Схема подписи с верификацией по запросу
В работах Д. Шаума (см., например, [Ка5,Ка14]) впервые была предложена схема подписи с верификацией по запросу, в которой абонент V
не может осуществить верификацию подписи без участия абонента S. Такие схемы могут эффективно использоваться в том случае, когда фирма - изготовитель поставляет потребителю некоторый информационный продукт (например, программное обеспечение) с проставленной на нем подписью указанного вида [КУ10]. Однако проверить эту подпись, которая гарантирует подлинность программы или отсутствие ее модификаций, можно только уплатив за нее. После факта оплаты фирма - изготовитель дает разрешение на верификацию корректности полученных программ.
Схема состоит из трех этапов (протоколов), к которым относятся непосредственно этап генерации подписи, этап верификации подписи с обязательным участием подписывающего (протокол верификации) и этап оспаривания, если подпись или целостность подписанных сообщений подверглась сомнению (отвергающий протокол).
Схема ПВЗ
Пусть каждый пользователь S
имеет один открытый ключ P и два секретных ключа S1 и S2. Ключ S1 всегда остается в секрете, - он необходим для генерации подписи. Ключ S2
может быть открыт для того, чтобы конвертировать схему подписи с верификацией по запросу в обычную схему электронной цифровой подписи.
Вместе с обозначениями секретного и открытого ключей xÎRZq и yÎRZ*p (взятых из отечественного стандарта на электронную цифровую подпись) введем также обозначения S1=x и S2=u, uÎRZq, а также открытый ключ P=(g,y,w), где wºgu(mod p). Открытый ключ P публикуется в открытом сертифицированном справочнике.
Протокол ГП
Подпись кода m вычисляется следующим образом. Выбирается kÎRZq и вычисляется
. Затем вычисляется sº[xr+mku](mod q). Пара (r,s) является подписью для кода m. Подпись считается корректной тогда и только тогда, когда , где wºm-1(mod q).Проверка подписи (с участием подписывающего) осуществляется посредством следующего интерактивного протокола.
Протокол верификации ПВ
Абонент V вычисляет и просит абонента S доказать, что пара (r,s) есть его подпись под кодом m. Эта задача эквивалентна доказательству того, что дискретный логарифм g по основанию r равен (по модулю p) дискретному логарифму w по основанию g, то есть, что logg(p)wºlogr(p)g. Для этого:
Абонент V
выбирает a,bÎRZq, вычисляет и посылает d абоненту S.
Абонент S выбирает tÎRZq, вычисляет , и посылает h1 и h2 абоненту V.
Абонент V высылает параметры a и b.
Если , то абонент S
посылает V параметр t; в противном случае - останавливается.
Абонент V проверяет выполнение равенств и .
Если проверка завершена успешно, то подпись принимается как корректная.
Протокол ОП
В отвергающем протоколе S доказывает, что logg(p)w¹logr(p)g. Следующие шаги выполняются в цикле l раз.
Абонент V
выбирает d,eÎRZq, d¹1, bÎR{0,1}. Вычисляет , , если b=0 и , , если b=1. Посылает S значения a, b, d.
Абонент S
проверяет соотношение . Если оно выполняется, то a=0, в противном случае a=1. Выбирает RÎRZq, вычисляет и посылает V
значение c.
Абонент V
посылает абоненту S значение e.
Абонент S проверяет, что выполняются соотношения из следующих двух их пар: , и , . Если да, то посылает V значение R. Иначе останавливается.
Абонент V
проверяет, что .
Если во всех l циклах проверка в п.5 выполнена успешно, то абонент V принимает доказательства.
Таблица 13.1. Протокол верификации является интерактивным протоколом доказательств с абсолютно нулевым разглашением.
Доказательство.
Требуется доказать, что вышеприведенный протокол удовлетворяет трем свойствам: полноты, корректности и нулевого разглашения [Ка5, Ка14].
Полнота означает, что если оба участника (V
и S) следуют протоколу и (r,s) - корректная подпись для сообщения m, то V примет доказательство с вероятностью близкой к 1. Из описания протокола верификации очевидно, что абонент S всегда может надлежащим образом ответить на запросы абонента V, то есть доказательство будет принято с вероятностью 1.
Корректность означает, что если V действует согласно протоколу, то какие действия не предпринимал бы S, он может обмануть V лишь с пренебрежимо малой вероятностью. Здесь под обманом понимается попытка S
доказать, что logg(p)wºlogr(p)g, когда на самом деле эти логарифмы не равны.
Предположим, что logg(p)w¹logr(p)g. Ясно, что для каждого a существует единственное значение b, то которое дает данный запрос d. Поэтому d не содержит в себе никакой информации об a. Если S смог бы найти h1, h2, t1
и t2 такие, что
и
,
где a1¹a2, то тогда выполнялось бы соотношение
logg(p)rº[(a1-a2)-1((b2-b1)+(t2-t1))](mod q)ºlogw(p)g.
Отсюда, очевидно, следует, что logg(p)wºlogr(p)g. В самом деле, пусть logw(p)gºlogg(p)r ºl. Тогда
,
что противоречит предположению. Следовательно, какие бы h1, h2, t1 и t2
не выбрал S, проверка, которую проводит V, может быть выполнена только для одного значения a. Отсюда вероятность обмана не превосходит 1/q. Отметим, что протокол верификации является безусловно стойким для абонента V, то есть доказательство корректности не зависит ни от каких предположений о вычислительной мощности доказывающего (S).
Свойство нулевого разглашения означает, что в результате выполнения протокола абонент V не получает никакой полезной для себя информации (например, о секретных ключах, используемых S).
Для доказательства нулевого разглашения необходимо для любого возможного проверяющего V* построить моделирующую машину , которая является вероятностной машиной Тьюринга, работает за полиномиальное в среднем время и создает на выходе (без участия S) такое же распределение случайных величин, которое возникает у V* в результате выполнения протокола. В нашем случае, случайные величины, которые «видит» V*, - это h1, h2, и t. Необходимо доказать, что протокол верификации является доказательством с абсолютно нулевым разглашением, то есть моделирующая машина создает распределение случайных величин (h1,h2,t), которое в точности совпадает с их распределением, возникающим при выполнении протокола. Моделирующая машина использует в своей работе V* в качестве «черного ящика».
Моделирующая машина
Запоминает состояние машины V*, то есть содержимое всех ее лент, внутреннее состояние и позиции головок на лентах. Затем получает от V*
значение d
и после этого снова запоминает состояние машины V*.
Выбирает hÎRZq и вычисляет и .
Получает от V* значения a и b. Если , то останавливается.
Машина «отматывает» V*
на состояние, которое было запомнено в конце шага 1. Выбирает tÎRZq
и вычисляет и .
Машина передает V*
h1, h2 и получает ответ (a¢,b¢). Возможны два варианта:
5.1. a=a¢, b=b¢. В этом случае моделирование закончено и записывает на выходную ленту тройку (h1,h2,t) и останавливается.
5.2. a¹a¢ или b¹b¢. Отсюда следует, что . Предположим, что b¹b¢. Из этого следует, что a¹a¢. Следовательно, может вычислить . Отсюда (b¢-b)/(a-a¢)=l - дискретный логарифм r по основанию g.
6. Машина «отматывает» V*
на состояние, которое было заполнено в начале шага 1. Получает от V* значение d.
7. Выбирает hÎRZq вычисляет и и передает их V*.
8. Получает от V* значения a и b. Если , то останавливается.
В противном случае вычисляет
t=[h-al-b](mod q), выдает (h1,h2,t) на выходную ленту и останавливается.
К пп. 7 и 8 необходимо сделать следующее пояснение. Поскольку logg(p)wºlogr(p)g, из этого следует, что logw(p)gºlogg(p)r. Отсюда
.
Из описания моделирующей машины очевидно, что она работает за полиномиальное время. Величины (h1,h2,t) на шаге 5.1 выбираются в точности как в протоколе и поэтому имеют такое же распределение вероятностей. Кроме того, значения (h1,h2), выбираемые на шаге 7, имеют такое же распределение, как и в протоколе. Чтобы показать что и t имеет одинаковое распределение, достаточно заметить, что машина V*
не может по h1 и h2 определить, с кем она имеет дело - с S или . Поэтому, даже если бы V* могла каким-либо «хитрым» образом строить a и b с учетом (h1,h2), распределение вероятностей величин a
и b в обоих случаях одинаковы. Но значение t определяется однозначно четверкой величин a, b, h1, h2, при условии выполнения проверки на шаге 5 протокола. n
Таблица 13.2. Отвергающий протокол является протоколом доказательства с абсолютно нулевым разглашением.
Доказательство.
Полнота протокола очевидна. Если абоненты S
и V следуют протоколу, тогда абонент V всегда примет доказательства абонента S.
Для доказательства корректности прежде всего заметим, что если logg(p)wºlogr(p)g, то a и b, выбираемые абонентом V
на шаге 1, не несут в себе никакой информации о значении b. Поэтому, если S может “открыть” c, сгенерированное им на шаге 2, лишь единственным образом (то есть выдать на шаге 4 единственное значение R, соответствующее данному a), то проверка на шаге 5 будет выполнена с вероятностью 1/2 в одном цикле и с вероятностью 1/2l во всех l циклах.
Если же S может сгенерировать c таким образом, что с вероятностью, которая не является пренебрежимо малой, он может на шаге 4 “открыть” оба значения a, то есть найти R1 и R2 такие, что и , то алгоритм, который использует S для этой цели, можно использовать для вычисления дискретных логарифмов: loggd=R2-R1.
Так как при случайном выборе значения d логарифм loggd может быть вычислен с вероятностью, которая не является пренебрежимо малой, это противоречит гипотезе о трудности вычисления дискретных логарифмов.
Далее доказывается, что отвергающий протокол является доказательством с абсолютно нулевым разглашением. Для этого необходимо для всякого возможного проверяющего V*
построить моделирующую машину , которая создает на выходе (без участия S) такое же распределение случайных величин (в данном случае, c и R), какое возникает у V* в результате выполнения протокола.
Моделирующая машина
Следующие шаги выполняются в цикле l раз.
Машина запоминает состояние машины V*.
Получает от V*
значения a, b и d.
Выбирает aÎR{0,1}, RÎRZq и вычисляет . Посылает V* значение c.
Получает от V*
значение e.
Проверяет, было ли «угадано» на шаге 2 значение a (это значение было «угадано», если , и a=0, либо , и a=1). Если да, то записывает на входную ленту значение (c,R). В противном случае «отматывает» V* на то состояние, которое было запомнено на шаге 1, и переходит на шаг 2.
Легко видеть, что распределения случайных величин (c,R), возникающее в процессе выполнения протокола и создаваемые моделирующей машиной , одинаковы, поскольку R в обоих случаях - чисто случайная величина, а величина c
записывается на выходную ленту машины только тогда, когда a совпало с b.
Поскольку значение a выбирается машиной на шаге 3 случайным образом, а c не дает V*
никакой информации о значении a, на каждой итерации a
будет угадано с вероятностью 1/2. Отсюда следует, что машина работает за полиномиальное в среднем время. n
В работе [Ка14] показано, как строить схемы конвертируемой и селективно конвертируемой подписи с верификацией по запросу на основе отечественного стандарта ГОСТ Р 34.10-94. В таких схемах открытие определенного секретного параметра некоторой схемы подписи с верификацией по запросу позволяет трансформировать последнюю в обычную схему цифровой подписи.При этом открытие секретного параметра в конвертируемой схеме подписи с верификацией по запросу дает возможность верифицировать все имеющиеся и сгенерированные в дальнейшем подписи, в то время как в селективно конвертируемых схемах подписи с верификацией по запросу можно верифицировать лишь какую-либо одну подпись.