Benutzer:Bananenfalter/Blinde Signatur

… digitale signatur…

Prinzip

Vollständig blinde Signaturen

…

Blinde Signaturen

…

Beispiel (RSA)

…

Anwendungen

…

Elektronisches Zahlungsmittel

…

Einzelnachweise

---

Notizen

Applied Cryptography

• Ziel: Dokumente signieren, ohne Inhalt zu kennen

Completely Blind Signatures

• Prinzip:
  1. Das Dokument wird vom Dokumenteninhaber mit einem zufälligen Faktor geblendet (blinding factor).
  2. Das geblendete Dokument wird dem Signierer übergeben, welcher es signiert.
  3. Der Dokumenteninhaber rechnet den Blendungsfaktor aus der Signatur heraus. Er erhält dadurch eine gültige Signatur für das Originaldokument, welche von einem Verifizier überprüft werden kann.
• Signierfunktion muss kommutativ bezüglich Multiplikation sein (auch andere Verfahren möglich, ohne Multiplikation)
• Sicherheit: Selbst wenn der Signierer irgendwann das signierte Originaldokument erhält, kann er dies nicht beweisbar einem geblendeten Dukument zuordnen, welches er signiert hat. (keine Informationen, die das Signieren des geblendeten Dokuments mit dem Originaldokument oder dessen Signatur verknüpfen)

Blind Signatures

• Problem (in manchen Anwendungsfällen): Dokumenteninhaber kann dem Signierer alles mögliche zum Signieren vorlegen.
• Cut-and-Choose-Verfahren:
  1. Der Dokumenteninhaber bereitet ${\displaystyle n}$  Dokumente der gleichen Art vor und blendet sie.
  2. Die Dokumente werden dem Signierer übergeben.
  3. Der Signierer wählt ${\displaystyle n-1}$  Dokumente zufällig und lässt sich den Blendungsfaktor aushändigen. Er rechnet den Blendungsfaktor aus den Dokumenten heraus und überprüft, ob er bereit wäre diese zu signieren.
  4. Wenn der Signierer die überprüften Dokumente akzeptiert, dann signiert er das verbleibende geblendete Dokument.
  5. Der Dokumenteninhaber rechnet den Blendungsfaktor aus der Signatur heraus. Er erhält dadurch eine gültige Signatur für das Originaldokument, welche von einem Verifizier überprüft werden kann.
• Sicherheit: um zu betrügen, müsste der Dokumenteninhaber das eine von ${\displaystyle n}$  Dokumenten manipulieren, welches der Signierer nicht prüft.
• Der Dokumenteninhaber könnte zu einem nicht erlaubtes Originaldokument zwei Blendungsfaktoren haben: den, welchen er verwendet um das nicht erlaubte Dokument zu verblenden und den, welchen er gegebenenfalls dem Signierer gibt um ein erlaubtes Originaldokument vorzutäuschen. Deshalb muss das konkrete mathematische Verfahren sicherstellen, dass es sehr schwer ist zwei derartige Blendungsfaktoren zu finden.

Chaum-Paper

• elektronisches Zahlungsmittel
• Ziel: Bank soll elektronisches Geld ausgeben und einlösen, ohne zu erfahren, wofür es ausgegeben wurde
  • Das Bezahlsystem sollte nicht offenbaren, wer bezahlt hat, wieviel von jemandem bezahlt wurde und wofür jemand bezahlt hat.
  • Bezahlung soll beweisbar sein. (Quittung)
  • elektronisches Geld, welches als gestohlen gemeldet wurde, kann als ungültig deklariert werden.
• Analogie: Briefumschlag enthält Scheck und Kohlepapier → Unterschrift auf dem Briefumschlag drückt durch das Kohlepapier auf den Scheck durch und macht diesen gültig.

Beispiel:

1. Der Käufer wählt eine Zufallszahl ${\displaystyle m}$  und blendet diese: ${\displaystyle c(m)}$ 
2. Er geht zu Bank und lässt sich die geblendete Zufallszahl signieren: ${\displaystyle s(c(m))}$  Eine bestimmte Signatur steht dabei für einen bestimmten Geldbetrag, z. B. ${\displaystyle s_{10{,}00}(c(m))}$  für 10 Euro.
3. Die Bank belastet das Konto des Käufers mit 10 Euro.
4. Der Käufer rechnet den Blendungsfaktor aus der Signatur heraus und erhält so die Signatur (im Wert von 10 Euro) für seine Zufallszahl: ${\displaystyle s_{10{,}00}(m)}$ 
5. Der Käufer bezahlt eine Ware, indem er dem Verkäufer die Signatur übergibt. Dieser kann die Echtheit der Banknote mit dem öffentlichen Verifikationsschlüssel der Bank überprüfen.
6. Der Verkäufer löst die Signatur bei der Bank ein, welche sie ebenfalls überprüft und ihm den Wert von 10 Euro gutschreibt. Die Zufallszahl ${\displaystyle m}$  wird von der Bank einer Liste hinzugefügt, damit die gleichen Signaturen nicht mehrfach eingelöst werden können.

Die Bank erfährt nicht, welchen Verkäufer der Käufer bezahlt hat, da die Banknote (Zufallszahl) zum Zeitpunkt des Signierens geblendet war. Das Konto des Käufers wurde bereits zum Zeitpunkt des Signierens belastet, so dass kein Zusammenhang zur Gutschrift auf das Verkäuferkonto besteht.

Beispiel mit RSA

Um Signaturen zu erzeugen kann zum Beispiel der RSA-Algorithmus genutzt werden. Durch seine multiplikativen Eigenschaften ist er für blinde Signaturen besonders geeignet, wie das folgende Beispiel zeigt:

Dokumenteninhaber (Alice):

${\displaystyle m}$  … Nachricht (Dokument)

Signierer (Trent):

${\displaystyle n}$  … öffentlicher Modul

${\displaystyle s}$  … privater Signierexponent (sign)

${\displaystyle t\equiv s^{-1}{\pmod {\phi (n)}}}$  … öffentlicher Verifikationsexponent (test)

Alice wählt einen zufälligen Faktor ${\displaystyle k}$ , wobei ${\displaystyle 1<k<n}$  und berechnet:

${\displaystyle x=mk^{t}\mod n}$ 

Trent signiert ${\displaystyle x}$ :

${\displaystyle x^{s}=(mk^{t})^{s}\mod n}$ 

Alice entfernt den Blendfaktor und berechnet die Signatur:

${\displaystyle sig=x^{s}\cdot k^{-1}\mod n}$ 

Im letzen Schritt entsteht tatsächlich die Signatur für die Originalnachricht ${\displaystyle m}$ , denn

${\displaystyle sig\equiv x^{s}\cdot k^{-1}\equiv (mk^{t})^{s}\cdot k^{-1}\equiv m^{s}\cdot k\cdot k^{-1}\equiv m^{s}{\pmod {n}}}$ .

Anwendung

• Notar
• Bezahlsysteme: Elektronisches Geld
• E-Voting

Links

• http://www.hit.bme.hu/~buttyan/courses/BMEVIHI5316/Chaum.BlindSigForPayment.1982.PDF – Originalpaper

Wiki-Artikel, die es benutzen

• Digitale Signatur
• Internetwahl