podpisu,
mimo że wgrupie istnieje progowa liczba uczestników
uczciwych.
Dowódbezpi ecze ń stwa schematupoleganapr
zed-stawieniu redukcji złamania takiego schematu progo
-wego do złamania klasycznego schematu podpisu26
w zadanym modelu.Udowodnienie,że przeciwniknie
jestw stanieosi ąg n ąćcelu(z niepomijalnymprawdopo
-dobieństwe m) będzie oznaczać,że podpisjest nie
pod-rabialny (unlorgeable) i odporny (rabusI). P
odrabiaI-ność będąca tu synonimem fałsze rstwa oznacza, że
adwersarz jest w stanie wygenerować podpis, który
przejdziepomyśl nieweryfikację,choćnie maprogowej
liczby udziałów podpisu od uczestników skoru
mpowa-nych.
Jeś li progiem jest I, a liczbą skorumpowanych k, oznacza to,że jeślipodpis jest poprawny,to co najmniej
1- kuczciwych(tj.nieskorumpowanych) członkówgru
-pymusiało uczestniczyć (zaangażowaćswojeudziały) w protokole. Jeśli wymagamy, aby liczba uczciwych podpisujących była co najmniej I,to otrzymujemystąd nierówność I> k
+ /
-
l określającą wysokość progu,który gwarantuje ni epodrabialność podpisu. Z drugiej strony odporność schematu implikuje, że wśród
n
członkówgrupy będzie co najmniejtyluuczciwych,ilu
potrzeba do wygenerowania poprawnego podpisu, tj.
co najmniejk.Stądotrzymujemydrugiwarunekbezpi
e-czeństwa(robuslness):n- k>I - l.
Poziom korupcjik niemoże więc przekroczyć poło wyliczby
n
-
t.Przypadek,kiedy to/może byćistotniewiększe niż 1 był rozważany w pracy V. Shoupa27.
Udowodniono w niej, że otrzymany schemat jest b
ez-pieczny w modelu z losową wyrocznią, od wołując się do bezp ieczeństwa klasycznego syste mu podpisu
RSA28(por.takżerozdz. 8.5)29.W artykule J. Pom yka-ły i T.Warchoła30omówiono zaś zagadnienie redukcji
bezpieczeństwa podpisu progowego w grupie dyna
-micznej, w odniesieniudo podpisuprogowego wgrupie
statycznejś'. Wartododać,żezastosowanie arytmetyki
krzywych eliptycznych implikuje tu redukcję
bezpie-czeństwa systemu do potencjalnie trudniejszego
pro-blemu logarytmu dyskretnego na krzywej eliptycznejniż
w grupie modularnej.
Podsumowani e
W niniejszej pracy skoncentrowano się na kwestii
bezpieczeństwa progowego podpisu cyfrowego w gru
-pach dynamicznych.Wnioskipłynącez
przeprowadzo-nej analizysą następujące: charakteryzując rozważane
schematy czterema parametrami: (n, m,
t,
k),gdzie noznaczawielkośćgrupy w danym momencie,mliczbę
różnych udziałów w grupie,
t
progową liczbę udziałów,zaś k maksymalną liczbę skorumpowanych członków,
stwierdzamy, że schematy wykorzystujące dzielenie
addytywne odpowiadają przypadkowi, gdy m =
t
,
a schematy wykorzystujące dzielenie wielomianowe
przypadkowi,gdym=
n.
Analizabezpieczeństwaprze-konuje,żepierwszy typ powinien być preferowany dla
małych wartości t,gdyżwtedy mamy dobre
ogranicze-nie na poziom korupcji:k <n/t,natomiast drugi dla
du-żych wartości
t,
gdyż wtedy mamy ograniczenie:k <t.
Ostatecznie wybór typu schematu zależy od ściśle
przeprowadzonej analizy wymagań, bezpieczeństwa
iwydajnościfunkcjonalnej systemu.
PRZYPISY
1 DSA - digital signaturealgorithm,ANSIX9.30-1
stan-dard;
2 RSA signaturealgorithm,ANSI X9.31-1standard;
3 ECDSA- eliiptic curve digitalsignaturealgorithm,IEEE
P1363/D2 (1998);
4 B.Hołyst: Kryminalistyka,wyd.XI,LexisNexis,Warsza·
wa 2007, s.805;
5 B. Holyst,J. Pomykała: Podpis elektroniczny -
aspek-tykryminalistyczne, prawne iinformatyczne, "Problemy
Kryminalistyki"2007, nr 256,s. 5-22;
6H.Dells, H.Knebl:lntroduction to cryptography,Spr
in-ger2002,s. 221-224;
7B.Ho/ys!, J.Pomykała:op.cit., s.5-22;
8A.Shamir: How to share a secret, "Communications 01
the ACM" 1979,nr 22 (1),s. 612-613;
9R.Di Pietra, L.V. Mancini, G.Zani n: Efficient and
ada-ptive threshold signatures forad hoc networks,
.Electro-nic Notes in Theoretical Computer Science" 2007,
nr 171,s.93-105;
10J. Pomyka/a, S. Barabasz: Elliptic curve based
thre-shold Proxy signaturescheme with known signers,
.Fun-damenta Informaticae"2006,nr 69 (4), s.411--425;
11J. Pomykała: On hierarchical structures and access
control, Proceedings of 5th International Conference
APLlMAT 2006,Bratislava,s.135-145;
12J.Pomykała,T.Warchoł:Threshold signaturesin
dyna-micgroups,Proceedingsof Future Generation
Cornmu-nication and Networking 2007,IEEE Computer Science,
s.32-37.
13 Y. Oesmed!: Society and group oriented cryptography:
A new concept, CRYPTO '87, LNCS 293, 1988,
s.120-127;
14 R. Gennaro,S.Jarec ki,H. Krawc zyk,T.Rabin:Robust
threshold DSS signatures, Eurocrypt '96, LNCS 1070,
1996,s. 354-371 ;
15J.Pomykała,T.Warchoł:op.cit.,s.5-22;
16R. DiPiet ro, L.V.Manci ni,G. Zanin: op.cit.,s.93-105;
17B.Przydatek,D.Son g,A. Perri g: SIA:Secure
informa-tion aggregation in sensor networks,reprint 2003;
18 H. Ghod osi , J. Pieprzyk, R. Safavi - Naini: Dynarnic
threshold cryptosystems: a new scheme in group or
ien-ted cryptography, Proceedings ot PRAGOCRYPT '96,
s.370-379;
19Y. Desmed! : Threshold cryptography,.European
Trans-actions on Telecommunications" 1994, nr 5 (4),
s. 449--457;
20B. Nakielski, J. Pomykała, JA Pomyk a/a: A
multi--threshold signatureukaże sięwJournal of
Telecommu-nication and Information Technology 2008 (1);
21 R.DiPietro , L.V.Mancini,G.Zanin: op.cit.,s. 93-105;
22A. Boldyreva : Threshold signatures, multisignatures
and blind signatures based on the gap Dlffie-Hellman
groupsignaturescheme,LNCS 2567,2003, s. 31-44; 23 J.Pomykała,T.Warchoł: op.cit.,s. 5-22;
24R.DiPiet ro,L.V.Mancini,G. Zani n:op.cit.,s. 93-105 ;
25 B.Holys!,J.Pomykała:op.cit.,s.5-22;
26 Ibidem;
27V. Shoup: Practical threshold signatures, Eurocrypt
LNCS 1807,2000,s. 207-220;
28R.Rlves!,A. Shamlr, L.M.Adleman: A method tor ob
-taining digital signatures and public key cryptosystems,
Communications ot the ACM 1978, nr 21 (2),120-126;
29 J. Pomykała, J.A. Pomyka/a: Systemy informacyjne.
Modelowanie i wybrane techniki kryptograficzne, MI·
KOM,Warszawa 1999;s.149-163;
30J.Pomykała,T.Warchoł: op.cit.:
31 A.Boldyreva: op.cit.