Signature aveugle

Dans la cryptographie , une signature d'abat-jour de , comme présenté par le David Chaum , est une forme de la signature digitale dans laquelle le contenu d'un message est déguisé ( blinded) avant qu'il soit signé. La signature aveugle en résultant peut être publiquement vérifiée contre l'original, message unblinded de la façon d'une signature digitale régulière. Des signatures aveugle sont typiquement utilisées dans des protocoles relatifs à la vie privée où le signataire et l'auteur de message sont différentes parties. Les exemples incluent les systèmes d'élection et les arrangements cryptographiques de l'argent numérique De .

Une analogie employée souvent à la signature aveugle cryptographique est l'acte physique de joindre un message sous enveloppe, qui est alors scellée et signée par un agent de signature. Ainsi, le signataire ne regarde pas le contenu de message, mais un tiers peut plus tard vérifier la signature et savoir que la signature est valide dans les limitations de l'arrangement fondamental de signature.

Des signatures aveugles peuvent également être employées pour fournir l'unlinkability de , qui empêche le signataire de lier le message blinded qu'il signe à une version ONU-aveuglée postérieure qu'il peut être invité pour vérifier. Dans ce cas-ci, la réponse du signataire est le premier " ; l'ONU-blinded" ; avant la vérification de telle manière que la signature reste valide pour le message ONU-aveuglé. Ceci peut être utile dans les arrangements où l'anonymat est exigé.

Des arrangements sans visibilité de signature peuvent être mis en application using un certain nombre d'arrangements de signature publics de la clef commun, par exemple de RSA et de DSA . Pour exécuter une telle signature, le message est le premier " ; blinded" ; , typiquement en le combinant d'une manière quelconque avec un " aléatoire ; factor" sans visibilité ;. Le message blinded est passé à un signataire, qui le signe alors using un algorithme de signature standard. Le message en résultant, avec le facteur sans visibilité, peut plus tard être vérifié contre la clef publique du signataire. Dans quelques arrangements sans visibilité de signature, tels que la RSA, il est même possible d'enlever le facteur sans visibilité de la signature avant qu'on le vérifie. Dans ces arrangements, le rendement final (message/signature) de l'arrangement sans visibilité de signature est identique à celui du protocole de signature normal.

Utilisations

Les arrangements sans visibilité de signature voient beaucoup d'utilisation dans les applications où l'intimité d'expéditeur est importante. Ceci inclut le divers " ; " de l'argent numérique ; arrangements et protocoles de vote .

Par exemple, l'intégrité d'un certain système de vote électronique peut exiger que chaque vote soit certifié par une autorité d'élection avant qu'il puisse accepter pour le compte ; ceci permet à l'autorité de vérifier les qualifications de l'électeur pour s'assurer qu'elles sont permises de voter, et qu'elles ne soumettent pas plus d'un vote. Simultanément, il est important que cette autorité de ne pas apprendre les choix de l'électeur. Une signature aveugle unlinkable fournit cette garantie, car l'autorité ne verra pas le contenu d'aucun vote qu'elle signe, et ne pourra pas lier les votes blinded elle signe de nouveau aux votes ONU-aveuglés elle reçoit pour le compte.

Arrangements sans visibilité de signature

Les arrangements sans visibilité de signature existent pour beaucoup de protocoles de signature de clef publique. Quelques exemples sont fournis ci-dessous. Dans chaque exemple, le message à signer est contenu dans le m de valeur. le m est considéré une certaine entrée légitime à la fonction de signature. Avant d'expliquer les arrangements de signature d'abat-jour, essayons de le comprendre officieusement. Considérer la situation suivante. Nous avons une lettre qui devrait être signée par une autorité (dire A), mais nous ne devrions pas indiquer le contenu de la lettre à l'autorité. Ce que nous pouvons faire est de placer la lettre sous enveloppe rayée par carbone et de l'envoyer à l'A. A signera l'extérieur de notre enveloppe de carbone sans ouverture il. A nous renvoie notre enveloppe et nous l'ouvrons pour trouver la lettre signée par une autorité qui n'a pas vu son contenu.

Plus formellement un arrangement sans visibilité de signature est un protocole cryptographique qui fait participer deux parties, un utilisateur Alice qui veut obtenir des signatures sur ses messages, et un signataire Bob qui est en possession de sa clef de signature secrète. À la fin du protocole Alice obtient une signature sur le m sans Bob apprenant n'importe quoi au sujet du message. Il est difficile de capturer cette intuition de ne pas apprendre quelque chose en termes mathématiques. L'approche habituelle est de prouver que pour chaque signataire (adversarial), là existe un simulateur qui peut produire la même information que le signataire. C'est semblable à la manière que la zéro-connaissance est définie dans des systèmes de la preuve de la Zéro-connaissance de .

Signatures aveugles de la RSA

Un des arrangements de signature sans visibilité les plus simples est basé sur la signature de la RSA. Une signature traditionnelle de la RSA est calculée en soulevant le de message m au modulo secret du d d'exposant le public N de module. La version sans visibilité emploie un aléatoire r , tels de valeur que le r est le relativement principal au N (c. gcd ( r , N ) de = 1). le r est augmenté au public N de modulo du e d'exposant, et le $r^e\; de\; valeur\; \backslash \; bmod\; enrésultantN$ est employé pendant qu'un facteur sans visibilité. L'auteur du message calcule le produit du message et du facteur sans visibilité, c.

$m\; \backslash \; équivalent\; m\; r^e\; \backslash \; (\backslash \; mathrm\; \{\}\; de\; mod\; \backslash \; N)$

et envoie le $m\text{'}$ en résultant de valeur à l'autorité de signature. Puisque le r est une valeur aléatoire et le r^e de cartographie de $r\; \backslash \; mapsto\; \backslash \; bmod\; N$ est une permutation qu'il suit que le $r^e\; \backslash \; bmod\; N$ est aléatoire aussi. Ceci implique que le $m\text{'}$ ne coule aucune information sur le m . L'autorité de signature calcule alors le du s blinded de de signature comme :

$s\; \backslash \; équivalent\; (m\text{'})^d\; \backslash \; (\backslash \; mathrm\; \{\}\; de\; mod\; \backslash \; N).$

le du s de est renvoyé à l'auteur du message, qui peut alors enlever le facteur sans visibilité pour indiquer le s , la signature valide de la RSA du m : $de$

s \ s équivalents * r^ {- 1} \ (\ mathrm {} de mod \ N)

Ceci fonctionne parce que les clefs de la RSA satisfont le $r^\; d\text{'}équation\; \{ed\}\; \backslash \; r\; équivalent\; \backslash \; pmod\; \{N\}$ et ainsi $de$

s \ s équivalents * r^ {- 1} \ équivalent (r^ de m')^d {- 1} \ r^ équivalent de r^ de m^d {ed} {- 1} \ r^ équivalent de m^d r {- 1} \ m^d équivalent \ pmod {N},

par conséquent le s est en effet la signature du m .

Dangers de la signature sans visibilité

Le RSA est sujet à l'attaque sans visibilité de la RSA de par laquelle il est possible d'être dupé dans déchiffrer un message par des abat-jour signant un autre message. Puisque le processus de signature est équivalent au chiffrage avec votre clef secrète un attaquant peut fournir une version blinded d'un message $m$ a chiffré avec votre clef publique, $m\text{'}$ pour que vous signiez. Quand ils unblind la version signée ils auront le texte clair :

$\backslash \; commencer\; \{aligner\}\; de\; m\; et\; =\; \backslash \; de\; r^e\; \backslash \; pmod\; n\; de\; m\; \backslash \; et\; =\; (m^e\; \backslash \; pmod\; n\; *\; \backslash \; de\; r^e)\; \backslash \; pmod\; n\; \backslash \; et\; =\; \backslash \; de\; ^e\; \backslash \; pmod\; n\; (de\; M.)\; \backslash \; \backslash \; extrémité\; \{aligner\}$

là où le $m\text{'}$ est la version chiffrée du message. Quand le message est signé, le texte en clair $m$ est facilement extrait :

$\backslash \; commencer\; \{aligner\}\; s\; et\; =\; \backslash \; de\; ^d\; \backslash \; pmod\; n\; de\; m\; \backslash \; et\; =\; (^e\; (de\; M.)\; \backslash \; n)^d\; de\; pmod\; \backslash \; \backslash \; de\; pmod\; n\; \backslash \; et\; =\; \backslash \; de\; ^\; \{ed\}\; \backslash \; pmod\; n\; (de\; M.)\; \backslash \; et\; =\; m\; *\; r^\; \{-\; 1\}\; \backslash \; \backslash \; du\; pmod\; n\; \backslash \; \backslash \; extrémité\; \{aligner\}$

Puisque la plupart des algorithmes de signature ne signent pas le de $m\; de\; message\; entier,\; mais\; signent\; à\; la\; place\; seulement\; le\; gâchis\; du\; document,\; cette\; attaque\; est\; peu\; susceptible\; d\text{'}être\; directement\; exploitable.$

Random links:

Composition de démon | Sisqó | Georges Lacombe (peintre) | Recherche du Texas AgriLife | Delta Cancri | Firma_oculta

© 2007-2009 encyclopediefrancaise.com; le texte de cet article est distribué sous les termes de GFDL; en.wikipedia.org