20. Слепая подпись
Слепая подпись (Blind Signature) — разновидность ЭЦП, особенностью которой является то, что подписывающая сторона не может точно знать содержимое подписываемого документа. Понятие слепой подписи придумано Дэвидом Чаумом
Описание
Основная идея слепых подписей заключается в следующем. Отправитель А посылает документ стороне В, который В подписывает и возвращает А. Используя полученную подпись, сторона А может вычислить подпись стороны В на более важном для себя сообщении t. По завершении этого протокола сторона В ничего не знает ни о сообщении t, ни о подписи под этим сообщением.
Эту схему можно сравнить с конвертом, в котором размещён документ и копировальный лист. Если подписать конверт, то подпись отпечатается на документе, и при вскрытии конверта документ уже будет подписан.
Цель слепой подписи состоит в том, чтобы воспрепятствовать подписывающему лицу В ознакомиться с сообщением стороны А, которое он подписывает, и с соответствующей подписью под этим сообщением. Поэтому в дальнейшем подписанное сообщение невозможно связать со стороной А.
Алгоритмы слепой подписи
Полностью слепая подпись
Дана ситуация: Боб - нотариус. Алисе нужно, чтобы он подписал документ не имея никакого представления о его содержании. Боб только заверяет, что документ нотариально засвидетельствован в указанное время. Тогда они действуют по следующему алгоритму:
Алиса берёт документ и умножает его на случайное число. Оно называется маскирующим множителем.
Алиса отсылает документ Бобу
Боб подписывает документ и отсылает обратно
Алиса удаляет маскирующий множитель и получает свой документ с подписью.
Этот протокол работает только если функции подписи и умножения коммутативны.
Слепая подпись
Боб готовит n документов на каждом из которых написано некоторое уникальное слово (чем больше n, тем меньше у Боба шансов смошенничать).
Боб маскирует каждый документ уникальным маскирующим множителем и отправляет их Алисе.
Алиса получает все документы и случайным образом выбирает n-1 из них.
Алиса просит Боба выслать маскирующие множители для выбранных документов.
Боб делает это.
Алиса вскрывает n-1 документов и убеждается что они корректны.
Алиса подписывает оставшийся документ и отсылает Бобу.
Теперь у Боба есть подписанный Алисой документ с уникальным словом, которое Алиса не знает.
Протокол RSA
Первая реализация слепых подписей была осуществлена Чаумом с помощью криптосистемы RSA:
Алиса
выбирает случайным образом число из
диапазона от 1 до n. Затем она маскирует
m, вычисляя: 
Боб
подписывает t: 
Алиса
снимает маскировку с td,
вычисляя 
Результатом
является 
Чаум придумал целое семейство более сложных алгоритмов слепой подписи под общим названием неожиданные слепые подписи. Их схемы ещё сложнее, но они дают больше возможностей.
Применение
Банковские системы
21. Протокол аутентификации без разглашения
Secure Remote Password Protocol (SRPP) — одно из последних пополнений в семействе протоколов аутентификации, устойчивых ко всем известным видам активных и пассивных сетевых атак. SRP берет некоторые элементы из других протоколов обмена ключами и идентификации, при этом внося небольшие усовершенствования и уточнения. В результате мы получаем протокол, сохраняющий стойкость и эффективность протоколов класса Encrypted key exchange, при этом избавляясь от некоторых их недостатков.
Протокол SRP позволяет пользователю идентифицировать себя на сервере, при этом не передавая своего пароля, то есть подтвердить тот факт, что он знает свой пароль, и только этот факт. Он имеет ряд полезных качеств:
-
устойчив к атакам перебора по словарю при прослушивании канала предохраняет прошедшие сессии и пароли от будущего разглашения
-
работает при условиях наличия канала, не только не защищенного от прослушивания, но и не защищенного от подмены
-
не требует наличия какого-либо дополнительного защищённого канала.
-
пользовательские пароли хранятся в формате, не эквивалентном открытому тексту пароля, так что злоумышленник, каким-либо образом получивший базу данных сервера, не может использовать её.
SRP эффективно реализует Доказательство с нулевым разглашением между пользователем и сервером, хранящим информацию о его пароле. При прослушивании за один раз злоумышленником может быть проверена только одна версия пароля, начиная с версии 6 данного протокола. Данный протокол имеет много ревизий, на данный момент последняя ревизия — 6a.
В результате работы данного протокола обе стороны получают длинный секретный ключ, проверяемый на соответствие между сторонами после получения. В случаях, когда помимо аутентификации необходимо шифрование данных, SRP предоставляет более надёжные, чем SSH, и более быстрые, чем Deffie-Hellman, средства для достижения этой цели. Протокол SRP версии 3 описывается в RFC 2945. SRP версии 6 также используется для аутентификации в SSL/TLS и других стандартах, таких как EAP и SAML, и в данный момент стандартизуется IEEE P1363 и ISO/IEC 11770-4.