8.1 Ślepe podpisy cyfrowe w grupie GDH Diffe - Hallmana z luką

8.1 Ślepe podpisy cyfrowe w grupie GDH Diffe - Hallmana z luką

Gi – grupa DH z luką H – {0,1}^* → G₁

(G1,G2,e) – struktura dwuliniowa x – klucz prywatny podpisującego

y = g^x – klucz publiczny, gdzie g to generator grupy

(zakładamy dla uproszczenia, Ŝe G₁ jest grupą multiplikatywną) Schemat:

1 Faza

Zaciemnienie wiadomości m. Podmiot A przygotowuje wiadomość. Oblicza jej zaciemnienie czynnikiem losowym g^r i przekazuje do podpisu wartość H(m)g^r.

2 Faza

Podpisywanie:

Podmiot B wykonuje ślepy podpis

xi

g

r

m H ( ) )

= (

σ

i

przekazuje stronie A.

3 Faza

Obliczanie właściwego podpisu. Podmiot A zdejmuje czynnik zaciemniający obliczając:

x x

x r

r

H m

g g m H

g ( ( )

^r

) ( )

= σ =

8.2 Podpis skumulowany

Mamy grupę podpisujących róŜne wiadomości.

Cel:

Wykonanie podpisu pod wszystkimi wiadomościami takiego, Ŝeby werfyfikacja była w jednym kroku.

xi – klucze prywatne

y_i = g^xi – klucze publiczne podpisujących (członków grupy) mi – wiadomość podpisywana przez i-tego członka

1. Podpisywanie

KaŜdy z członków oblicza podpis częściowy

σ

i

H ( m

i

)

^xi , który jest walidowany (sprawdzany) dzięki obliczaniu odpowiednich iloczynów Weila. Podpis całkowity ma postać:

∏

= σ

_i

σ

2. Weryfikacja podpisu

Podpis

σ

jest akceptowany wtedy i tylko wtedy gdy:

)) ( , ( )

,

( _i

i

i H m

y e g

e ^{σ =}

∏

Wniosek:

Poprawność podpisu wynika z dwuliniowości iloczynu Weila, gdyŜ:

)) ( , ( ))

( , (

) ) ( , ( )

, ( )

, (

m H y e m

H g e

m H g e g

e g

e

i

i x

i

i i

x i i

i

i

∏

∏

∏ ∏

=

=

=

= σ

σ

8.3 Podpis pierścieniowy

Ten rodzaj podpisu pozwala na ukrycie toŜsamości podpisującego.

Wiadomo jedynie, Ŝe jest on członkiem danej grupy podpisujących (uŜytkowników w liczbie k).

1. Podpisywanie wiadomości m.

Dowolny uŜytkownik uŜywa swojego klucza prywatnego x_i i kluczy publicznych yij gdzie i ≠ j wszystkich pozostałych uŜytkowników do obliczenia podpisu pod wiadomością m.

Pozostali uŜytkownicy nie biorą udziału w tym podpisywaniu.

Podpisujący w przeciwieństwie do podpisów grupowych jest niewytrapialny.

Uzytkownik i-ty oblicza podpis generując najpierw losowe rj dla wszystkich j ≠ i. Podpis ma postać:

)) ( ),..., (

( )

(m

σ

₁ m

σ

_k m

σ

= _{, gdzie} σ_j = g^rj,(i ≠ j),

i j

x

j i

r j

i y

m

H ¹

) ) ( (

∏

≠

σ =

2. Weryfikacja

Podpis σ1^,σ2^,...,σk jest zaakceptowany wtedy i tylko wtedy gdy )

, ( ))

( , (

1

i k

s

yi

e m

H g

e

∏ σ

=

= Wniosek:

Poprawność wynika z własności iloczynu Weila, a mianowicie:

)) ( 1 , ( ) ( ) (

, (

) ) , (

( ) )

, ( ( ) ,

(

) ) ) ( (

, ( ) , ( )

, (

1

1

m H g e m y H

g y e

y m y H

g y e

m g H

e g g e

y m g H

e g g e y

e

i s

i j

r j r s

i j

r i j

s

r s i

j r i j

s

r x

x

i j

r j x

i s

r x s

k

s

s

j s

j s

j s

s

i j i

s s

∗

=

=

⋅

=

=

=

∏ ∏

∏ ∏

∏ ∏

∏ ∏

∏

≠

≠

≠

≠

≠

≠

≠

≠

=

σ

c.n.d