Puncte:1

Este posibil să dezanonimizați utilizatorul în cântatul orb RSA fără a cunoaște doar factorul de orbire aleatoare?

drapel ls

De exemplu, în cazul utilizării semnării oarbe RSA în protocolul E-Voting:

introduceți descrierea imaginii aici

Este posibil să urmăriți (Sx, x) până la (Sb, b) dacă Signer și Tallier sunt aceeași persoană?

În acest caz, atacatorul are acces la: mesaj orb b, semnarea mesajului orb Sb, cheie privată și publică care permite semnarea și verificarea mesajelor, mesaj original X și semnarea mesajului original S x. Singurul lucru pe care atacatorul nu îl știe este numărul aleatoriu r cea folosită de Bob pentru a orbit mesajul original b=orb(x,r)

Puncte:2
drapel my

Este posibil să urmăriți (Sx, x) până la (Sb, b) dacă Signer și Tallier sunt aceeași persoană?

Nu (presupunând că factorul de orbire a fost ales uniform la întâmplare).

Iată cum funcționează orbirea RSA: pentru a semna un mesaj de umplutură $m$, Bob selectează o valoare aleatorie $r$, și trimite $r^e \cdot m \bmod n$ (Unde $e, n$ sunt din cheia publică). Apoi, semnatarul calculează $(r^e \cdot m)^d = r \cdot m^d \bmod n$ (și apoi Bob finalizează procesul calculând $r^{-1} \cdot (r \cdot m^d) = m^d$)

Ideea este că, (ignorând probabilitatea banală că fie $m$ sau $r$ nu este relativ prim pentru $n$) atunci $r^e$ poate fi, de asemenea, orice valoare, și așa pentru orice mesaj posibil $m'$, există o $r'$ astfel încât $r'^e \cdot m'$ este în concordanță cu valorile pe care semnatarul le primește de la Bob. Adică, valoarea pe care Bob o transmite semnatarului nu oferă deloc informații (din punct de vedere informațional) despre mesajul care este semnat și acest lucru este adevărat chiar dacă semnatarul are o capacitate de resurse de calcul arbitrar mare.

Aceasta include orice informații pe care Tallier le-ar putea folosi pentru a lega un vot cu un semnatar.

Rețineți că am început asta cu „factorul orbitor a fost ales uniform”; dacă nu, de exemplu, există valori $r$ că Bob nu va alege niciodată, atunci semnatarul ar putea să învețe ceva (posibil ce valori are Bob nu semnare)

Serbin avatar
drapel ls
Dacă semnatarul cunoaște $S' = r \cdot m^d \bmod N$, poate calcula și $ m^d \bmod N$ (deoarece semnatarul cunoaște $m$ și $d$) pentru a găsi $r$?
poncho avatar
drapel my
@Serbin: dacă semnatarul/talierul știa deja că Bob a votat (și, prin urmare, știe $m$), atunci da, ar putea calcula $r$ (nu că asta ar fi important pentru argument; ar fi valabil chiar dacă asta ar fi dificil). Acesta nu este un atac la adresa anonimatului, deoarece aceasta presupune că semnatarul/Tallier a încălcat deja asta. Și, dacă s-au înșelat (dacă Alice a votat cu adevărat), atunci ar putea recupera un $r$ care ar fi fost ceea ce ar fi folosit Bob dacă ar fi votat și nu au nicio indicație că Bob nu a votat de fapt.
Serbin avatar
drapel ls
Tallier primește $m$ și $S$ de la un utilizator anonim. Tallier poate calcula $x = m^d \bmod N$ pentru cererea primită. Pe partea semnatar, ei stochează în secret toate perechile $m'$ primite și $S'$ care ies. Dacă vom repeta peste tot $S'$ cu semn, putem găsi $r$ (de exemplu ca $r = S' \cdot x^{-1}$)? Ca verificare putem folosi $m' = r^e m \bmod N$.
poncho avatar
drapel my
@Serbin: cu siguranță pot - cu toate acestea, pasul de verificare va spune întotdeauna „este consecvent” (fie că este votul lui Alice sau al lui Bob); dacă avem un arbitrar $x, m$ (votul lui Bob cu $x^e = m$) și $m', S'$ (votul orb al lui Alice cu $S'^e = m'$), încă putem calcula o valoare $r = S' \cdot x^{-1}$ și găsiți că $r^e m = S'^e x^{-e} m = m' m^{-1} m = m'$. și astfel ecuația este valabilă, chiar dacă Bob nu a votat
Serbin avatar
drapel ls
Iată codul care calculează secretul $r$ dacă Tallier și Signer sunt aceeași persoană: https://onecompiler.com/python/3x9hgtzyg Se pare că separarea sistemelor Signer/Tallier este o condiție prealabilă pentru semnarea oarbă.
poncho avatar
drapel my
@Serbin: calculează un $r$ cu aspect plauzibil pe o presupunere greșită (Alice a făcut semnătura orbită, dar Bob a trimis votul la care te uiți)? Dacă da, cum indică dacă presupunerea este incorectă; adica nu Alice a fost cea care a depus votul in cauza?
Manish Adhikari avatar
drapel us
Poncho ți-a spus deja detaliile, dar începe așa, scopul semnăturilor oarbe este să previi ceea ce ceri. Dacă îi cer unui semnatar să semneze două mesaje orbite și mai târziu îi dau aceluiași semnatar mesaj și semnături neorbit în orice ordine (semnatarul are cheile private/publice și atât mesajul și semnăturile orb, cât și neblind), semnatarul nu ar trebui să poată pentru a spune dacă comanda este schimbată sau nu. Semnăturile oarbe RSA, așa cum v-a spus Poncho, sunt informații teoretic de neconectate.
Manish Adhikari avatar
drapel us
semnatarul nu ar trebui să poată spune dacă comanda este schimbată sau nu* mult mai bine decât o presupunere aleatorie, am ratat această parte
Serbin avatar
drapel ls
Da, într-adevăr, acest lucru este imposibil.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.