Научная статья на тему 'Доказуемо безопасная динамическая схема групповой подписи'

Доказуемо безопасная динамическая схема групповой подписи Текст научной статьи по специальности «Математика»

CC BY
193
45
i Надоели баннеры? Вы всегда можете отключить рекламу.

Аннотация научной статьи по математике, автор научной работы — Артамонов Александр Витальевич, Васильев Павел Николаевич, Маховенко Елена Борисовна

The article describes the modification of basic group signature scheme BBS for the purpose of its application for distributed systems with variable structure. The mechanism of classification and comparison for group signatures is proposed. The BBS scheme is improved according to the requirements of application area. Security of new group signature scheme is proved.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Provable secure dynamic group signature scheme

The article describes the modification of basic group signature scheme BBS for the purpose of its application for distributed systems with variable structure. The mechanism of classification and comparison for group signatures is proposed. The BBS scheme is improved according to the requirements of application area. Security of new group signature scheme is proved.

Текст научной работы на тему «Доказуемо безопасная динамическая схема групповой подписи»

чтобы неавторизованные множества новой схемы включали в себя неавторизованные множества прежней схемы.

В этой связи, а также в связи с криптоанализом инволюционных шифров [2, 3] представляет интерес следующий тест идентифицируемости произвольной инволюции.

Теорема 2. Инволюция д Е V идентифицируется на В, если и только если для любых х и у в Ап, х = у, выполняется д(х)[В] = д(у)[В].

Доказательство. Необходимость. Пусть инволюция д идентифицируется на В. Предположим, что в Ла найдутся такие х и у, что х = у и д(х)[В] = д(у)[В]. Построим инволюцию £ Е V, £ = д, такую, что д(х) = ¿(у) и д(у) = £(х), а на остальных элементах в Ла инволюции £ и д совпадают. Тогда £(у)[В] = д(х)[В] = д(у)[В] = ¿(х)[В]. Имеем ¿[В] = д[В] и £ = д, что противоречит идентифицируемости д на В.

Достаточность. Пусть для любых х и у в Ап, где х = у, выполняется д(х)[В] = = д(у)[В]. Предположим, что инволюция д не идентифицируется на В. Тогда в Q найдется инволюция £, что £ = д и д[В] = ¿[В]. Если же £ = д, то в найдутся такие х и у, что х = у, д(х) = £(у) и д(у) = £(х). Следовательно, д(х)[В] = £(х)[В] = д(у)[В] = = £(у)[В], что противоречит условию. ■

ЛИТЕРАТУРА

1. Андреева Л. Н. Инволюционные схемы разделения секрета // Вестник Томского госуни-верситета. Приложение. 2007. №23. С. 99.

2. Андреева Л. Н. К криптоанализу шифров инволюциционной подстановки // Вестник Томского госуниверситета. Приложение. 2005. №14. С. 43-44.

3. Андреева Л. Н. К криптоанализу инволютивных шифров с частично известными инволюциями // Вестник Томского госуниверситета. Приложение. 2006. №17. С. 109-112.

УДК 004.056.55

ДОКАЗУЕМО БЕЗОПАСНАЯ ДИНАМИЧЕСКАЯ СХЕМА ГРУППОВОЙ ПОДПИСИ

А. В. Артамонов, П. Н. Васильев, Е. Б. Маховенко

В ряде прикладных задач для защиты сообщений от фальсификации требуется выполнение следующих условий:

— возможности создания электронной цифровой подписи одним лицом от имени группы лиц;

— невозможности идентификации автора такой подписи проверяющей стороной;

— возможности раскрытия автора подписи уполномоченным лицом.

Этим условиям удовлетворяют схемы групповой подписи. В зависимости от решаемой прикладной задачи к ним могут быть предъявлены дополнительные требования:

— возможность добавления новых членов в группу без необходимости изменения открытого ключа группы;

— возможность отзыва права подписи у определенных членов группы.

Анализ современных схем групповой подписи позволил выделить признаки, по которым такие схемы можно классифицировать и сравнивать, а на их основе построить обобщенную классификационную схему схем групповой подписи [1]. По совокупности этих признаков, в частности свойств безопасности, обеспечиваемых схемой, эффективности процедур формирования, проверки и раскрытия подписи, ее длины, а также

набору криптографических предположений следует выделить схему BBS [2]. Ее безопасность основана на предоставлении в подписи знания решения задачи SDH (Strong Diffie — Hellman): пары (A,x) Е G1 х Zp, такой, что Ax+7 = g1; где (g1) = G1 —циклическая группа простого порядка р; y Е Zp — секретный ключ выпускающего менеджера группы. Схема BBS является наиболее гибкой и расширяемой. Но ни она, ни более поздние и совершенные ее модификации BS VLR [2] и XSGS [3] не обладают полнотой сразу по всем характеристикам: функциональности, безопасности, эффективности.

Предлагается динамическая доказуемо безопасная схема групповой подписи, построенная на основе схемы BBS, с возможностью отзыва права подписи у заданного члена группы с определенного момента времени. Чтобы обеспечить возможность интерактивного добавления в группу новых членов, в схему внедрен протокол Join, по аналогии с XSGS [3]. Для этого потребовалось изменить состав ключей членов группы: ключом является тройка (A,x,y) Е G1 х Zp, где Ax+7 = g1hy, h Е G1 —элемент

открытого ключа группы, и соответствующим образом адаптировать алгоритмы формирования и проверки подписи. Предложена спецификация и самого протокола Join.

Для обеспечения полной анонимности [4] в схеме BBS CPA-стойкая схема линейного шифрования заменена модифицированной ССА2-стойкой линейной схемой Крамера — Шоупа [5]. Это позволило доказать безопасность предложенной схемы по требованиям динамической модели BSZ [4]. Согласно этим требованиям, возможности нарушителя моделируются предоставлением ему доступа к различным оракулам. При доказательстве свойств предполагается, что:

— с помощью атакующего, который умеет с ненулевой вероятностью нарушать некоторое свойство безопасности, строится новый алгоритм, решающий сложную по предположению задачу. Из этого следует, что такого атакующего не может быть;

— имеется возможность откатить алгоритм атакующего на некоторый шаг и сформировать для него новое окружение, например изменить ответ случайного оракула.

В схеме BBS применим механизм отзыва права подписи, основанный на динамических аккумуляторах [2]. Его недостаток в том, что ранее сгенерированные подписи после отзыва перестают быть корректными. Неясно также, как вынудить всех субъектов одновременно обновить локальные копии ключей, а выпускающего менеджера — всю базу данных членов группы, без которой раскрывающий менеджер не сможет раскрыть новые подписи. Все описанные проблемы носят временной характер.

Предлагается решать эти проблемы путем введения в схему доверенного субъекта, который выполняет различные проверки, ограничивающие возможности других субъектов, а следовательно, и потенциальных нарушителей, и заверяет обычной подписью временные метки первого ключа группы, известной части каждого членского сертификата и каждой групповой подписи. Таким образом, процесс формирования подписи стал интерактивным, так как теперь в нем принимает участие удостоверяющий центр. В этом случае проверяющий может использовать для проверки актуальный на момент создания подписи открытый ключ группы. Также новый субъект отвечает за синхронизацию всех остальных субъектов при проведении отзыва и не позволяет оставить базы данных группы в рассогласованном состоянии.

Предложенная система эффективно применима, если количество отзываемых пользователей незначительно, так как в этом случае все операции, требующие значительного времени на их выполнение, являются достаточно редкими. При этом количество отозванных пользователей никак не сказывается на сложности выполнения основных операций: формировании, проверке, раскрытии подписи и проверке правильности ее

раскрытия. Трудоемкость механизма отзыва инкапсулируется внутри группы и не делегируется третьей стороне по отношению к группе, а следовательно, и к организации.

ЛИТЕРАТУРА

1. Васильев П. Н., Артамонов А. В., Маховенко Е. Б. Классификационная схема групповых подписей для построения распределенных приложений // Научно-технические ведомости СПбГПУ. СПб.: Изд-во Политехнического университета, 2010. С. 71-77.

2. Shacham H. New paradigms in signature schemes // http://hovav.net/dist/thesis.pdf,

2005.

3. Delerablee C. and Pointcheval D. Dynamic fully anonymous short group signatures // LNCS.

2006. V. 4341. P. 193-210.

4. Bellare M., Shi H., and Zang C. Foundations of group signatures: the case of dynamic groups // LNCS. 2005. V. 3376. P. 136-153.

5. Shacham H. A Cramer —Shoup encryption scheme from the linear assumption and from progressively weaker linear variants // http://eprint.iacr.org/2007/074.pdf.

УДК 519.7

АЛГЕБРАИЧЕСКИЙ КРИПТОАНАЛИЗ ОДНОРАУНДОВОГО S-AES1

Р. И. Воронин

Advanced Encryption Standard (AES) — симметричный алгоритм блочного шифрования, принятый в США в качестве стандарта шифрования. AES проектировался как алгоритм, который может эффективно противостоять различным методам криптоанализа. Но в 2002 г. Николя Куртуа и Йозеф Пипджик высказали предположение о возможности алгебраической атаки на шифры с подобной AES структурой [1]. Алгебраическая атака нацелена на анализ уязвимости в математических частях алгоритма и использование его внутренних алгебраических структур. Однако об эффективности такой атаки мало что известно.

В работе исследуется применимость алгебраической атаки к упрощенному варианту S-AES, разработанному в [2]. Длина шифруемого блока и ключа равна 16 битам. Число раундов шифрования равно двум. Для анализа используются соотношения, подобные тем, которые получены в [1] для AES. Точнее, для S-блоков шифра выполнено

Vx = 0 1 = x * y,

Vx x = y * x2,

z = Ay ф b,

где x, z — входной и выходной векторы S-блока длины 4; y — обратный вектор к x в поле GF(24) с порождающим многочленом А4 + А + 1; A — некоторая фиксированная матрица и b — фиксированный вектор. С помощью данных уравнений строится система относительно битов открытого текста р, шифртекста c и ключа шифрования k, полностью описывающая процесс шифрования однораундового S-AES:

15 15 15 15 15 15

aijmpicj ф aijmpikj ф aijmkicj ф aijmkikj ф fîimPi ф Atmki ф Tm — °

i,j=0 i,j=0 i,j=0 i,j=0 i=0 i=0

где m = 0,... , 31; aijm,eim, Ym € {0,1} определяются только структурой шифра и не зависят от выбранных значений р, c, k.

1 Исследование выполнено при поддержке РФФИ (проект №11-01-00997).

i Надоели баннеры? Вы всегда можете отключить рекламу.