BLS

BLS подпись (Boneh-Lynn-Shacham) — это электронная подпись, опирающаяся на кривые, удобные для спаривания, и поддерживающая неинтерактивные свойства агрегации. То есть, для группы подписей (σ1, …, σn), можно составить короткую подпись σ, которая аутентифицирует всю коллекцию подписей. Схема подписи проста, эффективна и может быть использована в разнообразных сетевых протоколах и системах для сжатия подписей или цепочки сертификатов. Так как вычислительная задача Диффи-Хеллмана является неразрешимой, безопасность схемы доказана.

Хэширование в кривую

Так как BLS подпись работает с эллиптическими кривыми, необходимо модифицировать стандартные функции хеширования так, чтобы на выходе получалось не число, а координаты точки[1]. За основу возьмём стандартную функцию хэширования, но результатом её работы будем считать не конечное число, а x-координату точки. Каждому найденному x может соответствовать ноль или два значения y, то есть не для каждого x существует валидный y. Поэтому будем хэшировать (msg || i), пока не получим корректный результат, где || — функция конкатенации, а i — неотрицательное число. Остаётся только определить закон выбора одной из полученных точек (например, будет точка с наибольшим значением y).

Спаривание кривых

Для создания подписи необходима функция, которая будет сопоставлять двум точкам кривой некоторое число. Введём абстрактное определение спаривания. Пусть G, GT — циклические группы простого порядка r, порожденные элементом g. Спариванием называется эффективно вычислимая функция e : G1 × G2 → GT , для которой выполняются следующие свойства:

  1. Невырожденность: e(g, g) ≠ 1
  2. Билинейность: e(ga, gb) = e(g, g)ab, где a, b ∈ Z

Наиболее распространенными в криптографии являются функции спаривания Тейта, Вейля и оптимальное спаривание Эйта[2]. Последнее считается наиболее эффективным, и чаще всего используется в практике.

Если для циклической группы определена функция спаривания, то для этой группы неразрешимы вычислительная задача Диффи-Хеллмана и задача дискретного логарифма, но существует эффективное решение задачи принятия решения Диффи-Хеллмана. Такие группы называют группами Диффи-Хеллмана[3] и подразумевают схему подписи, называемую подпись Боне — Линна — Шахама.

Схема BLS подписи

Пусть G — группа Диффи-Хеллмана простого порядка r, где g ∈ G — порождающий элемент группы, m — заданное сообщение.

Генерация ключей

Закрытым ключом SK является случайное целое число, выбранное из интервала [0, r-1]. Открытым ключом назовем PK = gSK

Cоздание подписи

  1. Хэшируем сообщение в кривую H = Hashing(m), где H — точка на кривой
  2. Вычисляем S = HSK
  3. Подписью документа является точка S.

Проверка подписи

  1. Посчитаем d1 = e(PK, H)
  2. С другой стороны, вычислим d2 = e(g, S) = e(g, HSK) = e(gSK, H)
  3. Сравним d1 и d2: если они совпадают — подпись верна.

Агрегирование подписей

Предположим, что мы имеем группу подписей, которая содержит n пар (Si, PKi), где i = [0,n]. Агрегированной подписью системы назовем сумму Si по i. Чтобы подтвердить подпись необходимо проверить равенство e(g, S) = e(PK1, H1) ⋅ e(PK2, H2) ⋅ … ⋅ e(PKn, Hn).

Для верификации не нужно знать сообщения, соответствующие индивидуальным подписям, но необходимо знать все публичные ключи и n+1 раз выполнить операцию спаривания.

Выполним проверку (g, S) = e(g, S1 + S2 + …+ Sn) = e(g, S1)⋅ e(g, S2) ⋅ … ⋅ e(g, Sn) = e(g, H1PK1) ⋅ … ⋅ e(g, HnPKn) = e(gPK1, H1) ⋅ … ⋅ e(gPKn, Hn) = e(SK1, H1) ⋅ e(SK2, H2)⋅…⋅e(SKn, Hn)

Мультиподпись подгруппы

Чтобы создать мультиподпись, будем подписывать одну и ту же транзакцию разными ключами. Тогда, для оптимизации памяти, мы можем скомбинировать все подписи и ключи в определяющую всю систему пару — подпись, ключ.

Мультиподпись типа n-из-n

Самым простым способом комбинирования является сложение. Поэтому подписью назовём S = S1 + S2 + … + Sn, а ключом PK = PK1 + PK2 + … + PKn. Для этого случая легко доказывается корректность выбранных значений: e(g, S) = e(P, H)

e(g, S) = e(g, S1 + S2 + … + Sn) = e(g, HSK1 + SK2 + … + SKn) = e(gSK1 + SK2 + … + SKn, H) = e(PK1 + PK2 + … + PKn, H) = e(PK, H)

Добавим в схему нелинейность, чтобы предотвратить атаку фальшивых ключей. Вместо простого сложения ключей и подписей, домножим каждое слагаемое на некое детерминированное число, и после этого найдем сумму каждой группы:

S = a1×S1 + a2×S2 + … + an×Sn

PK = a1×PK1 + a2×PK2 + … + an×PKn

Здесь коэффициенты подписей и ключей вычисляются c помощью хэширующей функции, и учитывают все публичные ключи PKn: ai = hash(PKi, {PK1,PK2, …, PKn}), hash — обычная хэширующая функция, результатом работы которой является число.

Одной из таких функций является конкатенация публичного ключа подписанта и всего множества публичных ключей, используемых для подписи: ai = hash(Pi || P1 || P2 || P3). Для усложнённой схемы действительно то же уравнение для верификации (логика доказательства не меняется, несмотря на дополнительные коэффициенты ai).

Мультиподпись типа k-из-n

Часто мультиподписи n-из-n, предпочитают k-из-n. Так как в этом случае при потере одного или нескольких ключей возможна корректная работа системы. Для BLS подписи агрегирование ключей работает и в таком сценарии.

Приведем пример построения схемы мультиподписи k-из-n с помощью ключей(k < n), хранящихся на n разных устройствах.

Каждое из устройств имеет номер подписанта i = 1,2, …, n, определяющий порядковый номер во множестве, приватный ключ SKi и публичный ключ PKi = gSKi.

Рассчитаем агрегированный публичный ключ PK = a1×PK1 + a2×PK2 + … + an×PKn, где ai = hash(PKi, {PK1,PK2, …, PKn}).

Получим ключ участия MKi от каждого устройства, который подтвердит, что номер i входит в PK. Каждый ключ участия должен быть сохранён на соответствующем устройстве.

MKi = H(PK, i)a1⋅SK1 + H(PK, i)a2⋅SK2 + … + H(PK, i)an⋅SKn

Каждый ключ участия — это действенная подпись n-из-n сообщения H(PK,i). Следовательно, для каждого MKi выполняется: e(g, MKi)=e(PK, H(PK,i))

Предположим, что мы хотим подписать сообщение только ключами SK1, SK2, …, SKk. Генерируем m подписей S1, S2, …, Sk:

S1 = H(PK, m)SK1 + MK1

S2 = H(PK, m)SK2 + MK2

Sk = H(PK, m)SKk + MKk

Складываем их, чтобы получить одну пару подпись — ключ, которая будет описывать всю систему:

(S’, PK’) = (S1 + S2 + … + Sk, PK1 + PK2 + …+ PKk)

Ключ PK’ и подпись S’ отличны от пары PK, S. Первые зависят только от подмножества подписантов, в то время как вторые определяются всеми парами начальной системы.

Для верификации полученной подписи k-из-n, проверим условие:

e(g, S’) = e(PK’, H(PK, m))⋅e(PK, H(PK, 1)+H(PK, 2)+ … + H(PK, k))

Так как ключи участия MK1, MK2, … MKk — это действительные подписи для сообщений H(PK, 1), H(PK, 2) … H(PK, k), подписанных агрегированным ключом PK, поэтому:

e(g, S’) = e(g, S1 + S2 + … + Sn) = e(g, H(PK, m)SK1 + H(PK, m)SK2 + … + H(PK, m)SKk + MK1 + MK2 + … + MKk) = e(g, H(PK, m)SK1+ H(PK, m)SK2 + … H(PK, m)SKk) ⋅ e(g, MK1 + MK2 + … + MKk) = e(gSK1 + gSK2 + … + gSKk, H(PK, m)) ⋅ e(PK, H(PK, 1) + H(PK, 2) + … + H(PK, k)) = e(PK’, H(PK, m)) ⋅ e(PK, H(PK, 1) + H(PK, 2) + … + H(PK, k))

Аналогичная схема применима для любых значений k и n. А вместо 1, 2, … k могут быть выбраны любые неповторяющиеся k подписантов с номерами, принадлежащими промежутку [1, n].

Недостатки

Основным недостатком данного типа подписей является процесс спаривания.

Во-первых, вычисление спариваний занимает некоторое время, поэтому иногда на проверку подписи одного блока может уйти времени больше, чем на проверку всех подписей сообщений из блока. Однако, при большом количестве транзакций в блоке, преимущество будет на стороне BLS подписи.

Во-вторых, далеко не все кривые могут обеспечить и безопасность секретного ключа, и эффективность функции спаривания[4]. Более того, существует MOV — атака (атака на криптосистемы с эллиптическими кривыми), направленная на снижение безопасности системы, путем воздействия на функцию спаривания.

См. также

Примечания

  1. Pierre-Alain Fouque, Mehdi Tibouchi Indifferentiable Hashing to Barreto-Naehrig Curves// LATINCRYPT. — 2012. — C. 1 — 17. Дата обращения: 13 декабря 2019. Архивировано 13 декабря 2019 года.
  2. Ben Lynn On the Implementation of Pairing-based Cryptosystems // Stanford University. — 2007. — C. 31 — 36. Дата обращения: 13 декабря 2019. Архивировано 13 декабря 2019 года.
  3. Dan Boneh, Ben Lynn, and Hovav Shacham Short Signatures from the Weil Pairing // cryptology. — 2004. — C. 298—300. Дата обращения: 13 декабря 2019. Архивировано 11 июля 2020 года.
  4. Ben Lynn On the Implementation of Pairing-based Cryptosystems // Stanford University. — 2007. — C. 50 — 68. Дата обращения: 13 декабря 2019. Архивировано 13 декабря 2019 года.

Литература

Ссылки

Read other articles:

Emile Gobée

LetnanEmile Gobée [[Asisten Residen Poso]] 1Masa jabatanAgustus 1924 – April 1926Penguasa monarkiRatu WilhelminaGubernurDirk Fock PenggantiL.D. De RoockKonsul Hindia Belanda untuk MekkahMasa jabatanSeptember 1915 – April 1917 Informasi pribadiLahirEmile Gobée(1881-12-03)3 Desember 1881 Den Helder, BelandaMeninggal12 Juli 1954(1954-07-12) (umur 72) Leiden, BelandaPekerjaanPerwira militerKarier militerPihak BelandaDinas/cabangKoninklijk Nederlands-Indische ...

 

Vinaya

Artikel ini tidak memiliki referensi atau sumber tepercaya sehingga isinya tidak bisa dipastikan. Tolong bantu perbaiki artikel ini dengan menambahkan referensi yang layak. Tulisan tanpa sumber dapat dipertanyakan dan dihapus sewaktu-waktu.Cari sumber: Vinaya – berita · surat kabar · buku · cendekiawan · JSTORartikel ini perlu dirapikan agar memenuhi standar Wikipedia. Tidak ada alasan yang diberikan. Silakan kembangkan artikel ini semampu Anda. Merapi...

 

Piala Davis

Piala DavisMusim atau kompetisi terkini: Piala Davis 2023Piala DavisOlahragaTenisDidirikan1900; 124 tahun lalu (1900)Jumlah tim155 (2023)NegaraAnggota ITFBenuaWorldwideJuaraterkini Kanada(gelar ke-1)Juara terbanyak Amerika Serikat(32 gelar)Situs web resmiwww.daviscup.com Piala Davis adalah salah satu turnamen tenis yang mengkhususkan pada kompetisi tingkat internasional. Kompetisi ini diadakan oleh International Tennis Federation (ITF). Hampir sama dengan Piala Dunia dalam sepa...

François Clerc

François Clerc Informasi pribadiNama lengkap François ClercTanggal lahir 18 April 1983 (umur 40)Tempat lahir Bourg-en-Bresse, PrancisTinggi 1,88 m (6 ft 2 in)Posisi bermain BekInformasi klubKlub saat ini Saint-ÉtienneNomor 29Karier senior*Tahun Tim Tampil (Gol)2001–2010 Lyon 137 (8)2004–2005 → Toulouse (pinjaman) 7 (0)2010–2012 Nice 61 (5)2012– Saint-Étienne 0 (0)Tim nasional‡2006– Prancis 13 (0) * Penampilan dan gol di klub senior hanya dihitung dari li...

 

Epidemia di febbre emorragica di Ebola in Africa occidentale del 2014-2016

Epidemia di febbre emorragica di Ebola in Africa Occidentale del 2014epidemiaDiffusione al 31 maggio 2016PatologiaEbola OrigineGuinea LuogoAfrica occidentale (prevalentemente) Nazioni coinvolteLiberia, Guinea, Sierra Leone, Mali, Nigeria, Senegal, Stati Uniti d'America, Spagna, Regno Unito e Italia Periodo31 dicembre 2013 -31 maggio 2016 Dati statistici globali[1]Numero di casi28 657 (8 maggio 2016) Numero di morti11 325 (8 maggio 2016) Dati statistic...

 

Balai Latihan Kerja

Salah satu contoh Balai Latihan Kerja di Jember Balai Latihan Kerja atau BLK adalah prasarana dan sarana tempat pelatihan untuk mendapatkan keterampilan atau yang ingin mendalami keahlian dibidangnya masing-masing. BLK merupakan jenis Lembaga Pelatihan Kerja (LPK) yang dikelola Dinas Tenaga Kerja di daerah. Menurut Permenaker No. 1 Tahun 2022, BLK yang dikelola langsung oleh Kementerian Ketenagakerjaan Republik Indonesia disebut dengan Balai Pelatihan Vokasi dan Produktivitas (BPVP) dan Balai...

House of Lords

Upper house of the UK Parliament This article is about the House of Lords of the United Kingdom. For other uses, see House of Lords (disambiguation). This article needs additional citations for verification. Please help improve this article by adding citations to reliable sources. Unsourced material may be challenged and removed.Find sources: House of Lords – news · newspapers · books · scholar · JSTOR (May 2023) (Learn how and when to remove this mess...

 

James C. Harding

Retired US Air Force colonel and pilot (born 1934) James C. HardingColonel James C. HardingNickname(s)JimBorn (1934-06-27) June 27, 1934 (age 89)Brookville, Pennsylvania, U.S.AllegianceUnited StatesService/branchUnited States Air ForceYears of service1956–1979RankColonelUnit313th Air Division1st Special Operations SquadronCommands held1st Special Operations SquadronBattles/warsVietnam WarAwardsAir Force CrossSilver Star (3)Legion of Merit (2)Distinguished Flying Cross (9)Bronze St...

 

Jérémie Arrondissement

Arrondissement in Grand'Anse, HaitiJérémie Arrondissement Jeremi AwondismanArrondissementCountry HaitiDepartmentGrand'AnseArea[1] • Arrondissement818.02 km2 (315.84 sq mi) • Urban7.00 km2 (2.70 sq mi) • Rural811.02 km2 (313.14 sq mi)Population (2015)[1] • Arrondissement238,218 • Density290/km2 (750/sq mi) • Urban58,221 • Rural179,997...

爱德华·谢瓦尔德纳泽

爱德华·谢瓦尔德纳泽ედუარდ შევარდნაძე第2任格鲁吉亚總統任期1995年11月26日—2003年11月23日前任茲維亞德·加姆薩胡爾季阿继任米哈伊尔·萨卡什维利苏联外交部部长任期1985年7月2日—1990年12月20日总书记米哈伊尔·戈尔巴乔夫前任安德烈·葛罗米柯继任亚历山大·别斯梅尔特内赫 个人资料出生(1928-01-25)1928年1月25日苏联外高加索苏维埃联邦社会主义共和国古...

 

الطريق الجهوية رقم 50 (تونس)

هذه المقالة بحاجة لصندوق معلومات. فضلًا ساعد في تحسين هذه المقالة بإضافة صندوق معلومات مخصص إليها. يفتقر محتوى هذه المقالة إلى الاستشهاد بمصادر. فضلاً، ساهم في تطوير هذه المقالة من خلال إضافة مصادر موثوق بها. أي معلومات غير موثقة يمكن التشكيك بها وإزالتها. (فبراير 2016) الطري�...

 

Tambov

For other uses, see Tambov (disambiguation). City in Tambov Oblast, RussiaTambov ТамбовCity[1] FlagCoat of armsLocation of Tambov TambovLocation of TambovShow map of RussiaTambovTambov (Tambov Oblast)Show map of Tambov OblastCoordinates: 52°43′23″N 41°27′14″E / 52.72306°N 41.45389°E / 52.72306; 41.45389CountryRussiaFederal subjectTambov Oblast[1]FoundedApril 17, 1636City status since1719Area[2][3] • Total90....

Mario Party (video game)

1998 video game This article is about the first game in the series. For the series, see Mario Party. 1998 video gameMario PartyNorth American box artDeveloper(s)Hudson SoftPublisher(s)NintendoDirector(s)Kenji KikuchiProducer(s)Shinji HatanoShinichi NakamotoComposer(s)Yasunori MitsudaSeriesMario PartyPlatform(s)Nintendo 64ReleaseJP: December 18, 1998NA: February 8, 1999PAL: March 9, 1999Genre(s)PartyMode(s)Single-player, multiplayer Mario Party[a] is a 1998 party video game developed b...

 

3548 Eurybates

3548 EurybatesCiri-ciri orbitAphelion5.650Perihelion4.711Sumbu semimayor5.181Eksentrisitas0.091Anomali rata-rata103.87Inklinasi8.1Bujur node menaik43.6Argumen perihelion27.7Ciri-ciri fisikMagnitudo mutlak (H)9.7 3548 Eurybates (1973 SO) adalah sebuah asteroid. Asteroid ini merupakan bagian dari asteroid Troya Yupiter, yang terletak di orbit Yupiter. Eksentrisitas orbit asteroid ini tercatat sebesar 0.091, sementara magnitudo mutlaknya adalah 9.7. Pembentukan Seperti asteroid secara ...

 

Great Hanging at Gainesville

American Confederate war crime Great Hanging at GainesvilleIllustration from Frank Leslie's Illustrated Newspaper, 20 February 1864.LocationGainesville, TexasCoordinates33°37′49″N 97°8′25″W / 33.63028°N 97.14028°W / 33.63028; -97.14028DateOctober 1862Attack typeMass executionVictims41 suspected Unionists The Great Hanging at Gainesville was the execution by hanging of 41 suspected Unionists (men loyal to the United States) in Gainesville, Texas, in October ...

جاكي روبنسون (لاعب كرة سلة مواليد 1955)

  لمعانٍ أخرى، طالع جاكي روبنسون (توضيح). هذه المقالة يتيمة إذ تصل إليها مقالات أخرى قليلة جدًا. فضلًا، ساعد بإضافة وصلة إليها في مقالات متعلقة بها. (مارس 2017) جاكي روبنسون معلومات شخصية الميلاد 20 مايو 1955 (العمر 69 سنة)لوس أنجلوس الطول 6 قدم 6 بوصة (2.0 م) مركز اللعب لاع...

 

Impact of the COVID-19 pandemic on the LGBT community

Impact of COVID-19 on the LGBTQ+ community Part of a series on theCOVID-19 pandemicScientifically accurate atomic model of the external structure of SARS-CoV-2. Each ball is an atom. COVID-19 (disease) SARS-CoV-2 (virus) Cases Deaths Timeline 2019 2020 January responses February responses March responses April responses May responses June responses July responses August responses September responses October responses November responses December responses 2021 January responses February respon...

 

أغوم الثاني

تحتوي هذه المقالة أبحاثًا أصيلةً، وهذا مُخَالفٌ لسياسات الموسوعة. فضلاً، أزل هذه الأبحاث من متن المقالة. (نقاش) (نوفمبر 2013) ملك بابل أغوم الثاني لوح يذكر فيه اسم أغوم الثاني. ملك بابل فترة الحكمبحدود 1500 قبل الميلاد معلومات شخصية تاريخ الميلاد القرن 17 ق.م  تاريخ الوفاة القر...

Soviet republic

Republic formed of workers' councils For the Soviet republics of the Soviet Union, see Republics of the Soviet Union. For other uses, see Soviet (disambiguation). This article needs additional citations for verification. Please help improve this article by adding citations to reliable sources. Unsourced material may be challenged and removed.Find sources: Soviet republic – news · newspapers · books · scholar · JSTOR (October 2006) (Learn how and when t...

 

Proconsul

Governor of a province in the Roman republic For the primate genus, see Proconsul (mammal). Scipio Africanus, one of Rome's greatest commanders, was a proconsul during the Second Punic War. He was one of the few proconsuls who did not first serve as consul. A proconsul was an official of ancient Rome who acted on behalf of a consul. A proconsul was typically a former consul. The term is also used in recent history for officials with delegated authority. In the Roman Republic, military command...