Podpis elektroniczny z mediatorem

Podpis z mediatorem (właściwie podpis w schemacie z mediatorem) – podpis elektroniczny, którego złożenie wymaga udziału dodatkowej strony nazwanej mediatorem.

Zasady działania[edytuj | edytuj kod]

Schemat podpisów z mediatorem zaproponowany został w pracy^[1] jako metoda natychmiastowego blokowania możliwości składania podpisu przez wskazanych użytkowników. Blokada może być:

trwała: w przypadku utraty przez użytkownika urządzenia zawierającego klucz do składania podpisu,
tymczasowa: na przykład na wniosek użytkownika tracącego czasowo kontrolę nad urządzeniem do składania podpisu z powodu konieczności poddania się operacji chirurgicznej,
okresowa: stosowana np. wobec pracowników korporacji lub urzędników poza godzinami ich pracy.

W podstawowym schemacie złożenie podpisu składa się z dwóch faz:

wygenerowania tzw. pre-podpisu po stronie użytkownika,
finalizacji pre-podpisu do pełnego podpisu (lub krótko: finalizacji podpisu) dokonywanej po stronie centralnego serwera.

Efektem ubocznym zaangażowania centralnego serwera w proces tworzenia podpisu jest możliwość elastycznego zarządzania przez użytkownika atrybutami podpisu, weryfikowanymi przez centralny serwer w trakcie finalizacji podpisu^[2]. Wykorzystując centralny serwer można także zaimplementować mechanizmy zwiększające bezpieczeństwo schematu podpisów^[3].

Schemat podpisów z mediatorem zaproponowano początkowo^[1]^[4] w wersji dla algorytmu RSA (wersję tę oznacza się czasem jako mRSA – od mediated RSA). Zostały również przedstawione inne schematy bazujące na podobnych zasadach^[5]^[6].

Schemat z mediatorem można traktować jako szczególny przypadek generowania podpisów przez dwie strony protokołu: żadna ze stron protokołu nie może wygenerować podpisu samodzielnie, udział obu jest niezbędny do złożenia podpisu^[7]; w schemacie z mediatorem jedna ze stron jest wyróżniona – odgrywa rolę egzekutora i strażnika polityk bezpieczeństwa.

Korzyści[edytuj | edytuj kod]

Podpis z mediatorem jest generacją rozwiązań podpisu elektronicznego, której głównymi atutami są:

Rozdzielenie klucza podpisu pomiędzy dwie strony (wyciek klucza od jednej ze stron nie pozwala jeszcze na fałszowanie podpisów)
Wprowadzenie możliwości zarządzania podpisami i zwiększenie kontroli użytkownika nad wykonywanymi czynnościami kryptograficznymi^[2]
Umożliwienie definiowania dodatkowych atrybutów wymaganych do spełnienia w momencie finalizacji podpisu
Umożliwienie wykonywania podpisu elektronicznego on-line wraz z natychmiastowym potwierdzeniem jego ważności. W efekcie uzyskuje się istotne uproszczenie procesu weryfikacji podpisu elektronicznego po stronie odbiorcy podpisanego dokumentu.

Koncepcja podpisu z mediatorem dla schematu RSA (mRSA) jest rozwinięciem standardowego PKI o nowe funkcjonalności związane z pełnym wykorzystaniem możliwości jakie daje globalna sieć Internet. Przede wszystkim chodzi o połączenie on-line do centralnego serwera, który odpowiedzialny jest za weryfikację nie tylko ważności i statusu certyfikatu w czasie składania podpisu, ale również sprawdzenie dodatkowych atrybutów związanych ze złożonym podpisem. Dzięki takiemu podejściu, całkowitemu odwróceniu ulega obciążenie związane z walidacją podpisu. W standardowym PKI to osoba weryfikująca podpis była obarczana koniecznością dokonania wielu sprawdzeń, dotyczących ważności certyfikatu, podpisu oraz czasu wykonania operacji. Implikowało to wykonywanie wielu takich tych samych operacji on-line (znakowanie czasem, pobranie listy CRL lub uzyskanie odpowiedzi OCSP) za każdym razem, gdy podpis był weryfikowany. Jeśli podpisany dokument otrzyma 10 osób, to wszystkie operacje muszą być wykonane również 10 razy, aby każda z osób miała pewność co do ważności podpisu. Dzięki zastosowaniu koncepcji podpisu z mediatorem, weryfikacja ważności podpisu realizowana jest już w procesie finalizacji podpisu przez serwer centralny. Osoby dokonujące sprawdzenia (ufające centrum finalizacji) muszą jedynie sprawdzić integralność podpisu, poddając go matematycznej weryfikacji off-line: matematyczna weryfikacja podpisu kluczem domniemanego podpisującego przebiega w przypadku mRSA dokładnie tak samo, jak w przypadku zwykłego RSA.

Istotnym udogodnieniem jest zagwarantowanie czasu złożenia podpisu, co ma fundamentalne znaczenie w przypadku dokonywania wszystkich transakcji elektronicznych. Realizując podpis w schemacie z mediatorem, to system centralny, któremu ufa osoba składająca podpis, zapewnia poprawność czasu wykonania operacji. Osoba weryfikująca podpis również ma pewność, że podpis został złożony w czasie, który był zgodny z zaufanym czasem serwera finalizującego podpis.

Minusy[edytuj | edytuj kod]

Większe skomplikowanie fazy generowania kluczy i fazy składania podpisu.
Wydłużenie procesu podpisywania (zależne od wydajności serwera mediatora i stopnia jego obciążenia).
Wymagane jest zaufanie do mediatora. Stopień wymaganego zaufania można zredukować kosztem zwiększenia złożoności architektury systemu^[8].
Podpis w obecnych uregulowaniach prawnych nie może być stosowany jako podpis kwalifikowany.
Schemat obecnie na etapie pomysłu teoretycznego: brak dojrzałych rozwiązań komercyjnych lub o otwartym kodzie źródłowym.

Mechanizmy podpisu w schemacie z mediatorem[edytuj | edytuj kod]

Schemat podpisu z mediatorem przedstawimy na przykładzie algorytmu mRSA. Zakładamy poniżej, że w schemacie mRSA klucze generowane są w scentralizowany sposób przez zaufaną trzecią stronę, tzw. dilera kluczy. Innym podejściem jest generowanie kluczy w sposób rozproszony^[9]^[10] tak, że żaden z wykonawców algorytmu generowania kluczy nie zna klucza prywatnego (lub równoważnie, nie zna rozkładu modułu RSA na czynniki^[11]).

Przypomnijmy, że dla zwykłego RSA mamy następujące parametry przypisane do użytkownika $u{:}$

klucz publiczny składający się z pary liczb $(e_{u},n_{u}),$ $(e_{u},n_{u}),$ gdzie
- $n_{u}$ jest iloczynem dwóch dużych liczb pierwszych $p_{u},q_{u}$ (rozkład $n_{u}$ na czynniki $p_{u},q_{u}$ musi pozostać tajny^[11]),
- $e_{u}$ jest względnie pierwsze z $\varphi (n_{u})=(p_{u}-1)\cdot (q_{u}-1),$
klucz prywatny $d_{u}=e_{u}^{-1}{\bmod {\varphi }}(n_{u}).$

Klucz publiczny jest kluczem weryfikacji podpisu, zapisanym w certyfikacie $C_{u}$ użytkownika $u.$ Klucz prywatny służy do generowania podpisu.

Generowanie podpisu RSA ma wówczas następujący przebieg (poniższy zapis jest bardzo uproszczony, por. np. format XAdES^[12] oraz padding stosowany w przypadku podpisów RSA^[13]):

użytkownik $u,$ używając odpornej na kolizję funkcji skrótu $h$ oblicza skrót $h(m)$ podpisywanej wiadomości $m,$
mając $h(m)$ użytkownik $u$ oblicza podpis $s$ jako

s=(h(m))^{d_{u}}{\bmod {n}}_{u}.

Matematyczna weryfikacja domniemanego podpisu ${\tilde {s}}$ wykonanego przez użytkownika $u$ na wiadomości $m$ polega na pobraniu klucza publicznego tego użytkownika z certyfikatu $C_{u}$ oraz na zweryfikowaniu, czy zachodzi równość

({\tilde {s}})^{e_{u}}=h(m){\bmod {n}}_{u}.

Poza matematyczną weryfikacją podpisu należy jeszcze zweryfikować prawdziwość certyfikatu $C_{u}$ (por. budowanie ścieżki certyfikatów^[14]) oraz sprawdzić, czy certyfikat ten nie został odwołany z powodu np. zgubienia przez użytkownika $u$ karty z kluczem prywatnym $d_{u}$ (por. mechanizmy CRL, OCSP).

Generowanie kluczy w schemacie mRSA[edytuj | edytuj kod]

Protokół generowania kluczy użytkownika $u$ przebiega następująco:

Karta w procesie personalizacji komunikuje się z dilerem kluczy przekazując mu swój identyfikator i inicjując procedurę generowania kluczy.
Diler generuje klucz publiczny $(e_{u},n_{u})$ oraz klucz prywatny $d_{u}.$ Klucz prywatny nie będzie bezpośrednio wykorzystywany do składania podpisu. Zostanie podzielony pomiędzy kartę i mediatora. Karta i mediator jedynie współdziałając będą mogli złożyć weryfikowalny podpis.
Diler przekazuje mediatorowi identyfikator karty oraz długość modułu $n_{u}$ w bitach.
Mediator generuje swój unikatowy tajny składnik $d_{u,2}$ klucza prywatnego dla karty o przekazanym od dilera identyfikatorze.
Mediator przekazuje swój składnik klucza prywatnego dilerowi (możliwe są różne warianty tego kroku, np. wykorzystanie kryptosystemu Paillier’a^[15] i późniejsze dokonywanie przez dilera obliczeń na danych zaszyfrowanych).
Diler oblicza składnik klucza prywatnego karty $d_{u,1}$ na podstawie wartości wygenerowanej przez siebie i składnika uzyskanego od mediatora: $d_{u,1}=d_{u}-d_{u,2}{\bmod {\varphi }}(n_{u})$
Diler przekazuje do karty wyliczony dla niej składnik prywatny $d_{u,1}$ oraz klucz publiczny $(e_{u},n_{u})$ wraz z jego certyfikatem $C_{u}$ (zakładamy, że identyfikator karty jest zapisany w certyfikacie $C_{u}$ ).

Zauważmy, że tak mediator, jak i karta nie znają wykładnika $d_{u},$ oraz rozkładu modułu $n_{u}$ na czynniki.

Podpisywanie wiadomości w schemacie mRSA[edytuj | edytuj kod]

Protokół składania podpisu przez użytkownika $u$ przebiega następująco:

Karta nawiązuje bezpieczne połączenie z mediatorem (bezpieczny kanał komunikacyjny).
Użytkownik przy użyciu swojej karty (zapisanego na karcie prywatnego składnika $d_{u,1}$ klucza do podpisu) składa tzw. podpis częściowy pod wiadomością $m$ (wykonuje algorytm pre-podpisu): oblicza skrót $h(m)$ oraz pre-podpis $s_{1}=(h(m))^{d_{u,1}}{\bmod {n}}_{u}.$
Użytkownik wysyła do mediatora pakiet zawierający następujące dane: skrót $h(m)$ podpisywanej wiadomości, podpis częściowy $s_{1},$ certyfikat $C_{u}.$ Alternatywnie: certyfikat klucza publicznego może być ustalony przez system mediatora na podstawie przeprowadzanego wcześniej protokołu uwierzytelniania karty wobec systemu mediatora.
Jeżeli karta nie została wcześniej zablokowana, oraz jeżeli nie minął termin jej ważności, mediator wykonuje algorytm finalizujący: $s=s_{1}\cdot (h(m))^{d_{u,2}}{\bmod {n}}_{u}.$ Po jego wykonaniu mediator przeprowadza procedurę weryfikacji sfinalizowanego podpisu dla wartości skrótu podpisywanej wiadomości: jeśli do wykonania podpisu częściowego $s_{1}$ rzeczywiście użyto składnika klucza prywatnego przechowywanego przez kartę, to sfinalizowany podpis jest poprawny. Ponadto poza poprawnością podpisu w sensie matematycznym, mediator może zweryfikować zgodność otrzymanych danych z polityką podpisu^[16], z polityką certyfikacji^[17], oraz z ewentualnymi wcześniejszymi decyzjami użytkownika^[2].
Mediator wysyła obliczony podpis $s$ do użytkownika $u.$
Następuje zakończenie sesji pomiędzy kartą a mediatorem.
Użytkownik weryfikuje podpis.

Weryfikacja podpisu przez odbiorcę dokumentu[edytuj | edytuj kod]

Weryfikacja podpisu mRSA wykonywana jest tak samo jak dla schematu RSA, jednak użytkownik nie musi już sprawdzać, czy certyfikat podpisującego nie został odwołany – sprawdzenia tego dokonał mediator podczas finalizacji podpisu.

Przypisy[edytuj | edytuj kod]

↑ ^a ^b Dan Boneh, Xuhua Ding, Gene Tsudik, Chi Ming Wong. A method for fast revocation of public key certificates and security capabilities. „SSYM’01: Proceedings of the 10th conference on USENIX Security Symposium”, s. 297–308, 2001. Berkeley, CA, USA: USENIX Association.
↑ ^a ^b ^c Michał Tabor: Electronic signature – easy as card transactions. W: Polskie Karty 2011 almanach. Medien Service Sławomir Cieśliński, s. 331–335. ISBN 978-83-924201-1-8.}
↑ Przemysław Błaśkiewicz, Przemysław Kubiak, Mirosław Kutyłowski. Digital signatures for e-government – a long-term security architecture. „China Communications”. 7(6), s. 64–70, December 2010. ISSN 1673-5447.
↑ Dan Boneh, Xuhua Ding, Gene Tsudik. Fine-grained control of security capabilities. „ACM Trans. Internet Techn.”. 4(1), s. 60–82, 2004.
↑ Chen Yang, Wen ping Ma, Xin mei Wang. Secure mediated certificateless signature scheme. „The Journal of China Universities of Posts and Telecommunications”. 14(2), s. 75–78, 2007.
↑ Xuhua Ding, Gene Tsudik, Shouhuai Xu. Leak-free mediated group signatures. „J. Comput. Secur.”. 17 (4), s. 489–514, December 2009. IOS Press.
↑ Philip D. MacKenzie, Michael K. Reiter: Two-party generation of DSA signatures. W: Joe Kilian: CRYPTO. T. 2139. Springer, 2001, s. 137–154, seria: Lecture Notes in Computer Science.
↑ Przemysław Kubiak: Algorithmic background - perspectives of PKI 2.0 (trust reduction to system components). slides from PKI 2.0 Partner Workshop, January 20, 2011, Wrocław.
↑ Ivan Damgård, Gert Læssøe Mikkelsen: Efficient, Robust and Constant-Round Distributed RSA Key Generation. W: Daniele Micciancio: TCC 2010: Proceedings of the 7th Theory of Cryptography Conference. T. 5978. Springer, 2010, s. 183–200, seria: Lecture Notes in Computer Science.
↑ Niv Gilboa: Two Party RSA Key Generation. W: Michael J. Wiener: CRYPTO 1999: Proceedings of the 19th Annual International Cryptology Conference. T. 1666. Springer, s. 116–129, seria: Lecture Notes in Computer Science.
↑ ^a ^b Jean-Sébastien Coron, Alexander May. Deterministic Polynomial-Time Equivalence of Computing the RSA Secret Key and Factoring. „J. Cryptology”. 20(1), s. 39–50, 2007.
↑ Electronic Signatures and Infrastructures (ESI): XML Advanced Electronic Signatures (XAdES), ETSI TS 101 903 v1.4.2, European Telecommunications Standards Institute, 2010 .
↑ PKCS #1 v2.1: RSA Cryptography Standard, RSA Laboratories, 2002 .
↑ Part 5: Certificate Path Validation. W: T7 & TELE TRUST: Common PKI Specifications for Interoperable Applications. January 2009.
↑ Pascal Paillier: Public-Key Cryptosystems Based on Composite Degree Residuosity Classes. W: Jacques Stern: EUROCRYPT’99, Proceedings of International Conference on the Theory and Application of Cryptographic Techniques. Springer, 1999, s. 223–238, seria: Lecture Notes in Computer Science.
↑ Signature Policies Report, TR 102 041 v1.1.1, European Telecommunications Standards Institute, 2002 .
↑ SharonS. Boeyen SharonS., Certificate Policies and Certification Practice Statements, Entrust White Paper, 1997 .

[usenix-mRSA-1] Dan Boneh, Xuhua Ding, Gene Tsudik, Chi Ming Wong. A method for fast revocation of public key certificates and security capabilities. „SSYM’01: Proceedings of the 10th conference on USENIX Security Symposium”, s. 297–308, 2001. Berkeley, CA, USA: USENIX Association.

[signature-services-2] Michał Tabor: Electronic signature – easy as card transactions. W: Polskie Karty 2011 almanach. Medien Service Sławomir Cieśliński, s. 331–335. ISBN 978-83-924201-1-8.}

[3] Przemysław Błaśkiewicz, Przemysław Kubiak, Mirosław Kutyłowski. Digital signatures for e-government – a long-term security architecture. „China Communications”. 7(6), s. 64–70, December 2010. ISSN 1673-5447.

[4] Dan Boneh, Xuhua Ding, Gene Tsudik. Fine-grained control of security capabilities. „ACM Trans. Internet Techn.”. 4(1), s. 60–82, 2004.

[5] Chen Yang, Wen ping Ma, Xin mei Wang. Secure mediated certificateless signature scheme. „The Journal of China Universities of Posts and Telecommunications”. 14(2), s. 75–78, 2007.

[6] Xuhua Ding, Gene Tsudik, Shouhuai Xu. Leak-free mediated group signatures. „J. Comput. Secur.”. 17 (4), s. 489–514, December 2009. IOS Press.

[7] Philip D. MacKenzie, Michael K. Reiter: Two-party generation of DSA signatures. W: Joe Kilian: CRYPTO. T. 2139. Springer, 2001, s. 137–154, seria: Lecture Notes in Computer Science.

[8] Przemysław Kubiak: Algorithmic background - perspectives of PKI 2.0 (trust reduction to system components). slides from PKI 2.0 Partner Workshop, January 20, 2011, Wrocław.

[9] Ivan Damgård, Gert Læssøe Mikkelsen: Efficient, Robust and Constant-Round Distributed RSA Key Generation. W: Daniele Micciancio: TCC 2010: Proceedings of the 7th Theory of Cryptography Conference. T. 5978. Springer, 2010, s. 183–200, seria: Lecture Notes in Computer Science.

[10] Niv Gilboa: Two Party RSA Key Generation. W: Michael J. Wiener: CRYPTO 1999: Proceedings of the 19th Annual International Cryptology Conference. T. 1666. Springer, s. 116–129, seria: Lecture Notes in Computer Science.

[d-vs-factorisation-11] Jean-Sébastien Coron, Alexander May. Deterministic Polynomial-Time Equivalence of Computing the RSA Secret Key and Factoring. „J. Cryptology”. 20(1), s. 39–50, 2007.

[12] Electronic Signatures and Infrastructures (ESI): XML Advanced Electronic Signatures (XAdES), ETSI TS 101 903 v1.4.2, European Telecommunications Standards Institute, 2010 .

[13] PKCS #1 v2.1: RSA Cryptography Standard, RSA Laboratories, 2002 .

[14] Part 5: Certificate Path Validation. W: T7 & TELE TRUST: Common PKI Specifications for Interoperable Applications. January 2009.

[15] Pascal Paillier: Public-Key Cryptosystems Based on Composite Degree Residuosity Classes. W: Jacques Stern: EUROCRYPT’99, Proceedings of International Conference on the Theory and Application of Cryptographic Techniques. Springer, 1999, s. 223–238, seria: Lecture Notes in Computer Science.

[16] Signature Policies Report, TR 102 041 v1.1.1, European Telecommunications Standards Institute, 2002 .

[17] SharonS. Boeyen SharonS., Certificate Policies and Certification Practice Statements, Entrust White Paper, 1997 .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]