Bezpieczeństwo podpisu progowego w grupach dynamicznych

Brunon Hotvst, Jacek Pomykała

Bez

pieczeństwo

podpisu progowego

w grupach dynamicz

nych

Wiedza na temat tradycyjnego podpisu cyfrowego jest w społeczeństwie informacyjnym powszechna. W gospodarce elektronicznej stosowane są różne schematypodpisu ,np. standardy ANSI,takiejak OSA',

RSA2 czy EC-DSA3.Wiele rozwiniętych krajów świata

wprowadziło odpowiednie regulacje prawne4, zaś w niektórych państwach europejskich,np. skandy

naw-skich, sprawnie funkcjonuje już infrastruktura podpisu

elektron iczneg o.

Tradycyjny podpis cyfrowy poddanogłębokiej anali-zie i dokonano jego klasyfikacji w kategoriach bezpie-czeństwa. Aspekty kryminalistyczne,prawne i informa-tyczne były zaś przedmiotem badań omówionych we

wcześniejszym artykule 5. Niniejszy tekst jest jego kon -tyn uacj ąi ma ukazaćnowe rozwi ązania, które dotyczą bezpieczeństwa podpisu progowego w grupach dyna-micznych- zagadnienie szczególnie aktualne w

odnie-sieniu do współczesnych aplikacji internetowych i k o-munikacji w sieciach bezprzewodowych lub sieciach sensorów.

Kwestia bezpieczeństwapodpisuprogowego wyma -ganiezbędnychzmianiuściśleńw odniesieniudopoję­ cia autentyczności podpisu. W podpisie tradycyjnym oznacza ona, że podpisujący jest identyfikowalny. W podpisie progowym .autentyczność " nie sprowadza sięjuż do identyfikacji podpisujących, zatemwtymno -wym modelu podp isunależydoprecyzowaćpojęci efał­ szerstwa.

Z fałszerstwem mamy do czynieniawtedy,gdy po

-prawny podpis zostaje wygenerowany przez podg rupę członków (na ogół nieidentyfikowalnych ) o liczbie mniejszejniżwymaganaliczba progowa.Po drugie,do -chodzi tu dodatkowy wymiar bezpieczeństwa

-członkowieskorumpowaniniesąwstanie uniemożliwić

uczciwym członkompodgrupyzłożenie podpisu.Pozo

-stałe aspekty bezpieczeństwa możn a zdefiniować w sposób tradycyjny,określającfałszerstwojako odpo-wiednią funkcję typu ataku i poziomu sukcesu poten-cjalnego przeciwnika. Poziom sukcesu ataku prowadzi

do wyodrębnienia następujących kategorii: fałsze rstwo egzystencjalne,selektywne , uniwersalne itotalne. Ten model bezpieczeństwa tradycyjnego podpisu opisano

dokładniew wielu podręczntkachś. O wymiarze grupo-wym podpisu cyfrowego wspomniano zaś w pop rzed-nim artykule autorów niniejszego tekstu?' Poniżej

roz-16

winiemy ten temat, przeprowadzając analizę podpisu

progowegodlatzw.grupdynamicznych. Kryptografia progowa

- podstawowe pojęciai definicje

Głównym wyzwaniem dla kryptografii progowej jest

ochrona informacji w ramach systemów z tolerancją błędów (fault tolerantty distributing). Największym pro-blemem jest kwestia bezpiecznego dzielenia sekretu (secure sharing of a secreti,co polega na rozdzieleniu części sekretu (tajnej informacji)międzywiele podmio-tów (np.serwerów) tak,abyzostałyspełnione następu­ jącewymagania:

t) żadnagrupaskorumpowanych graczy (członków grupy) wliczbie mniejszej niżprogowanie jestwstanie zrekonstruować na podstawie tych części tajnej i nfor-macji nawet w przypadku, gdy skorumpowani gracze współprac ują zesobą,

2) w razie potrzeby rekonstrukcji tajnej informacji może dokonać dowolna , dostatecznie duża grupa (co najmniej wliczbieprogowej) uczciwych graczy.

Dzielenie sekretu jest kluczo wym elementem sche-matupodpisuprogowego.Załóżmy, żedany jest sc he-mat podpisu cyfrowego (K, S, 11), gdzie Kjest a

lgoryt-mem generacji kluczy,

S

algorytm em podpisywania, zaś V algo rytmem weryfikacji podpisu. Odpowiedni

schematpodpisu progoweg o(TK,TS, II)różnisięd

wo-ma pierwszym i algorytmami. TK jest algorytmem dys -trybucjiudziałów klucza, któryna wejściu ma dane pu

-bliczneczłonkówgrupy, natomiast nawyjściuklucz pu-bliczny grupy pk i odpowiednie udziały (prywatne) czło n ków grupy. Wymagane jest, aby rekonstrukcja

tychudziałów(zgodniez punktem2powyżej)prowadzi

-łado odpowiedniego kluczaprywatnegosk danej gru-py,takiego ,żepara (sk,pk) jest parą odpowiedniądla algorytmu K.Co więcej, rozkładtakich pardla algoryt-muK jesttakisam jak dlaalgorytmu TK.Spełnienieta

-kiego wymagania eliminuje możliwośćataków p

olega-jących na tzw.sterowaniu kluczem.Algorytm generacji podpisuprogowego TSskłada sięz dwóch etapów: ge

-neracji podpisówczęściowych ifazy rekonstrukcji pod-pisu.W pierwszym etapie każdyz graczy na podstawie wiadomości i swojego udziału oblicza odpowiedni pod-pisczęściowy,który w etapie drugim zostajezłożonydo

pełnego podpisu progowego grupy. Wymaganiem dla algorytmu

TS

jest to,by dladowolnejwiadomości zło­

żonywten sposób podpisbyłtaki sam jak podpis otrzy-many zużyciem algorytmu

S.

Celem kryptografii progowej jest implementacja wy-dajnych protokołówgwarantujących najwyższy poziom bezpieczeństwaodpowiednichsystemów kryptograficz-nych w możliwiesilnychmodelach ztole ran cją błędów. Realizację takiego celu osiąga się z uwzględnieniem

następujących warunków:

a) dopuszczalny poziom korupcji,który niepowodu -je szkody wdziałaniu całego systemu,

b) wymagania wydajności protokołu, tj. zasoby (pa-mięć), koszty komunikacji ikoszty obliczeń, c)przyjęty model komunikacji, tj. synchroniczność

komunikacji,istnienie poufnych kanałów komuni-kacjimiędzyczłonkamigrupy,istnienie

publiczne-go, uwierzytelnionego kanału informacyjnego

(broadcastchanne~,

d) typ przeciwnika określający, w jakisposób może onkorumpowaćgraczyi jakiesą możliwościobro -ny gracza przed przeciwnikiem (np. czy potrafi skutecznie zlikwidować posiadanezasoby, by nie dopuścićdo ich infiltracji przezatakującego), e)identyfikacja zagrożeń, jakie mogą pojawić się

w wyniku implementacji takich protokołów zarów-no na platformieprogramowej, jak isprzętowej. W dalszej części pracy zajmiemy się dokładniej

schematami deszyfrowania oraz podpisu progowego

wgrupach niestatycznych. Grupy dyn ami czn e

Pojęcie "grupa dynamiczna" odnosić będziemy nie tylkodozmienności liczby jejczło n ków(dodawanie

no-wych, usuwanie skompromitowanych) , lecz także

zmienności ich tożsamości lub pełnionych przez nich

funkcji. Przykładem dynamiki grupowej jest zmiana przynależności członkaz jednej podgrupy do drugiej(w ramach jednej rodziny grup). Dynamika może wymu

-szać zmiany sekretu grupy lub nie. Ponieważ g enero-wanie nowego sekretugrupy jest zazwyczaj związane z ponowną inicjalizacją systemu,takie rozwiązan i a są wpraktycemałowydajne.Z tego powodu niebędziemy

poświęcaćim uwagi.Załóżmy więc, żedana jest a pr io-ri niewielka grupa G, której członkowie mają udziały w sekreciegrupy s.

Niech zbiorem udziałów dla tajemnicy s będzie zbiór {sI, s2'" ' ' sm)' Jeśli do rekonstrukcji sekretu s niezbędne są wszystkie udziały

s

,

będziemy mówić orozkładzie (splitting) sekretu s naudziałysbjeśli zaś wystarczy ich progowa liczba

t

(t < m), to powiemy o progowym dzieleniu (threshold secret sharing)

tajem-PROBLEMY KRYMINALISTYKI259(styczeń-marzec)2008

nicy.Będziemydalej zakładać, że grupamoż e zrekon-struować tajemnicę s, tylko z użyc i e m co najmniej

t

wartości udzi ałów. Typowym przykładem rozkładu se-kretu jestlosowy wybór

m-t

ud z iałów i zdefiniowanie sm

=

s - (sI +s2 +... Sm_I)'Jest to tzw.rozkład addy-tywny (dzielenie addytywne) wodróżnieniu od dziele-niawielomianowego (interpolacyjnego).

Wzorcowym przykładem dzielenia progowego jest

schematShamiraśoparty na interpolacjiLagrange'a. In-terpolowany wielomian ma wtedy stopień

t-t

,

gdzie

t

jestwartościąprogu.Jakkolwiekroz kładsekretumożna

zreal izowaćjakoskrajne dzielenietajemnicy (t=m),nie jest to rozsądne. Znaczenie schematów progowych po-jawiasiędla

t

<

m

,

jakzobaczymy w dalszejczęści arty-kułu.

Według standardowego scenariusza realizacji dy -namiki do grupdołącza się nowychczłonków. W trak-cietego procesu może się okazać, że wgrupie wyod-rębniają się specyficzne podgrupy (np.zewzg l ęd u na

specyfikację zadań wykonywanych przez jej człon­

ków). Jeśli od tak wyspecjalizowanych podgrup bę­ dziemy oczekiwać autoryzacji określonych wiadomo -ści, tobędziemy miećdo czynienia z podpisamic yfro-wymiczłonkóww imieniutych podgrup. Jeśli dodatko -wo zbiory autoryzujące zawierają minimalne zbiory (progowe),mówisięo podpisach progowych dla danej rodziny grup.

Dołączanie nowych członków może odbywać się

"lokalnie" (tzn. przezpojedynczych graczy już istn i ej ą­ cych w grupie) lub globalnie,tj. za wiedzą izgodą qu-orum grupy. Jest przytym jasne,żeprocesdołączania nowych członkówmożnarealizować ,wykorzystującje -den z dwóch typów podziału tajemnicy omówionych powyżej. Przypadek pierwszy badany w artykule R.Di Pietra, L.V.ManciniegoiG.Zanina 9możnarozszerzyć takżedo badaniasystemówpełnomocnictwcyfrowych, którym poświęcona byłapraca J.Pomykały i

S

.

Bara-basza10. W modelugrupowym ma to oczywisty zwią­ zek z grupami hlerarchicznyrnll l. Przypadek globalny rozważano zaś w artykule J. Pomykały i T.Wa rcho-ła12.

Dynamika grup może być realizowana na różne

sposoby wzależności odwymagań stawianych

syste-mowi. Przykładowo, dynamika reprezentacji grup

w obrębie wi ę kszych rodzin została omówiona w po-wyż szej pracy J.PomykałyiT.Wa rch oła dzięki wpro-wadzeniu odpowiednich certyfikatów cyfrowych dla

członków grupy. Ważnym elementem bezpiecznego

funkcjonowania grup dynamicznych są przyj ęte zało­ żenia,np.dotycząceistnieniazaufanyc hstronwproto -kołach,takich jak:dilerrozdzielającyudziałydlaczłon­ ków grupy,administratorprzydzielającycertyfikatyczy

menedżer weryfikujący poprawność udziałów lub cer

-tyfikatów.Imsłabsze założenia,tym lepszyjest system

- pod warunkiem, że umie się dowieść jego bezpie

-czeństwa .

Idea podpisu progowego została wprowadzona przez Y.Desmedta13, ajego bezpieczny schemat dla grupystatycznejzaproponowaliR.Genarro, S. Jarecki,

H. Krawczyk i

T.

Rabin14. Bezpiecznyschematprogo -wypodpisudlarodzinygrupdynamicznych wminimal

-nym modeluzaufaniazostał omówiony wew spomnia-nejpracyJ.Pomykały i

T.

Warchoła15,zaś kwestię a l-ternatywnegomodelupodpisu progowego dla grupy dy -namicznej poruszyli w swej pracy R. Di Pietro, L.V. ManciniiG.Zanin16.Tego typu rozwiązaniejest szcze -gólniedogodne dla bezpiecznego gromadzeniai prze -kazywania informacji w rozległych sieciach sensoro-wych17.

Kry ptosyst emy progowe

Kryptosystemy progowe realizują bezpieczną i w y-dajną wymian ę informacji w strukturach grupowych. Dwiekluczoweaplikacje są związane z podpisem pro -gowym i tzw. deszyfrowaniem progowym wzależ ności

od tego,czyprogowość jest z koleizwiązana z gr upo-wym szyfrowaniem iub deszyfrowaniem. W obu sytu-acjach progowość jest szczególnymprzypadkiem tzw. ogólnych struktur dostępu (access structures), w któ -rych do poprawnegozaszyfrowania lub odszyfrowania

wiadomości potrzebnajest grupauprzywilejowana,bę­ dącawtym przypadkudowolną grupą posiadającąpro

-gową liczbę udziałów wsekrecie grupy.Najbardziejt y-powymi schematamiprogowymisątzw.(t,n) schema-ty,gdzie

n

oznaczaliczbę członkówgrupy,natomiast

t

liczb ę udz i ałów niezbędnych do odtworzenia sekretu grupy (wartość progu). Głównym powodem tworzenia tego typu systemówkryptograficznych jest zapewnianie

ni ezawod n ości iwydajności usług wsystemachtelein -formatycznych, zamiar zwiększen ia zaufania podmio -tówświadczących usługi,atakżerozdzielanieodpowie

-dzia lności w uzgadnianiu odpowiednich decyzji. W praktycznej realizacji protokołu istotnym zadaniem jestustalenie poziomuprogu dobieranego odpowiednio do zakładanego poziomu korupcji. Systemy deszyfro -wania progowego typu (/, n) odgrywają ważną rolę

wsytuacjach,gdyodszyfrowaniewiadomościniemoże być zależnetylko od posiadaniajednego klucza deszy

-frującego. Stwarzałoby to ryzyko,że w wypadku jego utracenia informacja nigdy nie zostałaby odzyskana.

Z drugiej strony,w przypadkugdy szyfrowanei nforma-cje mają np.klauzu lę "ści śle tajne",może być istotne, aby ich zdeszyfrowanie mogło być przeprowadzone wobecn ości kilkustron.

Omówimy teraz id e ę deszyfrowania progowego z wykorzystaniem systemu RSA. Pomysł pochodzi od J.Pieprzykaiwsp.18imanastępującezalety:

18

a)systemniewymaga istnieniazaufanej strony, b)system nie wymaga przekazywaniaudziałów

pod-pisubezpiecznymikanałami,

c)każdy użytkown ikjestwyposażonywparę kluczy: prywatny i publiczny, przy czym klucz publiczny jest przechowywanyw pewnym publicznym reje -strze (tzw.white pages),

d) docelowa grupa odbiorców wiado mości oraz po-ziomproguodbiorcówsąwybierane przeznadaw

-cę,

e) kryptogram może być odczytany jedynie przy

współpracyprogowej liczby odbiorców z usta lone-go przeznadawcę zbioru.

Proto kół składa się z dwóchalgorytmów:

• szyfrującego, który nawejści u ma klucze publ icz-neużytkowników,wiadomośćm i próg

t

,

a na wyj-ściukryptogram,który jest podany dowiad omości publicznej,

• deszyfrującego, który mając na wejści u krypto-gram i kluczeprywatnedowolnej progowej liczby uczestników, oblicza wartość odszyfrowanej wia

-domości.

Wpierwszymetapiedeszyfrowanianadawca oblicza iloczynwykład n ikówpublicznych odpowiedniegozbioru

użytkowni ków, do którego adresowana jestwiadomość oraziloczyn

N

ichmodułówRSA.Następnielosuje wie-lomian f stopnia t-t nad ciałem skończonym, którego wyraz wolny s jest sekretem odbierającej grupy, po czymdokonujelokalizacji:

a)przygotowaną wiadomość M(mniejszą od iloczy -nu odpowiednich modułów) reprezentuje lokalnie wpostaciresztmodule, a odpowiedniepubliczne

moduły odbiorców i odpowiednie reszty podnosi

lokalniedopotęg i s,

b)sekretgrupydzieli wielomianem f,otrzymując od-powiedniciąg udziałów (lokalnareprezentacja ta-jemnicy),który szyfruje następniezapomocąwy

-kładni kówpublicznych odbiorców.

Tak uzyskane ciąg i "skleja" modularnie,otrzymując globalną parę (Cj,C2 ).Wyjściemfazy szyfrowaniajest

czwórka(N,

t

,

c

;

_C2).

W drugimetapieczłonkowiegrupynajpierwlokal

izu-ją pa rę (Cj ,

C2)

,

a następnie, używając swoich kluczy

prywatnych RSA,ob liczają na podstawie _C2w grupie progowej wartość s, któ rą podają do wi adomości pu-blicznej.Terazkażdyodbiorcaodtwarza lokalnie

wiado-mo ś ć M,korzystajączeznajomościzapadki dla "swoje-go"systemu RSA.Ostatnią faząjest"sklejenie"wi ado-mościmna podstawiejejwa rtościlokalnych (reszt),kt ó-remożesię odbyćw dowolnej grupieprogowej.

Podpis progowy to w istocie szyfrowanie progowe kluczem prywatnym.Składasięz trzech algorytmów:

aj algorytmugeneracji kluczy będącego i nteraktyw-nym protokołe m przeprowadzanym przez cz

ków grupy, który na wejściu ma dane publiczne grupy, a na wyjści u daje klucz publiczny grupy wraz z odpowiednimudziałem dlakażdego użyt­

kownikaindywidualnie.Rekonstrukcjatych

udzia-łów prowadzi do klucza prywatnego grupybędą­ cego w odpowiedniości z wygenerowanym kl u-czempublicznym,

b) algorytmu podpisywania mającego na wejściu

wi ado moś ć i klucze prywatne podp isujących ,

z których najpierwgeneruje odpowiednieudziały podpisu (faza generacji podpisów części owych),

a następnie łączy je w cały podpis (faza r ekon-strukcjipodpisu),

c)algorytmu weryfikacji podpisu,którymającnawej

-ściu klucz publiczny grupy i podpis pod zadaną

wiadom ością, dajenawyjści u odpowiedź: a

kcep-tujlubodrzuć.

Ogólny przegląd kryptografii progowej został omó-wionyprzez jednego z jejczołowychtwórców - Y. De -smedta wpracy..Thresholdcryptography"19.Zewzglę­ du na powszechniefu n kcjon ujące obecnie modeie z

a-ufaniawkomunikacjielektronicznej trudnojest prz

ece-nić rolę bezpieczeństwa danych izastosowania p

roto-kołów wykorzystujących obliczenia wielopodmiotowe. Wnastępnymparagrafiezdefiniujemykoncepcjępodp i-su wieloprogowego,który odpowiadana nowe wyzwa

-niawspółczesn ejkomunikacjielektronicznej.

Podpis wi

elop

rogowy

Jak wykazaliśmy, moż na efektywnie zap rojektować system deszyfrowania, w którym wartość progu jest

ustalanarazem zprzygotowaną dozaszyfrowania wia

-domością. W przypadku szyfrowania kluczem prywat -nym grupa jeststroną autoryzującą wiadomość. W ta-kiej sytuacji,zmieniającpróg dladanejwiado mości, wy-musza się też zmianę wielomianu dzielącego sekret

grupy. Z punktu widzeniawydajn ośc i jest toduż e osła­

bienie systemu,gdyż wymagaczęsteg o zaangażowa­

nia generatora liczb pseudolosowychprzy podpisywa

-niu różnych wiadomości (z różnym progiem). Rozwią­ zanie zaproponowane wpracy B.Nakielskiego,J.

Po-mykały i JA Pomykały20jest następujące: skoro nie

chcemyzmien iaćwielomianukaźdo razowoprzy p odpi-sywaniu różnych wiad om ości, to ustalmy wielomian wyższeg ostopnia,odpowiadający większejgrupie, któ -rej podgrupabędziepełniłarolępodpisujących.Pro wa-dzi to do wyodrębnien ia dwóch grup: podpisujących

iuzupełniających.

Z punktuwidzenia dużej grupy mamy do czynienia ze zwykłym podpisem progowym,natomiast z punktu widzenia jej podgrupy z podpisem o zmiennym progu, czyli wieloprogowym. Taka elastyczność w wyborze

progu może wskazywać na potencjalne zastosowania

PROBLEMYKRYMINALISTY KI 259(styczeń-marzec)2008

np.dlapodpisówwiadomości oróżnych"priorytetach".

Co więcej, powyższa idea pozwala na real i zację

zarównopodpisu anonimowego,jakteżzpełnąidenty

-fikacją podpisujących. Drugi wariant można osiąg nąć

przez prostą autoryzację podpisu ..anonimowego" z użyciem prywatnych kluczy podpisujących. Schemat zaproponowany wpowyżejcytowanejpracyskładasi ę z czterechnastępującychfaz:

a) algorytmuinicjalizacji systemu, b)fazypodpisywania,

c)fazy autoryzacji,

d)fazy weryfikacjipodpisu.

Omówionypowyżejpodpis wieloprogowybazuje na systemie RSA i protokole Shamira dzielenia sekretu. Wkolejnym paragrafie wprowadzimynową ideę z asto-sowania podpisów progowych dla rodziny grup d yna-micznychzużyciemsystemu certyfikatówcyfrowych.

Podpisy progowe

dla

g

rupy

dynamicznej

Można wyróżnićdwakluczowe icałkowicieodm ien-ne podejścia do realizacji takich schematów. Każde z nichinaczej reprezentujeideę progowości. Jedno od

-nosi ją do dystrybucji niepowtarzalnych ud ziałów dla poszczególnychczłonkówgrupy,drugiezaś do d ystry-bucji powtarzalnychudziałóww grupie.W obydwup rzy-padkach liczbaróż nych udziałówdecydujeowłaściwej

liczbie progowej.

Zacznijmy od drugiej idei zaprezentowanej np.

w pracy R. Di Pietra, L.V. Manciniego i G. Zanina21. Podstawowym powodem zastosowania tego po mysłu dosieci mobilnychsąnastępująceuwarunkowania:

a)dynamiczneuczestnictwo wpodpisywaniu, b) dynamicznastrukturagrupy,

c)og ra niczonośćzasobów, d) rozproszenieobliczeń ,

e)brakzaufanejinfrastruktury,

f) potrzebaświadczenia usługi realizacjiprotokołów

grupowych,

g)minimalne założeni a dotyczące operacji w wę­ złach sieci (np. wyposażeni e każdego węzła w generatorliczb pseudolosowychi niewielkiewy -magania co do lokalnych zdolności ob liczenio-wych).

Udziałyczłonków są rozdzielanewgrupie z rozkła­

demrównomiernym(możnatoosiąg nąćdziękiz astoso-waniuodpowiedniej funkcjimieszającej). Do wy genero-wania podpisu potrzeba zbioru wszystkich różnych udziałówrozproszonych wgrupie.Jeśli wieleudziałów jest powtarzalnych (równych), to istnieje dużo odpo

-wiednich podgrupprogowych.Zapewniatowięcprzede wszystkim ciągłość realizacji usług przez odpowiedni system.Z drugiej strony przeciwnikmoże doprowad zić do zablokowania działania systemu jedynie w razie

przejęciakontrolinadcałąpodg ru pączłonkówOj

edna-kowych udziałach. Zatem w przypadku,gdy członków

całej grupyjest znaczniewięcej niż różnych udziałów,

system ma wysoki poziom bezpieczeństwa. Probabili -styczna analiza wydajności przeprowadzona w pracy

dowodzitakżejegoprzydatności praktycznej.

Udziałydla nowychczłon kówgrupysągenerowane

przez repli kacjęjednej klasy(człon kówojednakowych udziałach ) przy współudzi ale jakiejkolwiek innej klasy

koniecznej do aktualizacji danych w oparciu opomysł

addytywnego dzielenia tajemnicy. Mocną stroną tego protokołu jest fakt, że dynamika (dołączanie nowych

graczy) odbywa się przez replikacjęprzyzaangażowa­ niu jedynie dowolnych dwóch członków grupy z róż­ nychklas.

Pierwsza idea w grupie dynamicznej wykorzystuje

statyczny schemat wielomianowego dzieleniatajemni

-cy22 powołujący się na interpolację Lagrange'a. Wszystkierozdzielane udziały są róż ne , zatem pr ogo-wośćjest zcałkowitąpewności ą(a nietylko prawdopo -dobi e ństwem )zagwarantowana przezli cze bność

odpo-wiedniej podgrupy. Mocną stroną schematów opartych

na tejideisą:

a) orientacja na progowość liczby podpisujących,

anie liczbyróżnych udziałów,

b)większa elastyczność w generowaniu sekretu

grupy(dzielenie wielomianowe,a nie addytywne),

c) rozdzielenieodpowiedzialności podpisujących , d) zapewnienie ciągłości podpisywania (eliminacja

wąskich gardeł),

e) wzmocnieniezaufaniaużytkowni ków,

f) rozproszenie obliczeń ipodwyższe ni e wydajności systemu,

g)możliwośćrealizacji w grupach dynamicznych. Ideę dynamiki w rodzinie grup zaproponowaną we wspomnianej już pracy J. Pomykały i T. Warchoła23 można wyrazićnastępująco:mamyzadanąrodzinę,któ

-rejczłonkowiezaczynają się dziel ić naokreślone kate

-gorie (np.ze względu naspecyfikę zadań, jakie będą wykonywać). Abywyróżnione grupymogły podpisywać wiadomości, wprowadzamy certytikaty przyna leż ności

do odpowiednich rodzin.Zakłada to istnieniedynamiki w zakresiewymienności rólczłon ków całejrodziny. Aby wzmocnić taki schemat o elastyczność wyboruprogu, w omawianej pracy zastosowanopomysłpodpisu wielo -progowego. Niewątpliwą przewag ą tego schematu

w porównaniu do schematu opartego na addytywnym

dzieleniusekretujest fakt,że- pomijając członków

sko-rumpowanych- każdapodgrupa wilości progowej m o-że poprawniepodpisać zadaną wiadomość. Po drugie,

przy wysokim poziomie progu dla liczby koniecznych

udział ów system ten- w przeciwieństwie doprotokołu

opisanego w pracy24- jestcałkowiciebezpieczny.

20

Analiza bez pi eczeń stwa

Jak już pisaliśmy25, bezpieczeństwo klasycznego

podpisucyfrowegodefiniuje się w odniesieniu do cha-rakteru przeciwnika (adversal}'). Dokład niej musimy

określić więc jego cel i środki, jakimi dysponuje.

W obecnej sytuacji przyjmujemy, że przeciwnik jest w stanieprzejąć kontrolę (s ko rumpować) nad - co na j-wyżej- k-graczami. Oznacza to przede wszystkim,że skorumpowani uczestnicy protokołu mogą się zacho

-wywać tak, jak wymaga tego adwersarz, z przekaza-niemmu swoichkluczyprywatnychwłącznie.Zakłada­

my, że w analizowanym modelu obliczeniowym prze

-ciwnik dysponuje ograniczoną (wielomia nową) pamię­ ciąimocą obliczeniową.Celemadwersarzajestdziała­

nie, któredoprowadzi do sfałszowania podpisupro go-wegolub niedoprowadzi do wygenerowania podpisu,

mimo że wgrupie istnieje progowa liczba uczestników

uczciwych.

Dowódbezpi ecze ń stwa schematupoleganapr

zed-stawieniu redukcji złamania takiego schematu progo

-wego do złamania klasycznego schematu podpisu26

w zadanym modelu.Udowodnienie,że przeciwniknie

jestw stanieosi ąg n ąćcelu(z niepomijalnymprawdopo

-dobieństwe m) będzie oznaczać,że podpisjest nie

pod-rabialny (unlorgeable) i odporny (rabusI). P

odrabiaI-ność będąca tu synonimem fałsze rstwa oznacza, że

adwersarz jest w stanie wygenerować podpis, który

przejdziepomyśl nieweryfikację,choćnie maprogowej

liczby udziałów podpisu od uczestników skoru

mpowa-nych.

Jeś li progiem jest I, a liczbą skorumpowanych k, oznacza to,że jeślipodpis jest poprawny,to co najmniej

1- kuczciwych(tj.nieskorumpowanych) członkówgru

-pymusiało uczestniczyć (zaangażowaćswojeudziały) w protokole. Jeśli wymagamy, aby liczba uczciwych podpisujących była co najmniej I,to otrzymujemystąd nierówność I> k

+ /

-

l określającą wysokość progu,

który gwarantuje ni epodrabialność podpisu. Z drugiej strony odporność schematu implikuje, że wśród

n

członkówgrupy będzie co najmniejtyluuczciwych,ilu

potrzeba do wygenerowania poprawnego podpisu, tj.

co najmniejk.Stądotrzymujemydrugiwarunekbezpi

e-czeństwa(robuslness):n- k>I - l.

Poziom korupcjik niemoże więc przekroczyć poło­ wyliczby

n

-

t.Przypadek,kiedy to/może byćistotnie

większe niż 1 był rozważany w pracy V. Shoupa27.

Udowodniono w niej, że otrzymany schemat jest b

ez-pieczny w modelu z losową wyrocznią, od wołując się do bezp ieczeństwa klasycznego syste mu podpisu

RSA28(por.takżerozdz. 8.5)29.W artykule J. Pom yka-ły i T.Warchoła30omówiono zaś zagadnienie redukcji

bezpieczeństwa podpisu progowego w grupie dyna

-micznej, w odniesieniudo podpisuprogowego wgrupie

statycznejś'. Wartododać,żezastosowanie arytmetyki

krzywych eliptycznych implikuje tu redukcję

bezpie-czeństwa systemu do potencjalnie trudniejszego

pro-blemu logarytmu dyskretnego na krzywej eliptycznejniż

w grupie modularnej.

Podsumowani e

W niniejszej pracy skoncentrowano się na kwestii

bezpieczeństwa progowego podpisu cyfrowego w gru

-pach dynamicznych.Wnioskipłynącez

przeprowadzo-nej analizysą następujące: charakteryzując rozważane

schematy czterema parametrami: (n, m,

t,

k),gdzie n

oznaczawielkośćgrupy w danym momencie,mliczbę

różnych udziałów w grupie,

t

progową liczbę udziałów,

zaś k maksymalną liczbę skorumpowanych członków,

stwierdzamy, że schematy wykorzystujące dzielenie

addytywne odpowiadają przypadkowi, gdy m =

t

,

a schematy wykorzystujące dzielenie wielomianowe

przypadkowi,gdym=

n.

Analizabezpieczeństwa

prze-konuje,żepierwszy typ powinien być preferowany dla

małych wartości t,gdyżwtedy mamy dobre

ogranicze-nie na poziom korupcji:k <n/t,natomiast drugi dla

du-żych wartości

t,

gdyż wtedy mamy ograniczenie:k <

t.

Ostatecznie wybór typu schematu zależy od ściśle

przeprowadzonej analizy wymagań, bezpieczeństwa

iwydajnościfunkcjonalnej systemu.

PRZYPISY

1 DSA - digital signaturealgorithm,ANSIX9.30-1

stan-dard;

2 RSA signaturealgorithm,ANSI X9.31-1standard;

3 ECDSA- eliiptic curve digitalsignaturealgorithm,IEEE

P1363/D2 (1998);

4 B.Hołyst: Kryminalistyka,wyd.XI,LexisNexis,Warsza·

wa 2007, s.805;

5 B. Holyst,J. Pomykała: Podpis elektroniczny -

aspek-tykryminalistyczne, prawne iinformatyczne, "Problemy

Kryminalistyki"2007, nr 256,s. 5-22;

6H.Dells, H.Knebl:lntroduction to cryptography,Spr

in-ger2002,s. 221-224;

7B.Ho/ys!, J._Pomykała:op.cit., s.5-22;

8A.Shamir: How to share a secret, "Communications 01

the ACM" 1979,nr 22 (1),s. 612-613;

9R.Di Pietra, L.V. Mancini, G.Zani n: Efficient and

ada-ptive threshold signatures forad hoc networks,

.Electro-nic Notes in Theoretical Computer Science" 2007,

nr 171,s.93-105;

10J. Pomyka/a, S. Barabasz: Elliptic curve based

thre-shold Proxy signaturescheme with known signers,

.Fun-damenta Informaticae"2006,nr 69 (4), s.411--425;

11J. Pomykała: On hierarchical structures and access

control, Proceedings of 5th International Conference

APLlMAT 2006,Bratislava,s.135-145;

12J.Pomykała,T.Warchoł:Threshold signaturesin

dyna-micgroups,Proceedingsof Future Generation

Cornmu-nication and Networking 2007,IEEE Computer Science,

s.32-37.

13 Y. Oesmed!: Society and group oriented cryptography:

A new concept, CRYPTO '87, LNCS 293, 1988,

s.120-127;

14 R. Gennaro,S.Jarec ki,H. Krawc zyk,T.Rabin:Robust

threshold DSS signatures, Eurocrypt '96, LNCS 1070,

1996,s. 354-371 ;

15J.Pomykała,T.Warchoł:op.cit.,s.5-22;

16R. DiPiet ro, L.V.Manci ni,G. Zanin: op.cit.,s.93-105;

17B.Przydatek,D.Son g,A. Perri g: SIA:Secure

informa-tion aggregation in sensor networks,reprint 2003;

18 H. Ghod osi , J. Pieprzyk, R. Safavi - Naini: Dynarnic

threshold cryptosystems: a new scheme in group or

ien-ted cryptography, Proceedings ot PRAGOCRYPT '96,

s.370-379;

19Y. Desmed! : Threshold cryptography,.European

Trans-actions on Telecommunications" 1994, nr 5 (4),

s. 449--457;

20B. Nakielski, J. Pomykała, JA Pomyk a/a: A

multi--threshold signatureukaże sięwJournal of

Telecommu-nication and Information Technology 2008 (1);

21 R.DiPietro , L.V.Mancini,G.Zanin: op.cit.,s. 93-105;

22A. Boldyreva : Threshold signatures, multisignatures

and blind signatures based on the gap Dlffie-Hellman

groupsignaturescheme,LNCS 2567,2003, s. 31-44; 23 J.Pomykała,T.Warchoł: op.cit.,s. 5-22;

24R.DiPiet ro,L.V.Mancini,G. Zani n:op.cit.,s. 93-105 ;

25 B.Holys!,J.Pomykała:op.cit.,s.5-22;

26 Ibidem;

27V. Shoup: Practical threshold signatures, Eurocrypt

LNCS 1807,2000,s. 207-220;

28R.Rlves!,A. Shamlr, L.M.Adleman: A method tor ob

-taining digital signatures and public key cryptosystems,

Communications ot the ACM 1978, nr 21 (2),120-126;

29 J. Pomykała, J.A. Pomyka/a: Systemy informacyjne.

Modelowanie i wybrane techniki kryptograficzne, MI·

KOM,Warszawa 1999;s.149-163;

30J.Pomykała,T.Warchoł: op.cit.:

31 A.Boldyreva: op.cit.