Firma ciega

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 14 de septiembre de 2021; las comprobaciones requieren 3 ediciones .

La firma ciega ( en inglés blind signature ) es un tipo de firma digital , cuya peculiaridad es que la parte firmante no puede conocer con exactitud el contenido del documento firmado. El concepto de firma ciega fue inventado por David Chaum [1] en 1982, también propuso la primera implementación a través del algoritmo RSA . La seguridad del esquema de firma ciega se basaba en la dificultad de factorizar grandes números compuestos . Desde entonces, se han propuesto una gran cantidad de otros esquemas [2] [3] .

Descripción

La idea básica de las firmas ciegas es la siguiente:

El remitente A cifra el documento y lo envía a la parte B.
La Parte B, al no ver el contenido del documento, lo firma y se lo devuelve a la Parte A.
La Parte A elimina su cifrado, dejando solo la firma de la Parte B en el documento.

Al final de este protocolo, la parte B no sabe nada sobre el mensaje t, ni sobre la firma bajo este mensaje.

Este esquema se puede comparar con un sobre en el que se colocan un documento y una hoja de copia. Si firma el sobre, la firma quedará impresa en el documento, y cuando se abra el sobre, el documento ya estará firmado.

El propósito de una firma ciega es evitar que el firmante B vea el mensaje de A que está firmando y la firma correspondiente debajo de ese mensaje. Por lo tanto, el mensaje firmado no se puede asociar más con la parte A.

Un esquema seguro de firma ciega debe satisfacer 3 propiedades, a saber:

Cero conocimiento . Esta propiedad ayuda al usuario a obtener una firma en un mensaje determinado sin exponer el mensaje al firmante.
Trazabilidad . El firmante no puede rastrear el par firma-mensaje después de que el usuario haya hecho pública la firma en su mensaje.
Imposibilidad . Solo el firmante puede generar una firma válida. Esta propiedad es la más importante y debe cumplirse para todos los esquemas de firma.

Debido a las propiedades de conocimiento cero y no rastreabilidad, el esquema de firma ciega puede ser ampliamente utilizado en aplicaciones donde se necesita confidencialidad, por ejemplo, en sistemas de votación electrónica [4] [5] [6] [7] .

Algoritmos de firma ciega

Firma completamente ciega

Dada la situación: Bob es notario . Alice necesita que firme el documento sin tener idea de su contenido. Bob solo certifica que el documento está notariado en el momento especificado. Luego actúan de acuerdo con el siguiente algoritmo:

En este esquema , Alice quiere que Bob firme ciegamente el mensaje . Para esto: $metro$

Alice encripta el mensaje con la función , recibiendo el mensaje encriptado . $metro$ $F$ $c=f(m)$
Alice envía un mensaje encriptado a Bob.
Bob ciegamente (porque no sabe lo que hay dentro) firma el mensaje con la función , recibiendo . $C$ $gramo$ $c^{{'}}=g(c)=g(f(m))$
Bob envía de vuelta a Alice. $c^{{'}}$
Alice recibe y elimina su encriptación, obteniendo: . $c^{{'}}$ $c^{{''}}=g(f(m))*f^{{-1}}=g(m)$

Este protocolo sólo funciona si las funciones de firma y cifrado son conmutativas .

Firma ciega

Bob prepara n documentos, cada uno de los cuales contiene una palabra única (cuanto más n, menos posibilidades tiene Bob de hacer trampa).
Bob enmascara cada documento con un factor de enmascaramiento único y se los envía a Alice.
Alice recibe todos los documentos y selecciona al azar n-1 de ellos.
Alice le pide a Bob que envíe factores de enmascaramiento para los documentos seleccionados.
Bob lo hace.
Alice abre los documentos n-1 y se asegura de que sean correctos.
Alice firma el documento restante y se lo envía a Bob.
Bob ahora tiene un documento firmado por Alice con una palabra única que Alice no conoce.

Protocolo RSA

La primera implementación de firmas ciegas fue realizada por Chaum utilizando el sistema criptográfico RSA:

Supongamos que inicialmente Bob tiene una clave pública , donde es el módulo y es el exponente público de la clave. $(Educación física)$ $pags$ $mi$

Alice elige un factor de enmascaramiento aleatorio relativamente primo y lo calcula . $r$ $pags$ $m^{{'}}\equiv mr^{{e}}{\bmod p}$
Alice envía un canal abierto a Bob. $m^{{'}}$
Bob calcula usando su clave privada . $s^{{'}}\equiv (m^{{'}})^{{d}}{\bmod p}$ $(p, d)$
Bob envía de vuelta a Alice. $s^{{'}}$
Alice se quita el disfraz original y recibe el mensaje original firmado por Bob de la siguiente manera: . $metro$ $s\equiv s^{{'}}*r^{{-1}}{\bmod p}\equiv m^{{d}}{\bmod p}$

Chaum ideó toda una familia de algoritmos de firma ciega más complejos, denominados colectivamente firmas ciegas inesperadas . Sus esquemas son aún más complicados, pero dan más posibilidades [1] .

Firma ciega basada en Schnorr EDS

Supongamos que Alicia quiere firmar un mensaje de Bob de tal manera que, en primer lugar, Bob no pueda familiarizarse con el mensaje en el curso de la firma y, en segundo lugar, para que Bob no pueda posteriormente, al recibir el mensaje y la firma correspondiente, identificar al usuario que inició el protocolo de firma ciega para este mensaje específico (Alice). Este protocolo se implementa de la siguiente manera: $metro$ $metro$

Alice inicia la interacción con Bob.
Bob envía el valor a Alice . $R=a^{k}\mod p$
Alice calcula los valores (w y t son números aleatorios que no superan ), y luego envía el valor a Bob . $R^{{'}}=Ra^{{-w}}y^{{-t}}\mod y$ $y$ $E^{{'}}=H(m||R^{{'}})$ $E=E^{{'}}+t\mod y$ $mi$
Bob calcula un valor tal que y se lo envía a Alice. $S$ $R=a^{S}y^{{E}}\mod p$ $S$
Alice calcula una firma , donde y , que es auténtica con respecto al mensaje [8] . $(E^{{'}},S^{{'}})$ $E^{{'}}=E^{{-t}}\mod y$ $S^{{'}}=Sw\mod y$ $metro$

Prueba

La autenticidad de la firma se prueba de la siguiente manera. Se sigue de y . En este caso, se resuelve el problema del anonimato, ya que cualquier terna del conjunto de tales ternas que formó Bob se puede comparar con la firma de este documento . De hecho, tenemos: y , i.e. con una elección aleatoria equiprobable de términos , y la firma se generó con igual probabilidad a partir de cualquier triple incluido en el conjunto de triples formado por el firmante. También notamos que Bob ni siquiera tiene la oportunidad de probar que en el momento en que se formó la firma de este documento , no estaba familiarizado con él. $R=a^{S}y^{{E}}\mod p$ $Ra^{{-w}}y^{{-t}}=a^{{Sw}}y^{{Et}}modp$ $R^{{'}}=a^{{S^{{'}}}}y^{{E^{{'}}}}\mod p$ $(R,S,E)$ $(E^{{'}},S^{{'}})$ $metro$ $R=a^{S}y^{{E}}\mod p$ $R^{{'}}=a^{{S^{{'}}}}y^{{E^{{'}}}}\mod p$ $\Flecha correcta$ $R^{{'}}/R\equiv a^{{S^{{'}}-S}}y^{{E^{{'}}-E}}\mod p\equiv a^{{ -w}}y^{{-t}}\mod p$ $w$ $t$ $(E^{{'}},S^{{'}})$ $metro$

Firma ciega basada en GOST R 34.10-94 Opciones

p es primo , 510 ≤ | pag | ≤ 512 (o 1022 ≤ | p | ≤ 1024), donde |p| es la capacidad de la representación binaria del número p.

q es un gran divisor primo de p-1, 255 ≤ | q | ≤ 256 (o 511 ≤ | q | ≤ 512)

α ≠ 1, α < pags , mod p = 1. ${\ estilo de visualización \ alfa ^ {q}}$

Cálculo

Necesidad de generar k , 1 < k < q ;
R = ( mod p ) mod q es la primera parte de la firma; ${\ estilo de visualización \ alfa ^ {k}}$
H = Hash(m) , donde Hash es la función hash descrita en el estándar GOST R 34.11-94 , m es el mensaje a firmar;
S = kH + zR mod q , donde z es la clave privada .
Si S=0, repita las operaciones 1-4.

Comprobación

0 < R < q o 0 < S < q. Si al menos una de las dos condiciones no se cumple, la firma no es válida. De lo contrario:
R' = ( mod p ) mod q , donde y es la clave pública ; ${\ estilo de visualización \ alfa ^{R/H}y^{S/H}}$
Si R = R' , entonces la firma es válida [9] .

Firma ciega basada en STB 1176.2-99

El estándar bielorruso proporciona el siguiente protocolo para generar una firma ciega en el documento M :

Es necesario generar un k aleatorio tal que 1 < k < q y calcular . Estas acciones son realizadas por el firmante. Luego pasa el número R al usuario; ${\displaystyle R=a^{k))$
El usuario genera números aleatorios ε y τ tales que 1 < ε, τ < q y luego calcula , y E = E' - τ mod q ; E - el primer elemento de la firma - se envía al firmante; ${\displaystyle R'=R*y^{\tau }*a^{\epsilon ))$ $E'=F_{H}(R'||M)$
El firmante calcula el segundo elemento de la firma S = (k - xE) mod q y envía S al usuario;
El usuario calcula S' = S + ε mod q .

En esta descripción se utilizan los siguientes parámetros: q es el módulo utilizado para los cálculos, simple; a es el elemento padre; x - clave privada; y es la clave pública [9] .

Firma colectiva a ciegas

Sean claves públicas propiedad de s usuarios. Que haya un mensaje M que m de ellos quieran firmar. En este caso, todas las firmas se pueden combinar en una, cuya longitud es igual a la longitud de la firma de un usuario y no depende de m . Esto se implementa de acuerdo con las reglas del siguiente 1 protocolo: ${\displaystyle {\overline {y_{1},y_{s))))$

Cada uno de los m usuarios genera un número aleatorio < p , donde j = , p es un número primo grande. Luego, cada uno de los m usuarios calcula mod p ( k es una gran potencia prima) y envía este número a todos los demás usuarios de este grupo. $t_{\alpha _{j))$ ${\overline {1,m))$ $R_{\alpha _{j}}=(t_{\alpha _{j}})^{k}$
Cada usuario calcula mod p . A continuación, se calcula e = f(R,M) = RH mod q , donde q es un número primo grande diferente de p , H = Hash(M) es una función hash. El número e será el primer elemento de la firma colectiva. $R=\prod_{j=1}^{m}R_{\alpha_{j))$
$S_{\alpha _{j}}=x_{\alpha _{j}}^{e}t_{\alpha _{j}}$ mod p es la parte del usuario. Cada usuario calcula esta cuota y se la proporciona a los demás.
Luego, cada usuario calcula mod p . Este es el segundo elemento de la firma colectiva. $S=\prod_{j=1}^{m}S_{\alpha_{j))$

Verificación de la firma ciega colectiva

$y=\prod_{j=1}^{m}y_{\alpha_{j))$ mod p es la clave pública compartida. En base a ello, la firma ciega colectiva se verifica de acuerdo con el siguiente algoritmo:

Mod p se calcula . ${\displaystyle R=S^{k}y^{-e))$
Calcular e' = f(R,M) = RH mod q
Si e' = e , entonces la firma es válida [9] .

Aplicación

Sistemas bancarios

El protocolo de firmas ciegas ha encontrado la aplicación más amplia en el campo del dinero digital . Por ejemplo, para que el depositante no engañe al banco, se puede utilizar el siguiente protocolo: el depositante escribe la misma denominación de billetes en cien documentos con diferentes números y los deposita en forma encriptada en el banco. El banco elige al azar y exige abrir 99 (o n-1) sobres, se asegura de que $10 esté escrito en todas partes y no $1000, luego firma el sobre restante a ciegas, sin ver el número de factura.

Puede proporcionarse una opción más sencilla: el banco tiene su propio par de claves públicas asignadas a cada denominación del billete. Entonces solo se envía el número de billete debajo de la firma, y no es necesario verificar la denominación antes de la firma [1] .

Voto secreto

Las firmas ciegas se utilizan para la votación secreta . En el protocolo de Fujioka, Okamoto y Ota , el votante prepara una papeleta con su elección, la cifra con una clave secreta y la enmascara. Luego, el votante firma la boleta y la envía al validador. El validador verifica que la firma pertenece a un votante registrado que aún no ha votado.

Si la boleta es válida, el validador firma la boleta y se la devuelve al votante. El votante se quita el disfraz, revelando así la boleta cifrada firmada por el validador. A continuación, el votante envía la boleta firmada y encriptada así obtenida al mostrador, que verifica la firma en la boleta encriptada.

Si la boleta es válida, el escrutador la coloca en una lista que se publicará después de la votación completa. Después de que se publica la lista, los votantes verifican que sus boletas estén en la lista y envían al enumerador las claves de descifrado necesarias para abrir sus boletas. El cajero utiliza estas claves para descifrar las papeletas y suma el voto al total. Después de la elección, el cajero emite claves de descifrado junto con boletas cifradas para que los votantes puedan verificar la elección de forma independiente [10] .

Vulnerabilidades de firma ciega

El algoritmo RSA puede ser objeto de un ataque, gracias al cual es posible descifrar un mensaje previamente firmado a ciegas, haciéndolo pasar por un mensaje que aún no ha sido firmado. Partiendo del hecho de que el proceso de firma es equivalente al descifrado por parte del firmante (utilizando su clave privada), un atacante puede firmar una versión ya firmada a ciegas del mensaje cifrado con la clave pública del firmante, es decir, firmar el mensaje . $metro$ $metro'$

{\begin{alineado}m''&=m'r^{e}{\pmod n}\\&=(m^{e}{\pmod n}\cdot r^{e}){\pmod n }\\&=(señor)^{e}{\pmod n}\\\end{alineado}}

donde está la versión cifrada del mensaje. Una vez que se firma el mensaje, el texto sin formato se recupera fácilmente: $metro'$ $metro$

{\begin{alineado}s'&=m''^{d}{\pmod n}\\&=((mr)^{e}{\pmod n})^{d}{\pmod n}\ \&=(mr)^{{ed}}{\pmod n}\\&=m\cdot r{\pmod n}{\mbox{, desde }}ed\equiv 1{\pmod {\phi (n )}}\\\end{alineado}}

donde es la función de Euler . Ahora el mensaje es fácil de recibir. $\phi(n)$

{\begin{alineado}m=s'\cdot r^{{-1}}{\pmod {n}}\end{alineado}}

El ataque funciona porque en este esquema, el firmante firma directamente el propio mensaje. Por el contrario, en los esquemas de firma convencionales, el firmante normalmente firmará, por ejemplo, una función hash criptográfica . Por lo tanto, debido a esta propiedad multiplicativa de RSA , nunca se debe usar la misma clave para el cifrado y la firma ciega [8] .

Véase también

Notas

↑ 1 2 3 Bruce Schneier, Criptografía aplicada. 2ª edición. Protocolos, algoritmos y textos fuente en lenguaje C, editorial Triumph, 2002
↑ Jean Kamenich, Jean-Marc Piveto, Markus Stadler, "Firmas ciegas basadas en el problema del logaritmo discreto", Eurocrypt, páginas 428-432, Springer-Verlag, 1995.
↑ Qalian Chakrabortu, Jean Mehta, "Un esquema de firma ciega estampado basado en un problema de logaritmo discreto de curva elíptica", International Journal of Network Security, Número 14, páginas 316-319, 2012.
↑ Lung-Chang Lin, Ming-Shiang Hang, Chin-Chen Chang "Mejora de la seguridad para el voto electrónico anónimo en la web", Estándares e interfaces de computadora, número 25, páginas 131-139, 2003.
↑ Tatsuaki Okamoto, "Firmas ciegas y parcialmente ciegas eficientes sin predicciones aleatorias", Colección de artículos "Teoría de la criptografía", páginas 80-99, Springer-Verlag, 2006.
↑ Markus Ruckert, "Firma ciega basada en celosías", colección de documentos de la conferencia Asiacrypt, páginas 413-430, Springer-Verlag, 2010.
↑ Daniel Ortiz-Arroyo, Claudia García-Zamora, "Otra mejora del protocolo de votación electrónica de Mu-Varadarajan", Interfaces y estándares informáticos, Número 29, páginas 471-480, 2007.
↑ 1 2 Moldovyan N.A. Taller sobre criptosistemas de clave pública. - 2007. - 304 págs. — ISBN 5-9775-0024-6 .
↑ 1 2 3 N.D. moldavo. Algoritmos de mínimo teórico y firma digital. - BVH-Petersburg, 2010. - 304 p. - ISBN 978-5-9775-0585-7 .
↑ Anisimov V.V. Protocolos de las dos agencias Fujioka-Okamoto-Ohta y Sensus . Métodos criptográficos de protección de la información . (indefinido)

Literatura

Schneier, B. Criptografía aplicada. 2ª edición. Protocolos, algoritmos y textos fuente en lenguaje C - "Triumph", 2002
Klyuzhev A. Votación electrónica, 2003
Shangin, V. F. , Sokolov, A. V. Seguridad de la información en redes y sistemas corporativos distribuidos - "DMK", 2002
Chaum, D. Firmas ciegas para pagos imposibles de rastrear - Springer-Verlnag, 1998
Moldovyan N. A. Taller sobre criptosistemas de clave pública, 2007
Moldovyan N. A. Mínimos teóricos y fundamentos de la firma digital, 2010