CC BY
37
УДК 003.26:004.057.4 Неласа Г В.1, Дозоренко І. С.2
1 Доцент Запорізького національного технічного університету 2Магістрант Запорізького національного технічного університету
ОГЛЯД ТА ПОРІВНЯННЯ СХЕМ ЦИФРОВИХ МУЛЬТИПІДПИСІВ
Розглянуто декілька відомих схем цифрових мультипідписів із груповою перевіркою чинності, які використовують лише одну замість кількох перевірок, та недоліки цих схем. Властивості схем порівняно за кількома критеріями.
Ключові слова: цифровий підпис, мультипідпис, групова перевірка, ЯБЛ, ББЛ.
ВСТУП
Цифровий підпис - це назва схожого на традиційний підпис методу, що використовується в криптографії. При використанні традиційного підпису людина пише своє власне ім’я на папері. Ніхто не може підробити інший підпис, тому що важко імітувати чужий почерк. Для впровадження цифрового підпису використовують криптосистеми з відкритим ключем. Кожний підпис має пару ключів: секретний ключ і відкритий ключ. Секретний ключ зберігається у таємниці, у той час як відкритий ключ оприлюднений. Відправник може підписати електронний документ за допомогою цифрового підпису з використанням свого секретного ключа, а одержувач може перевірити цифровий підпис з використанням відкритого ключа відправника. Ніхто не може підробити чужий цифровий підпис, тому що закритий ключ зберігається у таємниці.
Існує багато модифікацій стандартної схеми цифрового підпису, одна з яких, мультипідпис, дозволяє зменшити час верифікації для багатьох підписів. Метою даної роботи є огляд схем цифрових муль-типідписів із груповою перевіркою чинності та порівняння їх властивостей.
1. ПОСТАНОВКА ЗАДАЧІ
Традиційно, якщо Аліса хоче відправити повідомлення т, де т р, Бобу, т повинні бути розділені на ґ копій т1, т2, ..., т. Тоді Аліса підписує ці повідомлення ґ разів для створення кількох цифрових підписів і відсилає ці повідомлення із цифровими підписами до Боба. Після отримання Боб повинен ґ разів провести перевірку чинності цих цифрових підписів. Як можна бачити, це потребує багатьох обчислень ступеня за модулем. У випадку використання хеш-функції довжина повідомлення не має значення, але перевірка може займати багато часу че-
© Неласа Г. В., Дозоренко І. С., 2011
рез велику кількість повідомлень, що були відправлені.
Для вирішення цієї проблеми Naccache та ін. у 1994 році запропонували схему цифрового муль-типідпису із груповою перевіркою [1]. Верифікатор може перевірити цей цифровий мультипідпис за допомогою відкритого ключа, при цьому потрібна тільки одна замість кількох перевірок. Однак, Lim і Lee зазначили [2], що в цій схемі цифровий мультипідпис може бути легко підроблений, для того щоб пройти групову перевірку чинності. У 1998 році Ham запропонував два методи групової перевірки чинності цифрового мультипідпису [3, 4]. Разом з тим, Hwang та ін. зазначили, що ці схеми також не є безпечними [5, 6]. Зловмисник може підробити цифровий мультипідпис для того, щоб пройти групову перевірку чинності. Тому вони запропонували два удосконалення [7]. У 2001 році Shao також запропонував поліпшення для схеми Ham’а [8].
Можна побачити, що якщо цифровий мультипідпис підроблений зловмисником, то має бути перевірений кожний з цифрових підписів. Це означає повернення до вихідної схеми цифрового підпису, яка потребує t перевірок. У 2002 році Changchien і Hwang запропонували алгоритм ефективного виявлення підроблених цифрових мультипідписів [9].
2. СХЕМА NACCACHE ТА ЇЇ НЕДОЛІКИ
Схема мультипідпису Naccache отримана за допомогою модифікації схеми DSA, в якій рівняння перевірки підпису має такий вигляд:
r = (gms-1yrs-1modp) modq, (1)
де r = gkmodp, s = k-1(m + xr)modq; m - повідомлення; y = gmodp - відкритий ключ особи, що підписує документ; x - секретний ключ особи, що підписує документ; p - велике просте число; q - великий простий дільник p - 1; g - елемент з Zp порядку q.
Для прискорення перевірки кількох цифрових підписів Naccache та ін. у 1994 році запропонували схему для групової перевірки цифрового мультипідпису. Верифікатор може перевіряти кілька цифрових підписів із використанням відкритого ключа відправника, якому потрібна тільки одна замість t перевірок. Схема виглядає таким чином:
1) Припустимо, що Аліса хоче відправити Бобу t повідомлень (m1, m2, ..., mt) та цифровий мультипідпис (r1, s1), (r2, s2), ..., (rt st). Цифровий мультипідпис був створений за алгоритмом цифрового підпису DSA.
2) Після отримання t повідомлень (m1, m2, ..., mt) та мультипідпису (r1, s1), (r2, s2), ..., (rt, st) Боб може перевірити чинність мультипідпису для повідомлень (m1, m2, ..., mt) з використанням відкритого ключа Аліси за допомогою рівняння
tt
-miSj^modq ris'[lmodq
П rimodp = g‘= і y‘= і modp. (2)
i=1
3) Якщо рівняння виконується, то Боб може стверджувати, що цифровий мультипідпис (r1, s1), (r2, s2), ..., (rt, st) був створений Алісою.
Очевидно, що Боб може зробити групову перевірку цифрового мультипідпису, для чого потрібне тільки одне рівняння (2). Таким чином, схема Nac-cache та ін. є більш доцільною для групової перевірки кількох цифрових підписів.
Однак Lim і Lee показали, що схема Naccache не є безпечною. Вона має вразливість, завдяки якій зловмисник може підробити цифровий мультипідпис так, щоб рівняння групової перевірки і.2 виконувалось. Нижче описано спосіб атаки.
1) Зловмисник вибирає довільні числа (ui, vi), i = і,
2, ..., t і обчислює ri = gUiyVimodp, i = і, 2, ..., t.
2) Обчислює s-1 modq, що задовольняє vb = rbs-1modq, b = 1, 2, ..., t.
3) Зловмисник може отримати st-1 та st з рівнянь:
tt
X Ui = Z mгS-lmodq,
i = 1 i = 1
і Vi = Z rs-1.
i = 1 i = 1
Звідси видно, що зловмисник може підробити t
повідомлень m1, m2, ..., mt та цифровий муль-
типідпис (r1, s1), (r2, s2), ..., (rt, st) для того, щоб рівняння групової перевірки (2) виконувалось. Однак жоден з цих підроблених підписів окремо не проходить перевірку в рівнянні (і).
З. СХЕМА ЦИФРОВОГО RSA
МУЛЬТИПІДПИСУ HARN^
ТА ЇЇ НЕДОЛІКИ
Схема мультипідпису заснована на алгоритмі RSA, в якій рівняння перевірки підпису має такий вигляд:
h (mi) = Semodn, (3)
де n = p x q; e x dmod(p - і)(q - і) = 1; p, q - великі прості числа.
Тепер припустимо, що Аліса бажає відправити Бобу t повідомлень (m1, m2, ..., mt) та цифровий мультипідпис S1, S2, ..., St. Цифровий мультипідпис був створений за алгоритмом RSA, поданим вище. Отже, Аліса відсилає Бобу (mi, Si), i = і, 2, ..., t.
Після отримання t повідомлень (m1, m2, ..., mt) та мультипідпису S1, S2, ..., St Боб може перевірити чинність мультипідпису для повідомлень (m1, m2, ..., mt) із використанням відкритого ключа Аліси e за допомогою рівняння
t Лe t
П Si| = П h (mi) modn. (4)
i =1 J i =1
Якщо рівняння виконується, то Боб може стверджувати, що цифровий мультипідпис S1, S2, ..., St належить Алісі. Очевидно, що Боб може зробити групову перевірку цифрового мультипідпису, для чого потрібне тільки одне рівняння (4). Таким чином, схема Ham’а є більш доцільною для групової перевірки кількох цифрових підписів.
Hwang та ін. запропонували дві атаки для схеми Шт’а. Вони довели, що особа, яка підписує документ, може підробити цифровий мультипідпис так, щоб рівняння групової перевірки (4) виконувалось. Після цього особа може заперечувати, що саме вона підписала ці документи, тобто не виконується умова про неможливість відмови від авторства. Нижче описані способи атаки.
Перший спосіб атаки. Аліса відсилає Бобу підроблені сукупності (mi, Si'), i = і, 2, ..., t, де Si' = h(mj(i})dmodn, i = і, 2, ..., t; J() - бієкція, для якої f(i) =j, i = і, 2, ..., t та j = і, 2, ..., t. Якщо після отримання підроблених сукупностей (mp Si') Боб перевірить чинність мультипідпису для повідомлень із використанням рівняння групової перевірки (4), то він може стверджувати, що цифровий мультипідпис SJ, S2, ., S't належить Алісі.
Другий спосіб атаки. Аліса відсилає Бобу підроблені сукупності (mi, S/), i = 1,2,., t, де Si' = = ai x Simodn , i = 1,2,., t та П -1 ai = і. Якщо
після отримання підроблених сукупностей (mi, Si') Боб перевірить чинність мультипідпису для повідомлень із використанням рівняння групової перевірки (4), то він може стверджувати, що цифровий мультипідпис S{, S2, ..., Sj належить Алісі.
Встановлено, що жоден з цих підроблених підписів окремо не проходить RSA перевірку з використанням рівняння (3). Таким чином, Аліса може заперечувати, що вона підписала документи. Схема не відповідає умові про неможливість відмови від авторства.
4. СХЕМА ЦИФРОВОГО DSA-TYPE
МУЛЬТИПІДПИСУ HARN^
ТА ЇЇ НЕДОЛІКИ
Схема мультипідпису заснована на алгоритмі DSA-type, що є подібним до алгоритму DSA. Рівняння верифікації має такий вигляд:
r = (gsr-1ymr 1modp) modq,
(5)
де r = (gmodp)mod q; s=rk-mx mod q; m - повідомлення; y = g modp - відкритий ключ особи, що підписує документ; x - секретний ключ особи, що підписує документ; p - велике просте число; q - великий простий дільникp - і; g - елемент з Zp порядку q.
Для прискорення перевірки кількох цифрових підписів Ham заропонував схему для групової перевірки цифрових підписів. Схема виглядає таким чином:
1) Припустимо, що Аліса хоче відправити Бобу t повідомлень (m1, m2, ..., mt) та цифровий мультипідпис (r1, s1), (r2, s2), ..., (rt, st). Цифровий мультипідпис був створений за алгоритмом цифрового підпису DSA-type.
2)Після отримання t повідомлень (m1, m2, ..., mt) та мультипідпису (r1, s1), (r2, s2), ..., (rt, st) Боб може перевірити чинність мультипідпису для повідомлень (m1, m2, ..., mt) із використанням відкритого ключа Аліси за допомогою рівняння
П ri =
i=1
,В-і 'rfy Б-і ’«‘modpl modq. (б)
3) Якщо рівняння виконується, то Боб може стверджувати, що цифровий мультипідпис (г1, 51), (г2, s2), ..., (гґ, st) був створений Алісою.
Очевидно, що Боб може зробити групову перевірку цифрового мультипідпису, для чого потрібне тільки одне рівняння (6). Таким чином, схема Нат’а є більш доцільною для групової перевірки кількох цифрових підписів.
Hwang та ін. показали, що схема Ham’а не є безпечною. Вона має вразливість, завдяки якій особа, що підписує документ, може підробити цифровий мультипідпис так, щоб рівняння групової перевірки (б) виконувалось. Після цього особа може заперечувати, що саме вона підписала ці документи, тобто не виконується умова про неможливість відмови від авторства. Нижче описано спосіб атаки.
1) Аліса відсилає Бобу підроблені сукупності (mi, ri, sj), i = і, 2, ..., t, де sj = si + airimodq, і ai -
ціле число, для якого І ai = 0.
i = 1 i
2) Якщо після отримання підроблених сукупностей (mp ri, st) Боб перевірить чинність мультипідпису для повідомлень із використанням рівняння групової перевірки (б), то він може стверджувати, що цифровий мультипідпис (r1, st), (r2, s2), (r2, st) був створений Алісою.
Встановлено, що жоден з цих підроблених підписів окремо не проходить DSA-type перевірку з використанням рівняння (5). Таким чином, Аліса може заперечувати, що вона підписала документи. Схема не відповідає умові про неможливість відмови від
авторства, тому що r ^(gSiri'ymiri'modp)modq, i =
= 1, 2, ., t.
5. СХЕМИ ЦИФРОВОГО
МУЛЬТИПІДПИСУ HWANG’А
Щоб виправити слабкі сторони схеми цифрового RSA-type мультипідпису Ham’a і схеми цифрового DSA мультипідпису Harn’a, Hwang та ін. запропонували два вдосконалення для цих схем. Перше є поліпшенням схеми цифрового RSA мультипідпису (скорочено BV-RSA). Різниця полягає в рівнянні (3):
П
SV
П h (mV )modn,
(7)
де vi, i = і, 2, ..., t є невеликими довільними числами, що обираються перевіряючим.
Друге є поліпшенням схеми цифрового DSA-type мультипідпису (скорочено BV-DSA). Єдина різниця полягає в рівнянні (б). Його модифіковано таким чином:
I sir-1vi Xt mir-1vi Л
Vi = 1 „Z-n-і 1 modpl modq, (8)
П rii = іg
i=1
y
де vi, i = і, 2, ..., t, є невеликими довільними числами, що обираються перевіряючим.
i=1
6. СХЕМА ЦИФРОВОГО DSA-TYPE
МУЛЬТИПІДПИСУ SHAO
У 200 і році Shao запропонував схему цифрового DSA-type мультипідпису. Вона схожа на схему Hwang’а та ін. Єдина різниця полягає в рівнянні б. Рівняння групової перевірки виглядає таким чином:
П (Єі(Si))Ui = П (Ji(Si))Uimodp, (9)
i = 1 i = 1
де иг є (і, 232), i = і, 2, ..., t є довільними числами, що обираються перевіряючим, а st - цифровий мультипідпис, кожен підпис якого окремо задовольняє рівнянню et(st) = f(st)modp, i = і, 2, ..., t.
7. СХЕМА CHANGCHIEN^ ТА ІНШІ
В розділі 2 зазначено, що якщо не виконується
рівняння групової перевірки, тобто і ПІ -, Si)e -
^П^/(mі)modn, отримувач, Боб, має перевірити кожен підпис із мультипідпису окремо з використанням рівняння h(mt) = Semodn. Визначення підробленого підпису потребує t обчислень ступеня. У 2002 році Changchien і Hwang запропонували схему для визначення підроблених мультипідписів, що потребує лише одного обчислення ступеня та t обчислень модуля.
Changchien і Hwang перевизначили h() як просту необоротну хеш-функцію та П -ih(mt)^n. Це робить довжину h() рівною |_Н/tj біт, де L J -функція найбільшого цілого, а |n| - довжина n. Для того, щоб визначити підроблений мультипідпис, Боб має виконати такі кроки:
1) Обчислити L = іП^ j s') modn.
2) Перевірити, чи L modh (mt) = 0 для i = і, 2, ..., t.
8. ПОРІВНЯННЯ
Порівняти наведені схеми мультипідписів можна за такими критеріями:
1) Лише чинна особа може підписати електронний документ цифровим мультипідписом.
Всі схеми відповідають цій умові. Будь-яка особа, що має свій секретний ключ, може це зробити.
2) Ніхто не може підробити чужий цифровий мультипідпис.
Серед розглянутих схем лише схеми BV-DSA та BV-RSA HwangX а також схема Shao відповідають цій умові. Мультипідпис за цими схемами неможливо підробити для того, щоб пройти групову перевірку чинності.
3) Будь-який перевіряючий може провести групову перевірку чинності цифрового мультипідпису.
Всі схеми відповідають цій умові. Будь-який перевіряючий може провести групову перевірку цього мультипідпису за допомогою відкритого ключа, для цього потрібна тільки одна перевірка.
4) Контроль цілісності.
Всі схеми відповідають цій умові. Зловмисник не має змоги замінити дійсний документ фальшивим, бо він не знає секретного ключа особи, що підписала документ. Лише чинна особа може підписувати свої документи.
5) Неможливість відмови від авторства.
Якщо відправник може підробити цифровий підпис, що проходить групову перевірку чинності, то схема не відповідає умові, бо відправник може заперечувати, що саме він відправив ці документи. Отже, лише схеми BV-DSA та BV-RSA HwangX а також схема Shao відповідають цій умові.
6) Має бути ефективний метод виявлення фальшивих цифрових мультипідписів.
Практично всі схеми, крім схеми Changchien^ та ін., не відповідають цій умові. В цій схемі перевіряючий може ефективно визначити факт підроблення підпису.
Результати порівняння підсумовано у табл. і, де Кі - визначені критерії, «+» - вирішено, «-» - не вирішено, ТОЗ - тип обчислювальної задачі, ЗДЛ -задача дискретного логарифмування, ЗФ - задача факторизації.
Таблиця 1. Результати порівняння схем мультипідписів
Назва схеми Кі К2 К3 К4 К5 Кб ТОЗ
Naccache та ін. + - + + - - здл
DSA Шт’а + - + + - - ЗДЛ
RSA Шт’а + - + + - - ЗФ
BV-DSA Hwang’а + + + + + - ЗДЛ
BV-RSA Hwang’а + + + + + - ЗФ
Shao + + + + + - ЗДЛ
Changchien’а та ін. + - + + - + ЗФ
ВИСНОВКИ
Було розглянуто декілька схем цифрових мультипідписів, що вже існують. Ці схеми дозволяють будь-якому перевіряючому проводити групову перевірку чинності цифрових підписів. Вони дозволяють заощадити багато обчислень ступеня за модулем. Тим не менш, лише схеми BV-DSA та BV-RSA HwangX а також схема Shao є надійними та забезпечують умову неможливості відмови від авторства. Однак ці схеми не мають ефективного методу виявлення підроблених підписів на відміну від схеми Changchien^. Проблема створення безпечної та ефективної схеми цифрового мультипідпису залишається відкритою та може розглядатися як напрямок подальших досліджень.
СПИСОК ЛІТЕРАТУРИ
1. Naccache, D. Can DSA be improved: Complexity trade-os with the digital signature standard / D. Naccache, D. Mraihi, D. Rapheali, S. Vaudenay // Proceedings of Eu-rocrypt’94. - 1994. - Pp. 85-94.
2. Lim, C. H. Security of interactive DSA batch verication / C. H. Lim, P. J. Lee // Electronics Letters. - 1994. -Vol. 30, No. 19. - Pp. 1592-1593.
3. Harn, L. Batch verifying multiple DSA-type digital signatures // Electronics Letters. - 1998. - Vol. 34, No. 9. -Pp. 870-871.
4. Harn, L. Batch verifying multiple RSA digital signatures // Electronics Letters. - 1998. - Vol. 34, No. 12. -Pp. 1219-1220.
5. Hwang,M.S. Cryptanalysis of the batch verifying multiple RSA digital signatures / M. S. Hwang, I. C. Lin, K. F. Hwang // Informatica. - 2000. - Vol. 11, No. 1. - Pp. 15-19.
6. Hwang, M. S. Cryptanalysis of the batch verifying multiple DSA-type digital signatures / M. S. Hwang, C. C. Lee,
Eric J. L. Lu // Pakistan Journal of Applied Sciences. -2001. - Vol. 1, No. 3. - Pp. 287-288.
7. Hwang, M. S. Two simple batch verifying multiple digital signatures / M. S. Hwang, C. C. Lee, and Y. L. Tang // The Third International Conference on Information and Communication Security (ICICS2001). - Xian, China, 2001. - Pp. 13-1б.
8. Shao, Z. Batch verifying multiple DSA-type digital signatures // Computer Networks. - 2001. - Vol. 37, No. 3-4. -Pp. 383-389.
9. Changchien, S. W. A batch verifying and detecting multiple RSA digital signatures / S. W. Changchien, M. S. Hwang // International Journal of Computational and Numerical Analysis and Applications. - 2002. - Vol. 2, No. 3. - Pp. 303-307.
Надійшла 29.10.2010
Неласая А. В., Дозоренко И. С.
ОБЗОР И СРАВНЕНИЕ СХЕМ ЦИФРОВЫХ МУЛЬТИПОДПИСЕЙ
Рассмотрены известные схемы цифровых мультиподписей с групповой проверкой, использующие только одну вместо нескольких проверок, а также недостатки этих схем. Проведено сравнение свойств схем но нескольким критериям.
Ключевые слова: цифровая подпись, мультиподпись, групповая проверка, RSA, DSA.
Nelasa A. V, Dozorenko I. S.
REVIEW AND COMPARISON OF MULTIPLE DIGITAL SIGNATURES
Several batch verication multiple digital signatures are reviewed in this paper. These schemes use only one verification instead of several verifications. Weakness of these schemes is also pointed out. The schemes were compared by the defined criterions.
Key words: multiple digital signatures, batch verification, RSA, DSA.
УДК 681.142.2; 622.02.658.284; 621.325 Пелешко Д. Д.1, Кустра Н. О.2, Шпак З. Я.1
1Канд. техн. наук, доцент Національного університету «Львівська політехніка» 2Канд. техн. наук, старший викладач Національного університету «Львівська політехніка»
СУМІЩЕННЯ ЗОБРАЖЕНЬ НАБОРУ НА ОСНОВІ ВИКОРИСТАННЯ ДИСПЕРСІЇ КОЛЬОРУ ЗОБРАЖЕНЬ
Розроблено швидкий метод суміщення зображень в наборі однотипних зображень на основі розв’язання задачі майже факторизації простору топології зображень з подальшим звуженням цього простору через вирішення задачі пошуку кореляційного максимуму. Задача майже факторизації формулюється через введення напівметрики стосовно дисперсії кольору елементів топології зображення.
Ключові слова: суміщення зображень, фреймове покриття, топологія зображень, дисперсія кольору, кореляційний максимум.
ВСТУП - взаємна кореляційна функція може мати досить
розмитий максимум, що ускладнює його знаходжен-
Традиційно для реалізації процедури знаходження
ч ^ ня, оскільки не враховує просторову структуру по-
і суміщення зображень використовують кореляційну рівнюваних зображень'
прив’язку цифрових зображень. Метод к°реляційн°ї - комбінаторна складність - великий перебір ситу-прив’язки зображень має такі недоліки: ацій [1-4].
© Пелешко Д. Д., Кустра Н. О., Шпак З. Я., 2011
