Assinatura do grupo

A assinatura de grupo é uma primitiva criptográfica análoga à assinatura digital , na medida em que visa permitir que um usuário assine uma mensagem em nome de um grupo , enquanto permanece anônimo dentro desse grupo. Ou seja, uma pessoa que vê a assinatura pode verificar com a chave pública se a mensagem foi realmente enviada por um membro do grupo, mas não pode saber qual. Ao mesmo tempo, os usuários não podem abusar desse anonimato, pois uma autoridade pode suspender o anonimato de usuários (mal-intencionados) usando informações secretas.

Para ilustrar o conceito, podemos considerar um espaço de comentários anônimos, onde os usuários (com uma chave privada) podem postar mensagens. A presença de uma assinatura verificável nas mensagens permite verificar se as mensagens foram efetivamente postadas por uma pessoa autorizada para o fazer. O anonimato permite a sua parte garantir a proteção da privacidade dos usuários.
Por outro lado, em caso de abuso , se alguém postar uma mensagem não regulamentada, por exemplo, um administrador com informações secretasé capaz de suspender o anonimato do usuário que postou a mensagem fraudulenta e pode tomar as medidas necessárias (como revogar o usuário).

Uma vantagem das assinaturas de grupo em relação ao uso de assinaturas digitais tradicionais é que há apenas uma chave pública para armazenar para todo o grupo, em vez de ter que conhecer todas as chaves. Públicos diferentes que podem levar a um ataque de intermediário .

Histórico

A assinatura em grupo foi introduzida em 1991 por Chaum e van Heyst, onde os conceitos de anonimato e rastreabilidade foram definidos para descrever a segurança do protocolo. A partir desse momento, diversos protocolos foram introduzidos, agregando a este modelo noções como não falseabilidade semelhante à da assinatura digital, mas também noções mais específicas como denúncia .

Não foi até Bellare, Micciancio e Warinschi para chegar a um modelo formal mais refinado que é usado hoje como o modelo formal para trabalhar para a assinatura do grupo. Os conceitos de segurança foram resumidos em dois conceitos além da correção  : rastreabilidade total e anonimato total.

Definição

Uma assinatura de grupo é um conjunto de quatro algoritmos eficientes  : inicialização, assinatura, verificação e abertura, descritos a seguir.

• A inicialização toma como entrada um parâmetro de segurança λ e o tamanho do grupo N e retorna uma chave pública para o grupo gpk , um vetor de chaves secretas gsk onde corresponde a chave privada do usuário d e uma chave de abertura ok .gsk[d]{\ displaystyle {\ mathsf {gsk}} [d]}
• A assinatura , que toma como entrada uma chave secreta , uma mensagem m e retorna uma assinatura σ .gsk[d]{\ displaystyle {\ mathsf {gsk}} [d]}
• A verificação , que toma como entrada a chave pública do grupo gpk , uma mensagem m e uma assinatura σ e que retorna um boolean.
• A abertura , que toma como entrada a chave de abertura privada ok , uma mensagem m e uma assinatura σ e que retorna uma identidade d ou uma mensagem de erro "⊥".

A correção de uma assinatura de grupo reflete o fato de que a verificação de uma mensagem assinada pelas partes transformando honestamente os diferentes algoritmos retornará verdadeiro  :

∀m,(gpk,gsk)←eunãoeut(λ,NÃO):Vereuf(gpk,m,Seugnão(gsk[d],m))=Vrnoeu{\ displaystyle \ forall m, (gpk, gsk) \ gets Init (\ lambda, N): {\ mathsf {Verif}} \ left (gpk, m, {\ mathsf {Sign}} ({\ mathsf {gsk} } [d], m) \ right) = {\ mathsf {True}}}

segurança

Conforme especificado no histórico, a segurança de um esquema de assinatura de grupo pode ser resumida em dois conceitos: anonimato total e rastreabilidade total.

Anonimato

O anonimato reflete o fato de que, se você não tiver a tecla ok para abrir , será muito difícil suspender o anonimato dos usuários.

Em outras palavras, dadas duas identidades e uma mensagem m . Por ter acesso às chaves privadas dos usuários, à chave pública do grupo, e por ter acesso a um oráculo de descriptografia, é impossível distinguir em tempo polinomial com uma probabilidade não desprezível de . d0≠d1{\ displaystyle d_ {0} \ neq d_ {1}}Seugnão(m,d0){\ displaystyle {\ mathsf {Sign}} (m, d_ {0})}Seugnão(m,d1){\ displaystyle {\ mathsf {Sign}} (m, d_ {1})}

Rastreabilidade

Quanto à rastreabilidade, ela reflete a segurança do sistema perante usuários desonestos. Em outras palavras, reflete o fato de que um usuário não será capaz de “  falsificar  (in)  ” uma assinatura válida σ que abrirá para um usuário honesto ou resultará em uma falha.

Extensões

A assinatura do grupo tem diferentes variações e extensões. Podemos notar, por exemplo, a adição de funcionalidades como a revogação , ou mesmo a abertura dependente de mensagens , que visa limitar o poder da autoridade abertura adicionando outra autoridade capaz de fornecer um sinal , que juntamente com o ok chave de abertura é usado para remover o anonimato das assinaturas nas mensagens direcionadas pelo token.

Construção genérica

Para apoiar seu modelo, Bellare, Micciancio e Warinschi propuseram uma construção genérica baseada em primitivas de nível inferior. Eles provaram, assim, que com um esquema de criptografia IND-CCA , uma assinatura digital não falsificável sob ataques de mensagens selecionadas e uma prova de divulgação zero de conhecimento permitindo a prova de posse de um par de assinatura de mensagem, é possível construir uma assinatura de grupo esquema. Esta construção é a seguinte:

• Inicialização (1 λ , N ):
  • Gera os pares de chaves (sk E , pk E ), (sk S , vk S ) para a criptografia e a assinatura respectivamente, escolhidos como seguros para o parâmetro de segurança λ.
  • Para cada usuário , calcule uma assinatura para essa identidade e torne-a a chave secreta do usuário d  :d∈[[0;NÃO-1]]{\ displaystyle d \ in [\! [0; N-1] \!]}gsk[d]←Seugnãoer(skS,d){\ displaystyle gsk [d] \ gets \ mathbf {Signer} ({\ mathsf {sk}} _ {S}, d)}
  • Finalmente envie de volta e .gpk=(pkE,pkS,1λ){\ displaystyle gpk = ({\ mathsf {pk}} _ {E}, {\ mathsf {pk}} _ {S}, 1 ^ {\ lambda})}ok=skE{\ displaystyle ok = {\ mathsf {sk}} _ {E}}
• Assinatura ( gpk , gsk [d] , d , M ):
  • O usuário começa por criptografar a identidade de : .VS←VSheuffrer(skE,d){\ displaystyle C \ gets \ mathbf {Encrypt} ({\ mathsf {sk}} _ {E}, d)}
  • O usuário então prova a posse de um par mensagem-assinatura, para a mensagem sob a cifra C , que fornece a prova π . A mensagem está incluída na prova.
  • A assinatura é assim .σ=(VS,π){\ displaystyle \ sigma = (C, \ pi)}
• Verificação ( gpk , M , σ):
  • Para verificar a assinatura, o usuário começa lendo σ como sendo ( C , π).
  • A assinatura é aceita se e somente se a prova for verificada.
• Abrindo ( gpk , ok , M , σ ):
  • Se a verificação não for aprovada, o algoritmo retornará o símbolo de erro ⊥.
  • Caso contrário, o algoritmo descriptografa C para obter d ' e verifica se d' está realmente dentro . Caso contrário, o algoritmo retorna um símbolo de erro. Caso contrário, ele retorna de .[[0,NÃO-1]]{\ displaystyle [\! [0, N-1] \!]}

segurança

O anonimato é garantido pelo fato de que a criptografia da identidade C é criptografada por um padrão indistinguível sob ataques de criptografia escolhidos.

Quanto à rastreabilidade, ela vem da robustez ( solidez ) da prova de conhecimento zero.

Notas e referências

Referências

1. Chaum e van Heyst 1991 .
2. Ateniese e Tsudik 1999 .
3. Bellare, Micciancio e Warinschi 2003 .
4. Boneh e Shacham 2004 .
5. Sakai et al. 2012 .

Apêndices

Bibliografia

• [Ateniese et al. 2000] (en) Guiseppe Ateniese e Gene Tsudik, “  Algumas questões em aberto e novas direções em assinaturas de grupo  ” , LNCS , vol.  1648,1999, p.  196-211 ( leia online [ps] ).
• [Bellare, Micciancio and Warinschi 2003] (en) Mihir Bellare , Daniele Micciancio e Bogdan Warinschi , "  Foundations of Group Signatures  : Formal Definition, Simplified Requirements and a Construction Based on General Assumptions  " , Eurocrypt 2003 , Lecture Notes in Computer Science , vol .  2656,2003, p.  614-629 ( leia online [PDF] ) ;
• [Boneh and Shacham 2004] (en) Dan Boneh e Hovay Shacham, “  Group signatures with verifier-local revocation  ” , CCS , ACM,2004, p.  168-177 ( DOI  10.1145 / 1030083.1030106 , leia online )
• [Chaum e van Heyst 1991] ( fr ) David Chaum e Eugène van Heyst, “  Group Signatures  ” , Eurocrypt , vol.  547,1991, p.  257–265 ( leia online ) ;
• [Sakai et al. 2012] (en) Yusuke Sakai, Keita Emura, Goichiro Hanaoka, Yutaka Kawai, Takahiro Matsuda e Kazumasa Omote, "  Group Signatures with Message-Dependent Opening  " , Pairing , lNCS,2012, p.  270-294 ( DOI  10.1007 / 978-3-642-36334-4_18 , leia online )

Artigos relacionados

• Assinatura digital
• Assinatura do círculo
• Assinatura cega

<img src="https://fr.wikipedia.org/wiki/Special:CentralAutoLogin/start?type=1x1" alt="" title="" width="1" height="1" style="border: none; position: absolute;">