6.2. Схема Шаума с банкнотами различного достоинства.

Такая схема основывается на тех же идеях, что и схема Шаума с банкнотами одинакового достоинства, поэтому здесь описываются только ее отличия от предыдущей.

В этой схеме отсутствует «копилка», а значит, используется только один модуль n.

Банк может выдавать банкноты различного достоинства. А именно, пусть m, как и выше, соответствует максимальному достоинству банкноты и g\m. Тогда банк может выдать банкноту, достоинство которой соответствует числу g. Заметим, что в таком случае банк может выдавать банкноты любого номинала, не превышающего максимальный.

Если d соответствует сумме платежа, где d\g, то c=g/d  соответствует «сдаче». Причем в силу того, что c\m, «сдача» тоже является полноценной банкнотой и может использоваться в дальнейших платежах.

Транзакция снятия со счета выполняется так же, как в предыдущей схеме.

В транзакции платежа покупатель вычисляет v=f(N₁) mod n и посылает продавцу, а тот банку, значения (N, f(N)^1/d mod n), c, vs^c mod n.

Банк возвращает покупателю через продавца значение v^1/csf(f(N)^1/с)mod n.

Благодаря тому, что v=f(N₁), «сдача» становится такой же электронной банкнотой, как и сумма, снятая со счета. Номер банкноты, выданной в качестве сдачи, будет N₁, а сама сданная банкнота будет иметь вид (N₁, f(N₁)^1/c mod n)

Множитель f(f(N)^1/c) в значении, возвращаемом банком, необходим для того, чтобы покупатель мог вычислить f(N₁)^1/c=v^1/с только тогда, когда он знает значение f(N)^1/c.

Транзакция депозита в данной схеме ничем не отличается (с криптографической точки зрения) от транзакции платежа.

Задания к лабораторной работе №6: «Электронная монета».

Вариант 1. Реализовать схему Шаума с монетами одинакового достоинства и сдачей. В протоколе 3 стороны - продавец, покупатель и банк. Размер ключей 128 бит (64-битовые простые числа). В схеме должны быть протоколы для трех транзакций: снятие со счета, депозит, платеж.

Вариант 2. Реализовать схему Шаума с монетами различного достоинства и сдачей. В протоколе 3 стороны - продавец, покупатель и банк. Размер ключей 128 бит (64-битовые простые числа). В схеме должны быть протоколы для трех транзакций: снятие со счета, депозит, платеж.

Во всех вариантах сначала происходит аутентификация сторон.

Раздел 7. Электронные выборы.

Идеальный протокол для проведения электронных выборов должен обладать, по меньшей мере, следующими свойствами:

1. голосовать могут только те, кто имеет на это право;

2. каждый может голосовать не более одного раза;

3. нельзя узнать, за кого проголосовал конкретный избиратель;

4. нельзя проголосовать вместо другого;

5. нельзя тайно изменить чей-то голос;

6. можно проверить, что ваш голос учтен при подведении итогов.

Кроме того может потребоваться следующее свойство:

7. каждый знает кто голосовал, а кто нет.

Рассмотрим два примера, которые показывают, как трудно обеспечить хотя бы первые три требования к протоколу электронного голосования.

7.1. Протокол голосования со слепыми подписями.

Параметры протокола:

A₁,…,A_n – участники;

T – центральная избирательная комиссия;

p, q – большие простые числа, известные только Т;

n=pq – модуль RSA, открытый параметр.

Для каждого участника A_i определяются секретные ключи С_1i, C_2i, …, C_ki и F_1i, F_2i, …, F_ki  Z*_n, где С_ij выбираются случайным образом, а F_ij вычисляются как F_ij=C_ij^-1 (mod n);

Пара (e,d): e=d^-1 (mod (n)) – ключи T, причем e – секретный, а d – открытый ключ.

Протокол голосования состоит в выполнении следующих шагов:

1. A_i: формирует k наборов сообщений вида:

B₁=(M₁₁, M₂₁, …, M_s1),

B₂=(M₁₂, M₂₂, …, M_s2),

…,

B_k=(M_1k, M_2k, …, M_sk).

Каждый набор содержит все возможные варианты ответов на опрос в произвольном порядке. Например, если в бюллетене 2 вопроса, предполагающие ответ 1 («да») или 0 («нет»), то два различных набора могут выглядеть так: B₁=(11, 10, 01, 00), B₂=(10, 00, 11, 01). Порядок сообщений в наборах должен быть произвольным, чтобы по местоположению сообщения в наборе нельзя было догадаться о его содержимом.

2. A_i: накладывает на каждый набор свой отдельный затемняющий множитель:

L₁=(H₁₁=C₁^d M₁₁ (mod n), …, H_s1=C₁^d M_s1 (mod n)),

L₂=(H₁₂=C₂^d M₁₂ (mod n), …, H_s2=C₂^d M_s2 (mod n)),

…,

L_k=(H_1k=C_k^d M_1k(mod n), …, H_s1=C_k^d M_sk (mod n));

3. A_iT: L₁, L₂, …, L_k;

4. TA_i: j{1, …, k} – номер сообщения, который T хочет подписать;

5. A_iT: F₁, …, F_j-1, F_j+1, …,F_k – раскрывает маскирующие множители, кроме j-го;

6. T: снимает маскирующие множители со всех сообщений, кроме j-го и проверяет правильность оформления этих сообщений;

7. TA_i: R_j=(Q_ij=H_ij^e (mod n),….,Q_sj=H_sj^e (mod n));

8. A_i: снимает с R_j маскирующий множитель:

(S_ij=F_jQ_1j (mod n),…, S_sj=F_jQ_sj (mod n));

9. A_i: выбирает из S_1j,…,S_sj ту подпись S_lj, которая соответствует нужному варианту голосования M_lj;

10. AiT: (M_lj, S_lj) – сообщение в открытом виде с подписью;

11. T: проверяет, что S_lj^dM_lj (mod n), если верно то учитывает голос.

Данный протокол обладает всеми свойствами идеального протокола, кроме свойства 3.