Разделение секрета с мошенниками

Этот алгоритм изменяет стандартную пороговую схему (m, n) для обнаружения мошенников [1529]. Я покажу его использование на базе схемы Лагранжа, но алгоритм работает и с другими схемами. Выбирается простое число p, большее nи большее

(s - 1)(m - 1)/e + m

где s - это самый большой возможный секрет, а e- вероятность успеха мошенничества. e можно сделать настолько малым, насколько это необходимо, это просто усложнит вычисления. Постройте тени как раньше, но вместо использования 1, 2, 3, . . . , nдля x_i, выберите случайным образом числа из диапазона от 1 до p-1.

Теперь, если Мэллори при восстановлении секрета заменит свою часть подделкой, его тень с высокой вероятностью окажется невозможной. Невозможный секрет, конечно же, окажется подделанным секретом. Математика этой схемы приведена в [1529].

К сожалению, хотя мошенничество Мэллори и будет открыто, ему удастся узнать секрет (при условии, что все остальные нужные тени правильны). От этого защищает другой протокол, описанный в [1529, 975]. Основной идеей является использование набора из k секретов, так чтобы никто из участников заранее не знал, какой из них правильный. Каждый секрет, за исключением настоящего, больше предыдущего. Участники объединяют свои тени, получая один секрет за другим, пока они не получат наименьшее значение секрета. Этот секрет и будет правильным.

В этой схеме мошенники легко выявляются еще до получения конечного секрета. Существует определенные сложности, если участники предъявляют свои тени по очереди, подробности можно найти в литературе. В следующих работах также рассматриваются обнаружение и предотвращение мошенничества в пороговых схемах [355, 114, 270].

Подсознательный канал

Ong-Schnorr-Shamir

Этот подсознательный канал (см. раздел 4.2), разработанный Густавусом Симмонсом (Gustavus Simmons) [1458, 1459, 1460], использует схему идентификации Ong-Schnorr-Shamir (см. раздел 20.5). Как и в оригинальной схеме отправитель (Алиса) выбирает общедоступный модуль n и закрытый ключ k так, чтобы n и k были взаимно простыми числами. В отличии от оригинальной схемы kиспользуется совместно Алисой и Бобом, получателем в подсознательном канале. Открытый ключ вычисляется следующим образом:

h= -k²mod n

Если Алисе нужно отправить подсознательное сообщение M в безобидном сообщении M', она сначала проверяет, что пары M'и n, а также Mи n являются взаимно простыми числами. Алиса вычисляет

S₁ = 1/2*((M'/M + M)) mod n

S₂ = 1/2*((M'/M - M)) mod n

Пара чисел S₁ и S₂ представляет собой подпись в традиционной схеме Ong-Schnortr-Shamir и одновременно является носителем подсознательного сообщения.

Тюремщик Уолтер (помните такого?) может проверить подлинность сообщения, как это принято в Ong-Schnorr-Shamir, но Боб может сделать еще кое-что. Он может проверить подлинность сообщения (Всегда возможно, что Уолтер попытается ему подсунуть поддельное сообщение). Он проверяет, что

S₁² - S₂² º M'(mod n)

Если подлинность сообщения доказана, получатель может извлечь и подсознательное сообщение, используя следующую формулу:

M=M'/(S₁+ S₂k^-1) mod n

Это работает, но не забывайте, что сама схема Ong-Schnorr-Shamir была взломана.

ElGamal

Другой предложенный Симмонсом подсознательный канал [1459], описанный в [1407, 1473], основан на схеме подписи ElGamal см. раздел 19.6).

Генерация ключа выполняется также, как и в основной схеме подписи ElGamal. Сначала выбирается простое число p и два случайных числа, gи r, меньшие p. Затем вычисляется

K= g^rmod p

Открытым ключом служат K, g и p. Закрытым ключом является r. Помимо Алисы r известно и Бобу, это число используется не только для подписи безобидного сообщения, но и в качестве ключа для отправки и чтения подсознательного сообщения.

Чтобы послать подсознательное сообщение Mв безобидном сообщении, M', Mи pдолжны быть попарно взаимно простыми, кроме того, взаимно простыми должны быть Mи p-1. Алиса вычисляет

X= g^Mmod p

и решает следующее уравнение для Y(с помощью расширенного алгоритма Эвклида):

M'= rX+ MYmod (p-1)

Как и в базовой схеме ElGamal, подписью является пара чисел: Xи Y. Уолтер может проверить подпись ElGamal. Он убеждается, что

K^XX^Y º g^M'(mod p)

Боб может восстановить подсознательное сообщение. Сначала он убеждается, что

(g^r)^XX^Y º g^M'(mod p)

Если это так, он считает сообщение подлинным (не подделанным Уолтером). Затем для восстановления M он вычисляет

M= (Y^-1 (M'- rX)) mod (p - 1)

Например, пусть p= 11, а g= 2. Закрытый ключ r выбирается равным 8. Это означает, что открытым ключом, который Уолтер может использовать для проверки подписи, будет g^rmod p = 2⁸mod 11 = 3.

Чтобы отправить подсознательное сообщение M= 9, используя безобидное сообщение M'= 5, Алиса проверяет, что 9 и 11, а также 5 и 11 попарно взаимно просты. Она также убеждается, что взаимно просты 9 и 11‑1=10. Это так, поэтому она вычисляет

X= g^M'(mod p)= 2⁹mod 11 = 6

Затем она решает следующее уравнение для Y:

5 = 8 6 + 9 Ymod 10

Y= 3, поэтому подписью служит пара чисел 6 и 3 (Xи Y). Боб убеждается, что

(g^r)^XX^Y º g^M'(mod p)

(2⁸)⁶6³ º 2⁵ (mod 11)

Это так (выполните арифметические действия самостоятельно, если вы мне не верите), поэтому он может раскрыть подсознательное сообщение, вычисляя

M= (Y^-1 (M'- rX)) mod (p - 1)= 3^-1(5 - 8*6) mod 10 = 7(7) mod 10 = 49 mod 10 = 9

ESIGN

Подсознательный канал можно добавить и к ESIGN [1460] (см. раздел 20.6). В ESIGN секретный ключ является парой больших простых чисел pи q, а открытым ключом служит n= p²q. Использовании подсознательного канала закрытым ключом являются три простых числа p, q и r, а открытым ключом - n, такое что

n=p²qr

Переменная r - это дополнительные данные, нужные Бобу для прочтения подсознательного сообщения.

Чтобы подписать обычное сообщение, Алиса сначала выбирает случайное число x, меньшее pqr, и вычисляет:

w, наименьшее целое, которое больше или равно (H(m) - x^kmod n)/pq

s= x+ ((w/kx^k-1 mod p) pq

H(m) - это хэш-значение сообщения, а k- параметр безопасности. Подписью является значение s.

Для проверки подписи Боб вычисляет s^kmod n. Кроме этого, он вычисляет a, наименьшее целое, которое больше или равно удвоенному числу битов n, деленному на 3. Если H(m) меньше или равна s^kmod n, и если s^kmod n меньше H(m)+2^a, то подпись считается правильной.

Для отправки подсознательного сообщения M с помощью безобидного сообщения M'Алиса вычисляет s, используя M вместо of H(m). Это означает, что сообщение должно быть меньше, чем p²qr. Затем она выбирает случайное число uи вычисляет

x' =M'+ ur

Затем это значение x' используется в качестве "случайного числа" xпри подписи M'. Соответствующее значение s посылается в качестве подписи.

Уолтер может проверить, что s(второе s) является правильной подписью M' Точно также проверить подлинность сообщения может и Боб. Но, так как ему известно и r, он может вычислить

s= x'+ ypqr= M + ur+ ypqrºM(mod r)

Эта реализация подсознательного канала намного лучше двух предыдущих. В вариантах Ong-Schnorr-Shamir и ElGamal у Боба должен быть закрытый ключ Алисы. Боб сможет не только читать подсознательные сообщения Алисы, но и выдавать себя за Алису, подписывая обычные документы. Алиса ничего с этим не сможет поделать, устанавливая такой подсознательный канал, ей придется довериться Бобу.

Схема ESICN страдает от этой проблемы. Закрытым ключом Алисы служит набор трех простых чисел: p, q и r. Секретным ключом Боба является только r. Он знает n= p²qr, но, чтобы раскрыть p и q, ему понадобится разложить на множители это число. Если простые числа достаточно велики, Бобу будет так же трудно выдать себя за Алису, как и Уолтеру или кому-нибудь еще.

DSA

Подсознательный канал существует и в DSA (см. раздел 20.1) [1468, 1469, 1473]. На самом деле их даже может быть несколько. Простейший подсознательный канал включает выбор k. Предполагается, что это будет 160-битовое число. Однако, если Алиса выбирает конкретное k, то Боб, зная закрытый ключ Алисы, сможет раскрыть это k. Алиса посылать Бобу 160-битовое подсознательное сообщение в каждой подписи DSA, а все остальные будут только проверять подпись Алисы. Дополнительное усложнение: Так как kдолжно быть случайным, Алиса и Боб должны использовать общий одноразовый блокнот и шифровать подсознательное сообщение с помощью этого блокнота, генерируя k.

В DSA есть подсознательные каналы, не требующие передавать Бобу закрытый ключ Алисы. Они также подразумевают выбор конкретных значений k, но не могут передавать по 160 битов информации. Следующая схема, представленная в [1468, 1469], позволяет Алисе и Бобу обмениваться в каждой подписи одним битом подсознательной информации.

(1) Алиса и Боб выбирают случайное простое число P(отличающееся от параметра pв схеме подписи). Это секретный ключ для подсознательного канала.

(2) Алиса подписывает безобидное сообщение M. Если она хочет отправить Бобу подсознательный бит 1, она убеждается, что параметр rподписи является квадратичным остатком по модулю P. Если она хочет отправить ему 0, она проверяет, что параметр rподписи не является квадратичным остатком по модулю P. Она добивается этого, подписывая сообщение с помощью случайных значений k, пока она не получит подпись с нужным ей свойством для r. Так как числа, являющиеся квадратичными остатками и не являющиеся ими, равновероятны, то это не должно быть слишком сложно.

(3) Алиса посылает Бобу подписанное сообщение.

(4) Боб проверяет подпись, убеждаясь в подлинности сообщения. Затем он проверяет, является ли rквадратичным остатком по модулю Pи восстанавливает подсознательный бит.

Передача таким образом нескольких битов подразумевает подбор такого r, которое является или не является квадратичным остатком по нескольким модулям. Подробности приведены в [1468, 1469].

Эта схема может быть легко расширена для передачи нескольких подсознательных битов на подпись. Если Алиса и Боб выбирают два случайных числа Pи Q, то Алиса может посылать два бита, выбирая случайное kтак, чтобы r являлось или не являлось квадратичным остатком mod P, а также являлось или не являлось квадратичным остатком mod Q. Случайное значение kс вероятностью 25 процентов позволит получить r с нужными свойствами.

Вот как Мэллори, нечестный реализатор DSA, может создать алгоритм, извлекающий по 10 битов закрытого ключа Алисы из каждой ее подписи.

(1) Мэллори строит свою реализацию DSA базе устойчивой к взлому СБИС, чтобы никто не смог проверить, как она работает. Он создает 14 подсознательных каналов в своей реализации DSA. То есть, он выбирает 14 случайных простых чисел и использует микросхему, которая выбирает значение k так, чтобы r являлось или не являлось квадратичным остатком по модулю каждого из этих 14 простых чисел, в зависимости от подсознательного сообщения.

(2) Мэллори выдает микросхемы Алисе, Бобу и остальным желающим.

(3) Алиса обычным образом подписывает сообщение, используя свой закрытый 160-битовый ключ x.

(4) Микросхема случайным образом выбирает 10-битовый блок x: первые 10 битов, вторые 10 битов, и т.д. Так как существует 16 возможных 10-битовых блоков, то номер блока выражается 4-битовым числом. Этот 4-битовый идентификатор и 10 битов ключа и будут 14-битовым подсознательным сообщением.

(5) Микросхема перебирает случайные значения k, пока не удастся найти то, которое обладает правильными квадратичными остатками, нужными для передачи подсознательного. Вероятность случайного k обладать правильной формой равна 1/16384. Если микросхема может проверить 10000 значений kв секунду, нужное значение будет найдено меньше, чем за пару секунд. Эти вычисления не зависят от сообщения и могут быть вычислены заранее, до того, как Алиса захочет подписать сообщение.

(6) Микросхема обычным образом подписывает сообщение, используя выбранное на этапе (5) значение k.

(7) Алиса посылает цифровую подпись Бобу, или опубликовывает ее в сети, или еще что-нибудь делает.

(8) Мэллори раскрывает r и, так как он знает 14 простых чисел, расшифровывает подсознательное сообщение.

Страшнее всего, что, даже если Алиса знает, что происходит, она ничего не сможет доказать. Пока 14 простых чисел хранятся в секрете, Мэллори в безопасности.