Одноразовая кольцевая подпись и её применение в электроннойналичности
Ring signature allowsto specify a set of potential message signers instead of the actual signer. In this paper, anew signature type is introduced - the one-time ring signature which allows to sign onlyone message. The use of the same secret key twice reveals signer's identity. A protocol foruntraceable payments in Bitcoin e-cash system is also offered.
One-time ring signature in e-cash.pdf Кольцевая подпись (ring signature) [1] позволяет участнику группы подписыватьсообщения от имени всей группы (указывая для проверки вместо своего открытогоключа ключи всех участников группы). Проверяющий уверен, что использован одиниз секретных ключей, но чей именно - он не знает. В работе мы вводим новый видкольцевой подписи, наделяя её свойством одноразовости: в случае повторного исполь-зования одного и того же секретного ключа личность его автора будет раскрыта (ины-ми словами, анонимно подписать можно лишь одно сообщение).Такое свойство востребовано во многих областях: электронные выборы (каждыйучастник может проголосовать только один раз), цифровые деньги (электронные мо-неты можно потратить лишь единожды) и т. д. Продемонстрируем применение алго-ритма в сфере открытых электронных транзакций на примере децентрализованнойр2р-валюты Bitcoin [2]. Это решение позволяет участнику совершать полностью неот-слеживаемый платёж (что на данный момент невозможно в Bitcoin), открыто публи-куя детали операций по переводу и получению средств.Алгоритм одноразовой кольцевой подписи состоит из нескольких этапов:- GEN - генерация ключей. Каждый участник готовит два закрытых ключа0 < x, y < N и публикует два открытых ключа Px = xQx и Py = yQy электроннойподписи ECDSA.- R I N G - S I G - создание кольца подписей. Алиса готовит n - 1 «подделку» чужихподписей ECDSA (mj , Aj , e j ) , применяя технику «2-parameter forgery» [3]:Aj = UjQx + VjPx,; ej = - H ( A j ) v - 1 mod N; mj = Uj в% mod N,и выбирает такое mj s , чтобы все mj рекуррентно замкнулись в кольцоZj0 = H (m, mj0+ra_i 0 H(m, m,j0+ra_2 0 H(m, 0 H(m, mj0 0 Zj0) ))) (1)для произвольно выбранного i0 E { 1 , . . . , n}.После этого Алиса использует оба секретных ключа (x и у) для создания однойнастоящей подписи (mi s , A i s ) : ( A , ) = (yQx, (mis - H(Ai s ) x ) y - 1 mod N).Теперь проверяющему достаточно проверить все n подписей ECDSA обычным об-разом, а также уравнение (1).N I Z K - S IG - кроме кольца подписей, Алиса конструирует неинтерактивное дока-зательство эквивалентности двух «логарифмов»: Ai s = ysQx (набор из «половинок»подписей ECDSA) и Pys = ysQy (набор из вторых открытых ключей). Доказатель-ство обладает свойством нулевого разглашения в том смысле, что индекс Алисы isостаётся в секрете.Алиса генерирует случайные пары (q^ Wi) из { 1 , . . . , N - 1}2 и вычисляетL I qiQx, если i = s, R = (qiQy, если i = s,i qiQx + WiAi, если i = s; i |qiQy + WiP№, если i = s.После этого Алиса вычисляет хэш c = H(L1 , . . . , Ln, R 1 , . . . , Rn , m) и конструируетподпись-доказательствоwi , если i = s, fqi, если i = s,n Г' =
Ключевые слова
Авторы
| Чикишев Григорий Олегович | Санкт-Петербургский научно-исследовательский университет информационных технологий, механики и оптики, г. Санкт-Петербург | бакалавр, магистрант кафедры компьютерных технологий факультета информационных технологий и программирования | grigory.chikishev@gmail.com |
Всего: 1
Ссылки
RivestR., Shamir A., and Tauman Y. How to Leak a Secret // Proc. 7th Internat. Conf. on the Theory and Application of Cryptology and Information Security: Advances in Cryptology, 2001. P. 552-565.
Nakamoto S. Bitcoin: A Peer-to-Peer Electronic Cash System. http://bitcoin.org/bitcoin. pdf. 2009.
RivestR., Micali S., and Goldwasser S. A Digital Signature Scheme Secure against Adaptive Chosen-Message Attacks // SIAM J. Computing. 1988. V. 17. No. 2. P. 281-308.
Cramer R., Damgard I., and Schoenmakers B. Proofs of partial knowledge and simplified design of witness hiding protocols // LNCS. 1994. V.839. P. 174-187.
Вы можете добавить статью