Provable secure dynamic group signature scheme.pdf В ряде прикладных задач для защиты сообщений от фальсификации требуетсявыполнение следующих условий:- возможности создания электронной цифровой подписи одним лицом от имени груп-пы лиц;- невозможности идентификации автора такой подписи проверяющей стороной;- возможности раскрытия автора подписи уполномоченным лицом.Этим условиям удовлетворяют схемы групповой подписи. В зависимости от реша-емой прикладной задачи к ним могут быть предъявлены дополнительные требования:- возможность добавления новых членов в группу без необходимости изменения от-крытого ключа группы;- возможность отзыва права подписи у определенных членов группы.Анализ современных схем групповой подписи позволил выделить признаки, по ко-торым такие схемы можно классифицировать и сравнивать, а на их основе построитьобобщенную классификационную схему схем групповой подписи [1]. По совокупностиэтих признаков, в частности свойств безопасности, обеспечиваемых схемой, эффек-тивности процедур формирования, проверки и раскрытия подписи, ее длины, а такженабору криптографических предположений следует выделить схему BBS [2]. Ее безо-пасность основана на предоставлении в подписи знания решения задачи SDH (StrongDiffie - Hellman): пары (A,x) е G1 х ZP, такой, что Ax+Y = g1, где (g1) = G1 -цикличе-ская группа простого порядка p; 7 е ZP - секретный ключ выпускающего менеджерагруппы. Схема BBS является наиболее гибкой и расширяемой. Но ни она, ни болеепоздние и совершенные ее модификации BS VLR [2] и XSGS [3] не обладают полнотойсразу по всем характеристикам: функциональности, безопасности, эффективности.Предлагается динамическая доказуемо безопасная схема групповой подписи, по-строенная на основе схемы BBS, с возможностью отзыва права подписи у заданногочлена группы с определенного момента времени. Чтобы обеспечить возможность ин-терактивного добавления в группу новых членов, в схему внедрен протокол Join, поаналогии с XSGS [3]. Для этого потребовалось изменить состав ключей членов груп-пы: ключом является тройка (A,x,y) е G1 х Zp, где Ax+Y = g1hy, h е G1 -элементоткрытого ключа группы, и соответствующим образом адаптировать алгоритмы фор-мирования и проверки подписи. Предложена спецификация и самого протокола Join.Для обеспечения полной анонимности [4] в схеме BBS CPA-стойкая схема линейногошифрования заменена модифицированной ССА2-стойкой линейной схемой Крамера -Шоупа [5]. Это позволило доказать безопасность предложенной схемы по требованиямдинамической модели BSZ [4]. Согласно этим требованиям, возможности нарушителямоделируются предоставлением ему доступа к различным оракулам. При доказатель-стве свойств предполагается, что:- с помощью атакующего, который умеет с ненулевой вероятностью нарушать неко-торое свойство безопасности, строится новый алгоритм, решающий сложную попредположению задачу. Из этого следует, что такого атакующего не может быть;- имеется возможность откатить алгоритм атакующего на некоторый шаг и сформи-ровать для него новое окружение, например изменить ответ случайного оракула.В схеме BBS применим механизм отзыва права подписи, основанный на динами-ческих аккумуляторах [2]. Его недостаток в том, что ранее сгенерированные подписипосле отзыва перестают быть корректными. Неясно также, как вынудить всех субъек-тов одновременно обновить локальные копии ключей, а выпускающего менеджера -всю базу данных членов группы, без которой раскрывающий менеджер не сможетраскрыть новые подписи. Все описанные проблемы носят временной характер.Предлагается решать эти проблемы путем введения в схему доверенного субъекта,который выполняет различные проверки, ограничивающие возможности других субъ-ектов, а следовательно, и потенциальных нарушителей, и заверяет обычной подписьювременные метки первого ключа группы, известной части каждого членского серти-фиката и каждой групповой подписи. Таким образом, процесс формирования подписистал интерактивным, так как теперь в нем принимает участие удостоверяющий центр.В этом случае проверяющий может использовать для проверки актуальный на моментсоздания подписи открытый ключ группы. Также новый субъект отвечает за синхро-низацию всех остальных субъектов при проведении отзыва и не позволяет оставитьбазы данных группы в рассогласованном состоянии.Предложенная система эффективно применима, если количество отзываемых поль-зователей незначительно, так как в этом случае все операции, требующие значитель-ного времени на их выполнение, являются достаточно редкими. При этом количествоотозванных пользователей никак не сказывается на сложности выполнения основныхопераций: формировании, проверке, раскрытии подписи и проверке правильности еераскрытия. Трудоемкость механизма отзыва инкапсулируется внутри группы и не де-легируется третьей стороне по отношению к группе, а следовательно, и к организации.

Скачать электронную версию публикации