Primitiva criptográfica basada en privacidad
Un esquema de firma de grupo es un método para permitir que un miembro de un grupo firme de forma anónima un mensaje en nombre del grupo. El concepto fue introducido por primera vez por David Chaum y Eugene van Heyst en 1991. Por ejemplo, un empleado de una gran empresa podría utilizar un esquema de firma grupal donde es suficiente que un verificador sepa que un mensaje fue firmado por un empleado, pero no qué empleado en particular lo firmó. Otra aplicación es para el acceso con tarjeta de acceso a áreas restringidas donde no es apropiado rastrear los movimientos de los empleados individuales, pero es necesario asegurar áreas solo para los empleados del grupo.
Esencial para un esquema de firma de grupo es un administrador de grupo , que está a cargo de agregar miembros al grupo y tiene la capacidad de revelar el firmante original en caso de disputas. En algunos sistemas, las responsabilidades de agregar miembros y revocar el anonimato de las firmas están separadas y asignadas a un administrador de membresía y a un administrador de revocación, respectivamente. Se han propuesto muchos esquemas, sin embargo, todos deben seguir estos requisitos básicos:
- Solidez y plenitud
- Las firmas válidas de los miembros del grupo siempre se verifican correctamente y las firmas no válidas siempre fallan en la verificación.
- Inolvidable
- Sólo los miembros del grupo pueden crear firmas de grupo válidas.
- Anonimato
- Dado un mensaje y su firma, la identidad del firmante individual no se puede determinar sin la clave secreta del administrador del grupo .
- Trazabilidad
- Dada una firma válida, el administrador del grupo debería poder rastrear qué usuario emitió la firma. (Este y el requisito anterior implican que sólo el administrador del grupo puede romper el anonimato de los usuarios).
- Desvinculabilidad
- Dados dos mensajes y sus firmas, no podemos saber si las firmas eran del mismo firmante o no.
- Sin encasillar
- Incluso si todos los demás miembros del grupo (y los gerentes) se confabulan , no pueden falsificar una firma para un miembro del grupo que no participa.
- Verificación de rastreo inolvidable
- El administrador de revocación no puede acusar falsamente a un firmante de crear una firma que él no creó.
- Resistencia de la coalición
- Un subconjunto de miembros del grupo en colusión no puede generar una firma válida que el administrador del grupo no pueda vincular a uno de los miembros del grupo en colusión. [1]
Los esquemas de firma de grupo ACJT 2000 , [1] BBS04 , [2] y BS04 (en CCS) son algunos de los más modernos. (Nota: esta podría ser una lista incompleta).
Boneh, Boyen y Shacham publicaron en 2004 ( BBS04 , Crypto04) un novedoso esquema de firma de grupo basado en mapas bilineales. [2] Las firmas en este esquema son aproximadamente del tamaño de una firma RSA estándar (alrededor de 200 bytes). La seguridad del esquema se demuestra en el modelo de Oracle aleatorio y se basa en el supuesto de Strong Diffie Hellman (SDH) y un nuevo supuesto en grupos bilineales llamado supuesto de decisión lineal (DLin).
Bellare, Micciancio y Warinschi dieron una definición más formal orientada a la seguridad demostrable . [3]
Ver también
- Firma en anillo : un sistema similar que excluye el requisito de un administrador de grupo y proporciona un verdadero anonimato para los firmantes (sin embargo, varios algoritmos mantienen algunas propiedades "restrictivas", como la trazabilidad o la vinculabilidad).
- Firma de umbral : una firma de umbral implica un quórum (umbral) de tamaño fijo de firmantes. Cada firmante debe ser un miembro genuino del grupo con una parte de una clave de firma secreta del grupo. Un esquema de firma de umbral (t,n) admite n firmantes potenciales, cualquiera de los cuales t puede hacerlo en nombre del grupo. Las firmas de umbral no revelan nada sobre los firmantes t; nadie puede rastrear la identidad de los firmantes (ni siquiera un centro de confianza que haya configurado el sistema).
- Multifirma : una multifirma representa un determinado número de firmantes que firman un mensaje determinado. El número de firmantes no es fijo y las identidades de los firmantes son evidentes a partir de una firma múltiple determinada. Una firma múltiple es mucho más corta (a veces constante) que la simple colección de firmas individuales.
- Firma de proxy: una firma de proxy permite a un delegado otorgar derechos de firma parciales a otras partes llamadas firmantes de proxy. Las firmas proxy no ofrecen anonimato
- Esquemas de custodia de identidad: dual interactivo de firmas grupales. En lugar de una generación fuera de línea, un firmante genera directamente una firma en función de una consulta proporcionada por el verificador.
Referencias
- ^ ab Ateniese, Giuseppe; Camenisch, enero; Joye, Marc; Tsudik, gen (2000). "Un plan de firma de grupo resistente a la coalición práctico y demostrablemente seguro". Avances en criptología: CRYPTO 2000 (PDF) . Apuntes de conferencias sobre informática. vol. 1880, págs. 225–270. doi :10.1007/3-540-44598-6_16. ISBN 978-3-540-67907-3. Consultado el 24 de junio de 2012 .
- ^ ab Boneh, Dan; Boyen, Xavier; Shacham, Hovav (2004). "Firmas de grupo breves" (PDF) . Avances en Criptología – CRYPTO 2004 . Apuntes de conferencias sobre informática. vol. 3152. Saltador. págs. 227–242. doi :10.1007/978-3-540-28628-8_3. ISBN 978-3-540-22668-0. ISSN 0302-9743 . Consultado el 24 de junio de 2012 .
- ^ Bellare, Mihir; Micciancio, Daniele; Warinschi, Bogdan (mayo de 2003). "Fundamentos de las firmas grupales: definiciones formales, requisitos simplificados y una construcción basada en supuestos generales". Avances en criptología - EUROCRYPT 2003 . Apuntes de conferencias sobre informática. vol. 2656. Varsovia, Polonia: Springer. págs. 614–629. doi : 10.1007/3-540-39200-9_38 . ISBN 978-3-540-14039-9.
enlaces externos
- Chaum, David; van Heyst, Eugenio (1991). «Firmas de grupo» (PDF) . Avances en criptología - EUROCRYPT '91 . Apuntes de conferencias sobre informática . vol. 547, págs. 257–265. doi : 10.1007/3-540-46416-6_22 . ISBN 978-3-540-54620-7.
- Camenisch, enero; Michels, Markus (1998). "Un esquema de firma grupal basado en una variante RSA" (PDF) . Investigación Básica en Informática . 5 (27). doi : 10.7146/brics.v5i27.19433 . ISSN 0909-0878.
- M. Bellaré; H. Shi; C. Zhang (2005). "Fundamentos de las firmas grupales: el caso de los grupos dinámicos". En A. Menezes (ed.). Temas de criptología - CT-RSA 2005 . Apuntes de conferencias sobre informática. vol. 3376. Springer-Verlag. págs. 136-153. doi :10.1007/978-3-540-30574-3_11. ISBN 978-3-540-24399-1. Archivado desde el original el 15 de febrero de 2009 . Consultado el 25 de agosto de 2007 .
- Bellaré, Mihir; Micciancio, Daniele; Warinschi, Bogdan (mayo de 2003). "Fundamentos de las firmas grupales: definiciones formales, requisitos simplificados y una construcción basada en supuestos generales". Avances en criptología - EUROCRYPT 2003 . Apuntes de conferencias sobre informática. vol. 2656. Varsovia, Polonia: Springer. págs. 614–629. doi : 10.1007/3-540-39200-9_38 . ISBN 978-3-540-14039-9. Archivado desde el original el 15 de febrero de 2009 . Consultado el 25 de agosto de 2007 .
- Kilian, Joe; Petrank, Erez (1998). "Depósito de identidad". Avances en criptología - CRYPTO '98 . Apuntes de conferencias sobre informática. vol. 1462, págs. 169–185. CiteSeerX 10.1.1.21.6420 . doi :10.1007/BFb0055727. ISBN 978-3-540-64892-5.