Sistemul electronic de plată Brands

Σχετικά έγγραφα
riptografie şi Securitate

Metode iterative pentru probleme neliniare - contractii

Criptosisteme cu cheie publică III

Curs 10 Funcţii reale de mai multe variabile reale. Limite şi continuitate.

Curs 14 Funcţii implicite. Facultatea de Hidrotehnică Universitatea Tehnică "Gh. Asachi"

5. FUNCŢII IMPLICITE. EXTREME CONDIŢIONATE.

Analiza în curent continuu a schemelor electronice Eugenie Posdărăscu - DCE SEM 1 electronica.geniu.ro

riptografie şi Securitate

Asupra unei inegalităţi date la barajul OBMJ 2006

Curs 4 Serii de numere reale

V.7. Condiţii necesare de optimalitate cazul funcţiilor diferenţiabile

(a) se numeşte derivata parţială a funcţiei f în raport cu variabila x i în punctul a.

Planul determinat de normală şi un punct Ecuaţia generală Plane paralele Unghi diedru Planul determinat de 3 puncte necoliniare

DISTANŢA DINTRE DOUĂ DREPTE NECOPLANARE

Metode de interpolare bazate pe diferenţe divizate

a n (ζ z 0 ) n. n=1 se numeste partea principala iar seria a n (z z 0 ) n se numeste partea

Curs 1 Şiruri de numere reale

5.5. REZOLVAREA CIRCUITELOR CU TRANZISTOARE BIPOLARE

Lucrare. Varianta aprilie I 1 Definiţi noţiunile de număr prim şi număr ireductibil. Soluţie. Vezi Curs 6 Definiţiile 1 şi 2. sau p b.

SERII NUMERICE. Definiţia 3.1. Fie (a n ) n n0 (n 0 IN) un şir de numere reale şi (s n ) n n0

Functii definitie, proprietati, grafic, functii elementare A. Definitii, proprietatile functiilor X) functia f 1

MARCAREA REZISTOARELOR

SEMINAR 14. Funcţii de mai multe variabile (continuare) ( = 1 z(x,y) x = 0. x = f. x + f. y = f. = x. = 1 y. y = x ( y = = 0

Seminariile Capitolul X. Integrale Curbilinii: Serii Laurent şi Teorema Reziduurilor

Functii definitie, proprietati, grafic, functii elementare A. Definitii, proprietatile functiilor

Sisteme diferenţiale liniare de ordinul 1

III. Serii absolut convergente. Serii semiconvergente. ii) semiconvergentă dacă este convergentă iar seria modulelor divergentă.

Cursul Măsuri reale. D.Rusu, Teoria măsurii şi integrala Lebesgue 15

1.7. AMPLIFICATOARE DE PUTERE ÎN CLASA A ŞI AB

Integrala nedefinită (primitive)

Examen AG. Student:... Grupa: ianuarie 2016

Examen AG. Student:... Grupa:... ianuarie 2011

III. Reprezentarea informaţiei în sistemele de calcul

Subiecte Clasa a VIII-a

COLEGIUL NATIONAL CONSTANTIN CARABELLA TARGOVISTE. CONCURSUL JUDETEAN DE MATEMATICA CEZAR IVANESCU Editia a VI-a 26 februarie 2005.

Problema a II - a (10 puncte) Diferite circuite electrice

Esalonul Redus pe Linii (ERL). Subspatii.

8 Intervale de încredere

Functii Breviar teoretic 8 ianuarie ianuarie 2011

a. 11 % b. 12 % c. 13 % d. 14 %

1.3 Baza a unui spaţiu vectorial. Dimensiune

Subiecte Clasa a VII-a

Capitolul 4 PROPRIETĂŢI TOPOLOGICE ŞI DE NUMĂRARE ALE LUI R. 4.1 Proprietăţi topologice ale lui R Puncte de acumulare

O generalizare a unei probleme de algebră dată la Olimpiada de Matematică, faza judeţeană, 2013

Curs 2 Şiruri de numere reale

2.1 Sfera. (EGS) ecuaţie care poartă denumirea de ecuaţia generală asferei. (EGS) reprezintă osferă cu centrul în punctul. 2 + p 2


Principiul Inductiei Matematice.

5.4. MULTIPLEXOARE A 0 A 1 A 2

Seminar 5 Analiza stabilității sistemelor liniare

R R, f ( x) = x 7x+ 6. Determinați distanța dintre punctele de. B=, unde x și y sunt numere reale.

Definiţia generală Cazul 1. Elipsa şi hiperbola Cercul Cazul 2. Parabola Reprezentari parametrice ale conicelor Tangente la conice

BARAJ DE JUNIORI,,Euclid Cipru, 28 mai 2012 (barajul 3)

Conice - Câteva proprietǎţi elementare

Tranzistoare bipolare şi cu efect de câmp

Sisteme liniare - metode directe

EDITURA PARALELA 45 MATEMATICĂ DE EXCELENŢĂ. Clasa a X-a Ediţia a II-a, revizuită. pentru concursuri, olimpiade şi centre de excelenţă

VII.2. PROBLEME REZOLVATE

Lectia VI Structura de spatiu an E 3. Dreapta si planul ca subspatii ane

Fig Impedanţa condensatoarelor electrolitice SMD cu Al cu electrolit semiuscat în funcţie de frecvenţă [36].

2 Transformări liniare între spaţii finit dimensionale

Capitolul 4. Integrale improprii Integrale cu limite de integrare infinite

prin egalizarea histogramei

Rădăcini primitive modulo n

Aplicaţii ale principiului I al termodinamicii la gazul ideal

Laborator 11. Mulţimi Julia. Temă

Metode Runge-Kutta. 18 ianuarie Probleme scalare, pas constant. Dorim să aproximăm soluţia problemei Cauchy

Să se arate că n este număr par. Dan Nedeianu

9 Testarea ipotezelor statistice

Progresii aritmetice si geometrice. Progresia aritmetica.

2. Circuite logice 2.4. Decodoare. Multiplexoare. Copyright Paul GASNER

7 Distribuţia normală

Ovidiu Gabriel Avădănei, Florin Mihai Tufescu,

Câmp de probabilitate II

CURS XI XII SINTEZĂ. 1 Algebra vectorială a vectorilor liberi

GEOMETRIE PLANĂ TEOREME IMPORTANTE ARII. bh lh 2. abc. abc. formula înălţimii

2. Sisteme de forţe concurente...1 Cuprins...1 Introducere Aspecte teoretice Aplicaţii rezolvate...3

Statisticǎ - curs 3. 1 Seria de distribuţie a statisticilor de eşantioane 2. 2 Teorema limitǎ centralǎ 5. 3 O aplicaţie a teoremei limitǎ centralǎ 7

* K. toate K. circuitului. portile. Considerând această sumă pentru toate rezistoarele 2. = sl I K I K. toate rez. Pentru o bobină: U * toate I K K 1

Orice izometrie f : (X, d 1 ) (Y, d 2 ) este un homeomorfism. (Y = f(x)).

Concurs MATE-INFO UBB, 1 aprilie 2017 Proba scrisă la MATEMATICĂ

6 n=1. cos 2n. 6 n=1. n=1. este CONV (fiind seria armonică pentru α = 6 > 1), rezultă

Ecuaţia generală Probleme de tangenţă Sfera prin 4 puncte necoplanare. Elipsoidul Hiperboloizi Paraboloizi Conul Cilindrul. 1 Sfera.

a. Caracteristicile mecanice a motorului de c.c. cu excitaţie independentă (sau derivaţie)

Vectori liberi Produs scalar Produs vectorial Produsul mixt. 1 Vectori liberi. 2 Produs scalar. 3 Produs vectorial. 4 Produsul mixt.

CIRCUITE LOGICE CU TB

SEMINARUL 3. Cap. II Serii de numere reale. asociat seriei. (3n 5)(3n 2) + 1. (3n 2)(3n+1) (3n 2) (3n + 1) = a

Matrice. Determinanti. Sisteme liniare

Ecuatii exponentiale. Ecuatia ce contine variabila necunoscuta la exponentul puterii se numeste ecuatie exponentiala. a x = b, (1)

Prelegerea 10. Sistemul de criptare RSA Descrierea sistemului RSA

Cum folosim cazuri particulare în rezolvarea unor probleme

Seminar Algebra. det(a λi 3 ) = 0

I3: PROBABILITǍŢI - notiţe de curs

Exemple de probleme rezolvate pentru cursurile DEEA Tranzistoare bipolare cu joncţiuni

z a + c 0 + c 1 (z a)


14. Grinzi cu zăbrele Metoda secţiunilor...1 Cuprins...1 Introducere Aspecte teoretice Aplicaţii rezolvate...3

Subiecte Clasa a V-a

Ecuatii trigonometrice

CONCURSUL INTERJUDEȚEAN DE MATEMATICĂ TRAIAN LALESCU, 1998 Clasa a V-a

Transcript:

83 Prelegerea 7 Sistemul electronic de plată Brands 7.1 O scurtă prezentare a sistemelor de plată electronice off-line Prima şi cea mai simplă schemă a fost definită de Chaum, Fiat şi Naor. Prezentăm, pe scurt, ideea acestui protocol. Fie n, p, q, a, b parametrii sistemului RSA şi f o funcţie de dispersie fără coliziuni tari. O monedă electronică de o valoare fixată d este reprezentată sub forma (x, (f(x)) b (mod n) cu x ales aleator. Pentru fiecare valoare a unei monezi trebuie folosit un alt exponent de criptare b şi un exponent de decriptare corespunzator a. Identitatea utilizatorului trebuie inclusă în moneda electronică asfel încât dacă moneda este folosită corect, identitatea nu poate fi dedusă; alfel identitatea poate fi calculată. Pentru aceasta este folosită o tehnică numită Cut-and-Choose: când U doreşte să extragă o monedă din bancă, construieşte un mesaj format din k perechi de numere (k este numărul de candidaţi). Aceste numere au proprietatea că dintr-o pereche se poate calcula identitatea lui U (de exemplu printr-un simplu XOR între cele două numere ale perechii), iar având la dispoziţie un singur număr din fiecare pereche nu se poate deduce nici o informaţie. U concatenează cei k candidaţi şi obţine o semnătură blind de la B asupra mesajului trimis cu protocolul de semnătură blind RSA. În momentul în care U doreşte să folosească moneda la magazinul S, primeşte o provocare de la S de k biţi aleatori. Pentru fiecare bit, U răspunde cu primul număr al perechii corespunzătoare numărului bitului (dacă bitul este 0) sau cu al doilea număr dacă bitul este 1. (De exemplu, dacă provocarea este 0110..., U răspunde cu primul număr din prima pereche, al doilea număr din a doua pereche, al doilea număr din a treia pereche etc). Când S depozitează moneda la bancă, îi trimite lui B provocarea împreună cu numerele trimise de U. B păstrează într-o bază de date moneda împreună cu provocarea şi răspunsul lui U. Dacă U încearcă refolosirea monezii, primeşte o nouă provocare aleatoare de k biţi, care diferă de prima în cel puţin un bit cu o probabilitate destul de mare (1 1 ). Astfel pentru 2k bitul care diferă, U va revela ambele numere ale perechii corespunzătoare. Acum banca poate calcula din cele două numere identitatea lui U.

84 PRELEGEREA 7. SISTEMUL ELECTRONIC DE PLATĂ BRANDS Deşi este conceptual simplă, această schemă nu este eficientă, deoarece fiecare monedă trebuie însoţită de 2k numere mari. Modelul Chaum-Fiat-Naor satisface primele patru proprietăţi definite în prelegerea anterioară. Okamoto şi Ohta au descris un sistem universal de plată care satisface toate cele şase proprietăţi, dar din păcate este ineficient din punct de vedere al dimensiunii mesajelor transmise. În schimb ei au avut ideea de a introduce proprietatea de divizibilitate a monezilor electronice. Pentru fiecare monedă de valoare d se asociază un arbore binar etichetat astfel: nodul rădăcină (de nivel 0) are valoarea d, cele două noduri de pe nivelul 1 au etichetele d/2 şi în general nodurile de pe nivelul k sunt etichetate cu d 2 k. Dacă d = 2s, arborele are s + 1 nivele, cu frunzele având valoarea minimă 1. Orice sumă mai mică decât d poate fi folosită după următoarele reguli: 1. Odată ce un nod este folosit, toţi succesorii şi predecesorii săi nu vor putea fi folosiţi la o plată viitoare; 2. Nici un nod nu poate fi folosit mai mult decât o dată. Aceste două reguli asigură folosirea unui singur nod pentru orice drum de la rădăcină la o frunză, ceea ce face imposibilă folosirea unei valori mai mari decât valoarea rădăcinii d. Exemplul 7.1 Să presupunem că U are o monedă în valoare de 4 unităţi. Se construieşte arborele binar: Γ 0 4 Γ 00 2 2 Γ 01 1 1 1 1 Γ 000 Γ 001 Γ 010 Γ 011 Pentru a realiza o plată de 3 unităţi, U foloseşte Γ 00 şi Γ 010. Singurul nod care poate fi utilizat la o plată viitoare este Γ 011 în valoare de o unitate. Dacă cel puţin una din cele două reguli este încălcată, atunci exista un drum de la radacina la o frunza pe care s-au folosit 2 noduri si se va putea determina identitatea lui U. Mai exact, fiecare utilizator U are o valoare secretă s care relevă identitatea sa, iar fiecare nod i al arborelui are asignată o valoare secretă t i. Se construieşte dreapta y = sx + t i pentru fiecare nod i. Când se face o plată utilizând un nod particular n, U va revela t i pentru toţi i predecesori ai lui n. Magazinul S va trimite o provocare x 1 la care U raspunde cu y 1 = sx 1 +t n. Dacă acelaşi nod n este folosit a doua oară, U primeşte încă o provocare x 2 la care răspunde cu y 2 = sx 2 + t n, deci U a revelat două puncte (x 1, y 1 ), (x 2, y 2 ) ale dreptei y = sx + t n, de unde se poate calcula s şi apoi identitatea lui U. Dacă se folosesc două noduri n şi m de pe acelaşi drum de la rădăcină la o frunză, presupunem că n este succesor al lui m. Când se foloseşte nodul n se relevă t m ; apoi dacă se foloseşte nodul m U răspunde la provocarea x 1 a lui S cu y 1 = sx 1 + t m. Deci şi în acest caz S poate calcula s şi identitatea lui U. Un alt dezavantaj al acestei scheme ar fi că se pot realiza legături între plăţi, adică se poate deduce dacă două plăţi provin din aceeaşi monedă şi deci, de la aceeaşi persoană.

7.2. INIŢIALIZAREA SISTEMULUI BRANDS 85 Protocoalele discutate până acum pot să detecteze identitatea utilizatorilor necinstiţi, fără însă a putea preveni utilizarea unei monezi de două ori. Singurul mod prin care s-ar putea realiza acest lucru este prin încorporarea unei componente hardware (chip sau smart card) în calculatorul utilizatorului, cu rolul de observator al tuturor plăţilor. În plus, nici un protocol de plată al utilizatorlui nu poate fi efectuat fără o informaţie secretă deţinută de observator. Astfel, observatorul autorizează şi participă activ la toate tranzacţiile. Totuşi, se poate întâmpla ca utilizatorul să reuşească printr-o modalitate oarecare să afle informaţia secretă a observatorului. În acest caz sistemul trebuie să asigure detectarea utilizatorului care a comis frauda, la fel ca în primele protocoale discutate. Cele mai cunoscute şi utilizate protocoale de plată off-line cu monezi electronice aparţin lui Ştefan Brands. Primul sistem real de tip off-line, numit DigiCash, se bazează în totalitate pe aceste protocoale. 7.2 Iniţializarea sistemului Brands Se caută două numere prime mari p şi q cu proprietatea q p 1 (p şi q sunt alese la fel ca în schema de identificare Schnorr) şi H o funcţie de dispersie fără coliziuni tari. Se generează un subgrup G q de ordin q al lui Z p (aici se vor efectua toate calculele din sistem). Iniţializarea sistemului constă în generarea de către bancă a următoarelor cinci numere distincte: 1. g G q, x Z q ; se calculează h = g x (mod q). Tuplul generator (g, h) G q G q constituie cheia publică a băncii, iar x Z q cheia secretă. 2. Un tuplu generator (g 1, g 2 ) cu g 1, g 2 G q. 3. Un generator d G q. Vom presupune pentru început că există în sistem monezi de o singură valoare, apoi vom arăta cum se pot introduce monezi de valori diferite. Securitatea acestei scheme constă în alegerea numerelor g, h, g 1, g 2, d astfel încât nici un utilizator să nu poată exprima oricare din aceste numere ca o combinaţie de puteri ale celorlalte. Acest lucru este din punct de vedere al complexităţii la fel de dificil ca şi găsirea unei reprezentări netriviale a lui 1 în raport cu (g, h, g 1, g 2, d) o problemă NP-completă pentru p şi q convenabil alese (prelegerea precedentă). Când utilizatorul U îşi deschide un cont în bancă, el generează aleator numerele u 1, u 2 Zq şi calculează I = g u 1 1 g u 2 2 (mod p). (u 1, u 2 ) va constitui cheia secretă a lui U, iar I G q va fi pseudonimul folosit de B pentru identitatea reală a lui U. B stochează într-o bază de date identitatea reală a lui U, numărul contului său şi I. Este important ca U să cunoască o singură reprezentare a lui I în raport cu (g 1, g 2 ). Dacă U utilizează o monedă de două ori, B poate să determine (u 1, u 2 ). O monedă electronică este reprezentată sub forma (m, sig K (m)) cu anumite restricţii asupra lui m, după cum vom vedea in continuare.

86 PRELEGEREA 7. SISTEMUL ELECTRONIC DE PLATĂ BRANDS 7.3 Tehnici pentru crearea sistemului 7.3.1 Protocolul de semnătură Chaum - Pedersen Protocolul de semnătură Chaum - Pedersen este un protocol de tip Schnorr. Fie m G q mesajul care trebuie semnat. Presupunem că U doreşte o semnătură de la B asupra lui m. Paşii protocolului sunt următorii: 1. B generează aleator w Z q şi trimite lui U numerele z = m x (mod p), a = g w (mod p) şi b = m w (mod p). 2. U generează aleator provocarea c = H(m z a b) şi o trimite lui B. 3. B răspunde cu r = w + cx (mod q). 4. U acceptă dacă şi numai dacă h c a = g r (mod p) şi z c b = m r (mod p). (de verificat; nu coincide cu pag 22 din licenta) Se observă ca singura diferenţă faţă de schema lui Schnorr este trimiterea la pasul 1 a încă două numere: z şi b. sig K (m) = (z, a, b, r) va constitui semnătura asupra mesajului m. Formal, protocolul de semnatura Chaum-Pedersen este: P =G q, A =G 3 q Z q, K= {(p, q, g, h, x) p, q prime, q p 1, h = g x (mod p)}. Cheia (p, q, g, h) este publică, iar x este secretă. K K, m G q şi w Z q aleator, definim sig K (m, w) = (z, a, b, r), unde z = m x (mod p), a = g w (mod p), b = m w (mod p), c = H(m z a b), r = w + cx (mod q). ver K (m, (z, a, b, r)) = T h c a = g r (mod p), z c b = m r (mod p). Dacă U şi B urmează protocolul, după primii 3 paşi avem: g r = g w+cx = (g x ) c g w = h c a (mod p), m r = m w+cx = (m x ) c m w = z c b (mod p), deci U acceptă în pasul 4. 7.3.2 Protocolul restrictiv de semnătură blind Chaum - Pedersen În această secţiune descriem o variantă simplificată a schemei de semnătură blind folosită în protocolul de extragere. Pentru a transforma protocolul de semnătură Chaum - Pedersen într-un protocol de semnătură blind, U trebuie să obţină un nou mesaj m şi noile numere a, b, z, c = H(m z a b ). B răspunde cu r, pe care U îl transformă în r astfel încât (z, a, b, r ) să fie o semnătură validă asupra lui m. Protocolul este următorul:

7.3. TEHNICI PENTRU CREAREA SISTEMULUI 87 1. B generează aleator w Z q şi trimite lui U valorile z = m x (mod p), a = g w (mod p) şi b = m w (mod p). 2. U generează aleator trei numere s Z q, u, v Z q, apoi calculează: m = m s (mod p), w = uw + v (mod q), a = a u g v = g w (mod p), b = a us (m ) v = (m ) w (mod p), z = z s = (m ) x (mod p), c = H(m z a b ) şi trimite lui B numărul c = c u 1 (modq). 3. B răspunde cu r = w + cx (mod q). 4. U acceptă dacă şi numai dacă h c a = g r (mod p) şi z c b = m r (mod p). Se observă că (z, a, b, r) nu este o semnătură validă asupra lui m deoarece r este un răspuns la o provocare diferită de H(m z a b). Dar U poate calcula r = ur + v (mod q) şi obţine sig K (m ) = (z, a, b, r ), o semnătură validă asupra lui m. Semnătura poate fi verificată de oricine. U acceptă la pasul 4 deoarece relaţiile sunt verificate la fel ca în protocolul anterior. Propoziţia 7.1 Daca r = ur + v (mod q), atunci (z, a, b, r ) constituie o semnătură validă asupra lui m. Demonstraţie: { h Pentru K = (p, q, g, h, x, w), ver K (m, (z, a, b, r c a )) = T = g r (mod p) (z ) c b = (m ) r (mod p) Dar r = ur+v = u(w+cx)+v (mod p) = g r = g u(w+cx)+v = g ucx g v+uw = (g x ) uc g w = h c a (mod p) şi (m ) r = (m ) ucx (m ) uw+v = (m ) xc (m ) w = (z ) c b (mod p), deci sig K (m ) = (z, a, b, r ). Protocolul este de tip blind deoarece B nu cunoaşte m, mesajul pentru care U a obţinut o semnătură. Propoziţia 7.2 1. Dacă U urmează protocolul pas cu pas, atunci perechea (m, sig K (m )) nu poate fi legată de nici o execuţie specifică a protocolului. 2. Chiar dacă B află m, reprezentarea (s, t) a lui m în raport cu (m, g) cunoscută de U îi este ascunsa lui B în setul tuturor reprezentărilor lui m. Demonstratie: La finalul protocolului, B este în posesia următoarelor informaţii: w, z, a, b, c. Arătăm că există q alegeri posibile pentru (s, u, v) care produc în final aceeaşi pereche (m, sig K (m )). Fie s Z q fixat (sunt posibile q 1 alegeri pentru s) şi m, sig K (m ) = (z, a, b, r ) fixate. Să analizăm în câte moduri putem alege u, v. Se calculează în mod unic c = H(m z a b ) (mod q). Deci uc = c (mod q) = u = c c 1 (mod q), deci şi u este unic determinat.

88 PRELEGEREA 7. SISTEMUL ELECTRONIC DE PLATĂ BRANDS r = ur + v = u(w + cx) + v = uw + c x + v (mod q) = v = r uw c x (mod q). Să arătăm că u şi v astfel determinate verifică relaţiile pentru a şi b. a u g v = a u g r uw c x = a u g r (g w ) u (g x ) c = a u h c a a u h c = a (mod p) (m ) w = (m ) uv+w = b us (m ) v = b us (m ) r uw c x = (m w ) us (m ) r (m ) uw ((m ) x ) c = m wus (z ) c b (m s ) uw (z ) c = b (mod p) Am demonstrat asfel că există exact q 1 alegeri pentru (s, u, v) care produc aceeasi pereche (m, sig K (m )), deci B nu realizează în care execuţie specifică a protocolului s-a semnat mesajul m. 7.3.3 Generarea aleatoare a unei reprezentari În faza de iniţializare a sistemului, U trebuie să genereze un tuplu (u 1, u 2 ) pentru a-şi deschide un cont în bancă şi a calcula pseudonimul său I = g u 1 1 g u 2 2 (mod p). Banca trebuie să se asigure că U nu cunoaşte două reprezentări ale lui I în raport cu (g 1, g 2 ). Prin următorul protocol U şi B generează împreuna un număr aleator h Z q şi o reprezentare a acestuia în raport cu tuplul generator (g 1,..., g k ). 1. U generează aleator tuplul (x 1,..., x k+1 ) şi trimite lui B h = 2. B trimite lui U un tuplu ales aleator (y 1,..., y k ). k+1 i=1 g x i i (mod p). 3. U trimite x k+1 lui B. Dacă U a fost corect la pasul 3, (x 1 + y 1,..., x k + y k ) este o reprezentare a lui h = h g x k k+1 k+1 ( g y i i ) (mod p) în raport cu (g 1,..., g k ). i=1 Într-adevăr, g x 1+y 1 1... g x k+y k k = k i=1 g x i i k i=1 7.4 Sistemul de bază Brands g y i i = h g x k+1 k+1 k i=1 g y i i = h (mod p). În această secţiune sunt descrise cele trei protocoale care formează sistemul de bază: protocolul de extragere a monezilor electronice, protocolul de plată şi protocolul de depozit. Se presupune că în sistem există monezi de o unică valoare. Ulterior vom arăta cum se pot introduce în sistem monezi de diferite valori. 7.4.1 Protocolul de extragere a monezilor Dacă utilizatorul U având identitatea I = g u 1 1 g u 2 2 (mod p) doreşte să extragă o monedă din contul său, mai întâi trebuie să convingă banca că într-adevăr el este posesorul contului de unde se face extragerea. Pentru aceasta U şi B vor executa protocolul din prelegerea anterioară, prin care U îi demonstrează lui B cunoaşterea unei reprezentări a lui I în raport cu (g 1, g 2 ), fără a o revela.

7.4. SISTEMUL DE BAZĂ BRANDS 89 Pentru fiecare extragere a unei monezi, este executat următorul protocol: 1. U îi demonstrează lui B cunoaşterea reprezentării (u 1, u 2 ) a lui I în raport cu (g 1, g 2 ) prin protocolul din prelegerea anterioară. 2. B realizează următoarele operaţii: (a) extrage din contul lui U valoarea fixată a monezii; (b) calculează m = Id (mod p); (c) generează aleator w Z q ; (d) trimite lui U: z = m x (mod p), a = g w (mod p) şi b = m w (mod p). 3. U realizează următoarele operatîi: (a) calculează m = Id (mod p); (b) generează aleator s Z q, u, v Z q ; (c) calculează: m = m s = I s d s = g u 1s 1 g u 2s 2 d s (mod p), z = z s (mod p), w = uw + v (mod q), a = a u g v = g w (mod p), b = b us (m ) v = (m ) w (mod p); (d) determină aleator a descompunere a lui m in A şi B (m = AB (mod p)) astfel: determină aleator fiecare din numerele u 1 s, u 2 s ca sumă de două numere: u 1 s = x 1 + x 2 (mod q), u 2 s = y 1 + y 2 (mod q), s = z 1 + z 2 (mod q), apoi calculează A = g x 1 1 g y 1 2 d z 1 (mod p) şi B = g x 2 (mod p); (e) calculeaza c = H(m z a b A); (f) trimite lui B mesajul c = c u 1 (mod q). 4. B răspunde cu r = cx + w (mod q). 5. U acceptă dacă şi numai dacă g r = h c a (mod p), m r = z c b (mod p). În final, U calculează r = ru + v (mod q). Conform propoziţiilor 7.1 şi 7.2, în final U este în posesia unui mesaj semnat (A, B, sig K (A, B)) = (z, a, b, r ) care nu poate fi legat de nici o execuţie specifică a protocolului. În plus, m = AB (mod p). Descompunerea lui m în A şi B a fost făcuta pentru ca U să poate să demonstreze în protocolul de plată identitatea sa, fără a o dezvălui. Dacă U urmează protocolul, atunci se va afla în final în posesia reprezentărilor lui m, A, B în raport cu (g 1, g 2, d) care sunt (u 1 s, u 2 s, s), (x 1, y 1, z 1 ) şi respectiv (x 2, y 2, z 2 ). Din Corolarul?.1 (prelegerea precedentă), U nu poate afla două reprezentări ale lui m în timp polinomial. Cum (x 1 + x 2, y 1 + y 2, z 1 + z 2 ) este de asemenea o reprezentare a lui m rezultă că trebuie îndeplinite simultan condiţiile (toate modulo q): u 1 s = x 1 + x 2, u 2 s = y 1 + y 2, s = z 1 + z 2. Faptul că U acceptă în pasul 5 se deduce similar protocolului din?.3.2.

90 PRELEGEREA 7. SISTEMUL ELECTRONIC DE PLATĂ BRANDS 7.4.2 Protocolul de plată Când U doreşte să folosească o monedă la magazinul S este executat următorul protocol: 1. U îi trimite lui S: A = g x 1 1 g y 1 2 d z 1 (mod p), B = g x 2 (mod p), sig K (A, B) = (z, a, b, r ). (Dacă în sistem sunt monezi de valori diferite U trebuie să trimită şi valoarea monezii.) 2. S se asigură că AB 1. Apoi el verifică semnătura băncii: { g ver K (m, sig K (m r = h )) = T c a (mod p) (m ) r = (z ) c b (mod p) cu c = H(AB z a b A). Dacă relaţiile sunt îndeplinite, S este convins că moneda a fost emisă de bancă şi trimite lui U o provocare c Z q \ {1}. 3. U răspunde cu r 1 = x 1 + cx 2, r 2 = y 1 + cy 2, r 3 = z 1 + cz 2 (toate calculele sunt modulo q). 4. S acceptă dacă şi numai dacă g r 1 = AB c (mod p). Teorema 7.1 1. (Completitudinea) Dacă U urmează protocolul pas cu pas şi protocolul de extragere a monezii a fost executat corect, atunci S acceptă la pasul 4. 2. (Consistenţa) Dacă U nu cunoaşte câte o reprezentare a lui A, respectiv B în raport cu (g 1, g 2, d), atunci nu există strategie pentru el astfel încât S să accepte cu o probabilitate de succes ne-neglijabilă. 3. (Ascunderea informaţiei) Chiar dacă S dispune de o putere de calcul nelimitată, iar U şi S execută protocolul pas cu pas, S nu va reuşi să afle în final identitatea lui U cu o probabilitate ne-neglijabilă. Demonstraţie: 1. Dacă protocolul este executat pas cu pas, la pasul 4 avem: g r 1 = g x 1+cx 2 1 g y 1+cy 2 2 d z 1+cz 2 = g x 1 1 g y 1 2 d z 1 (g x 2 ) c = AB c (mod p), deci S acceptă. 2. U ar trebui să determine numerele r 1, r 2, r 3 Z q asfel încât g r 1 = AB c (mod p), ceea ce este echivalent cu determinarea unei reprezentări a lui AB c în raport cu (g 1, g 2, d), care este o problemă pe care U nu o poate rezolva în timp polinomial. Astfel, se deduce un lucru foarte important pentru securitatea sistemului:

7.4. SISTEMUL DE BAZĂ BRANDS 91 S acceptă U cunoaşte câte o reprezentare a lui A şi B în raport cu (g 1, g 2, d) şi este cinstit = U cunoaşte o reprezentare a lui m în raport cu (g 1, g 2, d). Deci, dacă U nu cunoaşte o reprezentare a lui m în raport cu (g 1, g 2, d), nu are nici o şansa să-l facă pe S să accepte la pasul 4. 3. La sfârşitul protocolului, S se află în posesia următoarelor informaţii: A, B, z, a, b, r, c, r 1, r 2, r 3. Considerăm sistemul (întâi cu necunoscutele u 1, u 2, s, r 1, r 2, r 3, iar a doua oară cu necunoscutele x 1, x 2, y 1, y 2, z 1, z 2 ): { x1 + x 2 = u 1 s y 1 + y 2 = u 2 s z 1 + z 2 = s x 1 + cx 2 = r 1 y 1 + cy 2 = r 2 z 1 + cz 2 = r 3 (toate ecuaţiile sunt scrise modulo q). Din acest sistem se deduce că problema determinării lui (u 1, u 2 ) este echivalentă cu problema determinării numerelor: x 1, x 2, y 1, y 2, z 1, z 2. Informaţiile pe care S le are despre x 1, x 2, y 1, y 2, z 1, z 2 sunt: x 1 + cx 2 = r 1 (mod q) (1) A = g x 1 1 g y 1 2 d z 1 (mod p) (4) y 1 + cy 2 = r 2 (mod q) (2) B = g x 2 (mod p) (5) z 1 + cz 2 = r 3 (mod q) (3) g r 1 = AB c (mod p) (6) (1) x 1 = r 1 cx 2 (mod q), (2) y 1 = r 2 cy 2 (mod q), (3) z 1 = r 3 cz 2 (mod q) Înlocuind x 1, y 1, z 1 în (4) şi folosind (6) rezultă: A = g r 1 cx 2 cy 2 cz 2 (mod p) g r 1 = A(g x 2 ) c (mod p) g x 2 = (A 1 g r 1 ) 1 c = B (mod p). (7) Relatia (7) este echivalentă cu (5), ceea ce demonstrează că din relaţiile (1),(2) şi (3) nu se obţine nici o informaţie în plus, deci (4) şi (5) sunt de fapt singurele informaţii esenţiale pe care S le are despre x 1, x 2, y 1, y 2, z 1, z 2. De aici rezultă că determinarea lui (x 1, y 1, z 1 ) este echivalentă cu determinarea unei reprezentări a lui A în raport cu (g 1, g 2, d), iar determinarea lui (x 2, y 2, z 2 ) este echivalentă cu determinarea unei reprezentări a lui B. Dacă dispune de o putere de calcul nelimitată, S poate determina o reprezentare a lui A şi o reprezentare a lui B în raport cu (g 1, g 2, d). Probabilitatea ca aceste reprezentări să fie egale cu cele cunoscute de U este 1 1 q 2 q = 1 din Propoziţia?.2 (prelegerea anterioară). 2 q4 Deci probabilitatea ca S să afle identitatea lui U după executarea protocolului este 1 q 4. 7.4.3 Protocolul de depozit După un anumit interval de timp, toate magazinele depozitează la bancă monezile electronice primite de la clienţi. Protocolul executat de un magazin S cu banca pentru trimiterea fiecărei monezi este următorul:

92 PRELEGEREA 7. SISTEMUL ELECTRONIC DE PLATĂ BRANDS 1. S şi B urmează protocolul provocare/raspuns (prelegerea anterioară) prin care S demonstrează cunoaşterea reprezentării identităţii sale în raport cu (g 1, g 2 ). 2. S trimite lui B mesajele A, B, sig K (A, B), c, r 1, r 2, r 3. 3. B verifică validitatea semnăturii sig K (A, B), stochează A, B, sig K (A, B), c, r 1, r 2, r 3 într-o bază de date şi creditează contul lui S cu valoarea monezii. Teorema 7.2 Dacă moneda (A, B, sig K (A, B)) apare de două ori în baza de date a băncii, atunci banca poate determina identitatea utilizatorului necinstit care a utilizat moneda de două ori. Demonstraţie: Dacă moneda (A, B, sig K (A, B)) apare de două ori în baza de date, rezultă că banca dispune de două seturi de răspunsuri ale lui U: (r 1, r 2, r 3 ) şi (r 1, r 2, r 3 ) corespunzătoare celor două provocări c si c ale lui S. Din relaţiile de verificare ale { protocolului de plată rezultă: g r 1 = AB c (mod p) (1) g r 1 = AB c (mod p) (2) Ridicând (1) la puterea c şi (2) la puterea c, rezultă: { A c B cc = g r 1c c c (mod p) A c B cc = g r 1 c c c (modp) Împărţind cele două relaţii rezultă: A c c = g r 1c r 1 c c r 2 c c r c 3 (mod p) = A = g (r 1c r 1 c)(c c) 1 1 g (r 2c r 2 c)(c c) 1 2 d (r 3c r 3 c)(c c) 1 (mod p) (3) Analog se obţine: B = g (r 1 r 1 )(c c ) 1 1 g (r 2 r 2 )(c c ) 1 2 d (r 3 r 3 )(c c ) 1 (mod p) (4) Dar A = g x 1 1 g y 1 2 d z 1 (mod p) (5) şi B = g x 2 (mod p) (6) Cum nu se cunoaşte o reprezentare netrivială a lui 1 în raport cu (g 1, g 2, d), din (3),(4),(5) şi (6) rezultă (toate relaţiile sunt modulo q): { (r1 c r 1 c)(c c) 1 = x 1 (r 2 c r 2 c)(c c) 1 = y 1 (r 3 c r 3 c)(c c) 1 = z 1 (r 1 r 1 )(c c ) 1 = x 2 (r 2 r 2 )(c c ) 1 = y 2 (r 3 r 3 )(c c ) 1 = z 2 Ceea ce înseamnă că banca poate să calculeze: u 1 s = x 1 + x 2 = (r 1 c r 1 c)(c c) 1 + (r 1 r 1 )(c c ) 1 (mod q) (7) u 2 s = y 1 + y 2 = (r 2 c r 2 c)(c c) 1 + (r 2 r 2 )(c c ) 1 = y 2 (mod q) (8) s = z 1 + z 2 = (r 3 c r 3 c)(c c) 1 + (r 3 r 3 )(c c ) 1 = z 2 (mod q) (9) Din (9) = s = (c c) 1 (r 3 (c 1) r 3 (c 1)) (mod q) = s 1 = (r 3 (c 1) r 3 (c 1)) 1 (c c) (mod q) (10). Din (7) şi (10) rezultă u 1 = u 1 ss 1 = (c c) 1 (r 1 (c 1) r 1 (c 1))(r 3 (c 1) r 3 (c 1)) 1 (c c) = (r 1 (c 1) r 1 (c 1))(r 3 (c 1) r 3 (c 1)) 1 (mod q) şi analog u 2 = (r 2 (c 1) r 2 (c 1))(r 3 (c 1) r 3 (c 1)) 1 (mod q), deci banca poate să calculeze identitatea utilizatorului necinstit.

7.5. CORECTITUDINEA SISTEMULUI DE BAZĂ 93 7.5 Corectitudinea sistemului de bază Următoarea teoremă este fundamentală pentru demonstrarea securităţii sistemului: Teorema 7.3 În protocolul de extragere a monezilor, U nu poate să obţină o semnătură asupra unui mesaj m pentru care cunoaşte o reprezentare în raport cu (g 1, g 2, d), dar care nu este o putere a lui m. Demonstraţie: Presupunem prin reducere la absurd că U poate să obţină o semnătură asupra lui m, cu m de forma m = m s g1 r = g u 1s+r 1 g u 2s 2 d s (mod p), cu s, r Z q arbitrare. Celelalte cazuri pentru forma lui m se vor rezolva analog. Dacă U poate obţine o semnătură validă asupra lui m, rezultă că U poate să calculeze sig K (m ) = (z, a, b, r ) în timp polinomial. Să vedem cât de difcilă este pentru U calcularea lui b. b = (m ) w = (m ) uw+v = (m s g1) r uw+v = m suw m sv (g1 ru ) w g1 rv = b su m sv g1 rv (g1 ru ) w (mod p). Notăm g 3 = g ru 1 = g w 3 = g rv 1 m sv b su b (mod q), cu g 1, m, b, s, u, v, r, g 3 cunoscute, iar w necunoscut lui U (w este ales de B aleator la fiecare execuţie a protocolului). Deci calcularea lui b este la fel de dificilă ca şi calcularea lui g3 w. Fie s Z p astfel încât g 3 = g s (mod p). Presupunând că b se poate calcula în timp polinomial, rezulta că şi g3 w se poate calcula în timp polinomial. Dar U cunoaşte g 3 = g s, g w, g, m, m w şi reuşeşte să determine g ws = g3 w, adică cheia Diffie- Hellman unică pentru g w, g s. Cum u şi w sunt alese aleator, avem că şi g w, g s = g 3 = g ru 1 sunt aleatoare în G q. Am construit asfel un algoritm polinomial care are la intrare numerele aleatoare g s, g w şi calculează cheia unică Diffie-Hellman, ceea ce reprezintă o contradicţie cu NP-completitudinea acestei probleme. De aici rezultă că b nu se poate calcula polinomial, deci U nu poate obţine o semnătură asupra lui m care nu e multiplu de m. Consecinţă: Din Teoremele 7.1 şi 7.3 deducem că U poate să obţină o semnătură asupra lui m pe care o poate folosi într-un protocol de plata dacă şi numai dacă impunem următoarele restricţii asupra lui m (care justifică calificativul restrictiv dat acestui protocol de semnătură): 1. m este de forma m s m G q ; 2. U cunoaşte o reprezentare a lui m în raport cu (g 1, g 2, d) care este multiplu al reprezentării lui m. Să enunţăm câteva proprietăţi importante ale sistemului: 1. Securitatea: Din consecinţa anterioară rezultă că identitatea utilizatorului este inclusă în m (m = m s = I s d s ); astfel, dacă utilizatorul foloseşte moneda o singură dată îi este garantată anonimitatea. În schimb, dacă moneda este folosită de două ori, se poate detecta identitatea utilizatorului necinstit, cum am arătat în Teorema 7.2.

94 PRELEGEREA 7. SISTEMUL ELECTRONIC DE PLATĂ BRANDS Securitatea acestui sistem se bazează pe presupunerea de NP-completitudine a problemei reprezentării în grupuri, a problemei determinării cheii unice Diffie-Hellman şi pe ipoteza că funcţia de dispersie folosită în sistem este fără coliziuni tari. Falsificarea unei monezi presupune imitarea semnăturii băncii, ceea ce este calculabil dificil. Presupunând totuşi că U fasifică o monedă (m, sig K (m )) (dispunând de o putere de calcul foarte mare), pentru a avea vreo şansă ca moneda să îi fie acceptată în protocolul de plată, trebuie să cunoască o reprezentare a lui m în raport cu (g 1, g 2, d) (din Teorema 7.1). Astfel, sarcina falsificatorului devine şi mai dificilă. 2. Anonimitatea utilizatorilor este de asemenea garantată de Teorema 7.1. 3. Sistemul este fără legături. O monedă nu poate fi legată de nici o execuţie specifică a protocolului de extragere, conform Propoziţiei 7.2. 4. Sistemul este fără urmărire. Tranzacţiile utilizatorului nu pot fi urmărite de bancă după protocolul de extragere a monezilor. În momentul în care moneda este depozitată în bancă de către un magazin, banca nu poate deduce din care cont a fost extrasă iniţial. 5. Sistemul este off-line. 6. Sistemul asigură protejarea utilizatorilor împotriva acuzării nedrepte a băncii. Dacă banca acuză un utilizator U că a folosit o monedă de două ori, ea trebuie să dezvăluie juriului o reprezentare a identitătii lui U, de exemplu (u 1, u 2 ). Dacă U este onest, reprezentarea (u 1, u 2 ) coincide cu cea cunoscută de U cu o probabilitate 1 (prelegerea q anetrioară). Deci, cu o probabilitate mare (1 1 ), cele două reprezentări sunt distincte. Asfel, U se află în posesia a două reprezentări ale lui I în raport cu (g 1, g 2 ), q deci poate calcula o reprezentare a lui 1 în raport cu (g 1, g 2 ). U prezintă juriului această reprezentare a lui 1, ceea ce constituie proba nevinovăţiei sale (U nu ar fi putut calcula altfel o reprezentare a lui 1, deoarece aceasta este o problemă NP - completă). 7. Introducerea monezilor de valori diferite. Există cel puţin două metode: Banca poate să utilizeze câte o cheie publică diferită pentru fiecare tip de monedă. Astfel, dacă în sistem există k monezi distincte, banca dispune de k chei publice: (g, h 1 ),..., (g, h k ) şi de k chei secrete corespunzătoare: x 1,..., x k cu x i = log gi h i, i = 1, 2,... k. Se utilizează k generatori d 1,..., d k (în loc de unul singur d utilizat în sistemul de bază). Fiecare generator d i reprezintă o anumită valoare (de exemplu d i reprezintă valoarea 2 i 1 ). Atunci se poate forma orice monedă de valoare cuprinsă între 1 şi 2 k folosind reprezentarea în binar a valorii monezii. Generatorul d i apare în reprezentarea monezii dacă bitul i din reprezentarea binară este 1. De exemplu, pentru o monedă de valoarea 11 = 1011 2, m = Id 4 d 2 d 1, iar pentru o moneda de valoare 18 = 10010 2, m = Id 5 d 2. Înlocuirea lui m = Id cu m = Id ip... d i1 este singura modificare realizată în protocoalele sistemului de bază.

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια