Конфиденциальные подписи и детерминированное шифрование

Конфиденциальные подписи и детерминированное шифрование

Распространенная ошибка среди новичков в криптографии –это предположение, что схемы цифровой подписи предоставляют конфиденциальность для подписанных сообщений. Ошибочный аргумент в помощь этого утверждения – это то, что все схемы подписей – это варианты “хэш и подпись”, которые прилагают хэш функцию к сообщению до приложения любых ключевых операций и то, что односторонняя хэш-функция спрячет всю информацию о сообщении. Обе части этого предположения ошибочны. Однако, из этого выходит предположение, что конфиденциальность для схем подписи – это интересное поле для исследований. [2]

Вопрос конфиденциальности хэш-функций в схемах подписи был ранее предложен Канетти, однако оригинальное решение только служит для мотивации концепта идеальной односторонней хэш-функции. Мы предоставляем более формальное решение здесь. Вопрос энтропии безопасности утверждался несколькими другими авторами. Додис и Смит изучали энтропийные безопасные примитивы, требующие того, что никакая функция не раскрывает свой сход. Рассел и Ванг утверждали безопасность симметричного шифрования, основанного на высоко-энтропийных сообщениях. Однако, мы первые авторы которые пишут о конфиденциальности подписи и шифрования по этому сценарию.

Мы верим, что эта концепция конфиденциальной подписи интересна и может доказать полезность в построении протоколов, в которых два юридических лица нуждаются в проверке того, что они оба опасаются за сообщение, которое содержит некую конфиденциальную информацию, такую как пароль, и которая содержит высоко-энтропийный компонент.

Определение конфиденциальной подписи. Наша первая контрибуция служит для определения конфиденциальной подписи. Наша стартовая точка – это высоко-энтропийное сообщение. Наши определения основаны на предыдущих высказываниях для детерминированного шифрования с публичным ключом и трех моделей для схем конфиденциальной подписи:

  • Слабая конфиденциальность означает то, что никакая информация не просочилась к пассивному противнику, кроме возможности для информации, связанной с техническими деталями схемы подписи. [3]
  • Меццо конфиденциальность означает, что никакая информация не просочилась к пассивному противнику. Заметим, что это находится в контрасте с детерминированным публичным ключом шифрования, где информация не может быть скрыта при таких обстоятельствах.
  • Сильная конфиденциальность означает, что никакая информация не просочилась к активному противнику.

Наши определения в целом достаточны для покрытия детерминированных схем, так же нам нужна дополнительная оговорка в случае письма, предотвращая случай, где просочившаяся информация сама по себе уникальная подпись.

Построение конфиденциальной подписи. Далее мы показываем как получить конфиденциальную подпись. Сперва, мы представляем связанную концепцию конфиденциальной хэш-функций, cродни скрытию хэш-функции. Мы доказываем, что случайные оракулы – конфиденциальные хэш-функции, такие ка идеальные однонаправленные хэш-функции в более слабой форме

Мы показываем, что FDH подписи и подписи Фиата-Шамира – конфиденциальны в случайной модели. Мы так же показываем, что строгая безопасность конфиденциальной подписи может быть получена в стандартной модели с использованием хаотичного экстрактора.

Приложения для шифрования. Защищенная передача сообщения обычно выполняется с парадигмой шифруй потом подписывай, где отправитель шифрует сообщение с помощью публичного ключа получателя, а потом подписывает текст с его собственным ключом подписи. Схемы шифрования, представленные в [24], направлены на получение эффективности, комбинацией двух операций. Одно обстоятельство прошлого определения безопасности, это то что принцип шифрование и подпись, где один шифрует, а другой подписывает параллельно, не предоставляет безопасного шифрования в целом, так как подпись может раскрыть информацию о сообщении.

Мы представляем соображения по безопасности шифровальных схем с высоко-энтропийным сообщением, по линиям детерминированных публичных ключей шифрования и конфиденциальных подписей. В случае шифровальных схем, мы можем так же дать низко-энтропийное сообщение и показать, что это определение строго сильнее чем определение для высоко-энтропийного сообщения. Мы показываем, что параллельная схема шифрования и подписи высоко-энтропийно конфиденциальна, если низлежащая шифровальная схема IND-CCA2 и схема подписи конфиденциальна. Наконец, мы доказываем, что мы может дерандомизировать любую шифровальную схему для вывода безопасной детерминированной схемы.

Несмотря на тот факт, что некоторые из наших результатов требуют детерминированную шифровальную схему, мы верим, что детерминированные схемы могут быть более защищенными чем многие текущие. Причина в том, что большая часть текущих схем шифрования базируются на дискретной логарифмической цифровой подписи, которая высоко чувствительна к неидеальному рандомизированию.

В некоторых ситуациях мы вынуждены были из-за ограничений по размеру опустить доказательство теоремы, которое можно найти в полной версии статьи.

Конфиденциальные схемы подписи

Мы формализуем размышления о конфиденциальной подписи в 3 путях и даем конструкции. Эти предположения могут быть приложены к вероятностным и детерминированным схемам.

📎📎📎📎📎📎📎📎📎📎