Podpis elektroniczny z mediatorem

Podpis z mediatorem (właściwie podpis w schemacie z mediatorem) – podpis elektroniczny, którego złożenie wymaga udziału dodatkowej strony nazwanej mediatorem.

Zasady działania

Schemat podpisów z mediatorem zaproponowany został w pracy^[1] jako metoda natychmiastowego blokowania możliwości składania podpisu przez wskazanych użytkowników. Blokada może być:

trwała: w przypadku utraty przez użytkownika urządzenia zawierającego klucz do składania podpisu,
tymczasowa: na przykład na wniosek użytkownika tracącego czasowo kontrolę nad urządzeniem do składania podpisu z powodu konieczności poddania się operacji chirurgicznej,
okresowa: stosowana np. wobec pracowników korporacji lub urzędników poza godzinami ich pracy.

W podstawowym schemacie złożenie podpisu składa się z dwóch faz:

wygenerowania tzw. pre-podpisu po stronie użytkownika,
finalizacji pre-podpisu do pełnego podpisu (lub krótko: finalizacji podpisu) dokonywanej po stronie centralnego serwera.

Efektem ubocznym zaangażowania centralnego serwera w proces tworzenia podpisu jest możliwość elastycznego zarządzania przez użytkownika atrybutami podpisu, weryfikowanymi przez centralny serwer w trakcie finalizacji podpisu^[2]. Wykorzystując centralny serwer można także zaimplementować mechanizmy zwiększające bezpieczeństwo schematu podpisów^[3].

Schemat podpisów z mediatorem zaproponowano początkowo^[1]^[4] w wersji dla algorytmu RSA (wersję tę oznacza się czasem jako mRSA – od mediated RSA). Zostały również przedstawione inne schematy bazujące na podobnych zasadach^[5]^[6].

Schemat z mediatorem można traktować jako szczególny przypadek generowania podpisów przez dwie strony protokołu: żadna ze stron protokołu nie może wygenerować podpisu samodzielnie, udział obu jest niezbędny do złożenia podpisu^[7]; w schemacie z mediatorem jedna ze stron jest wyróżniona – odgrywa rolę egzekutora i strażnika polityk bezpieczeństwa.

Korzyści

Podpis z mediatorem jest generacją rozwiązań podpisu elektronicznego, której głównymi atutami są:

Rozdzielenie klucza podpisu pomiędzy dwie strony (wyciek klucza od jednej ze stron nie pozwala jeszcze na fałszowanie podpisów)
Wprowadzenie możliwości zarządzania podpisami i zwiększenie kontroli użytkownika nad wykonywanymi czynnościami kryptograficznymi^[2]
Umożliwienie definiowania dodatkowych atrybutów wymaganych do spełnienia w momencie finalizacji podpisu
Umożliwienie wykonywania podpisu elektronicznego on-line wraz z natychmiastowym potwierdzeniem jego ważności. W efekcie uzyskuje się istotne uproszczenie procesu weryfikacji podpisu elektronicznego po stronie odbiorcy podpisanego dokumentu.

Koncepcja podpisu z mediatorem dla schematu RSA (mRSA) jest rozwinięciem standardowego PKI o nowe funkcjonalności związane z pełnym wykorzystaniem możliwości jakie daje globalna sieć Internet. Przede wszystkim chodzi o połączenie on-line do centralnego serwera, który odpowiedzialny jest za weryfikację nie tylko ważności i statusu certyfikatu w czasie składania podpisu, ale również sprawdzenie dodatkowych atrybutów związanych ze złożonym podpisem. Dzięki takiemu podejściu, całkowitemu odwróceniu ulega obciążenie związane z walidacją podpisu. W standardowym PKI to osoba weryfikująca podpis była obarczana koniecznością dokonania wielu sprawdzeń, dotyczących ważności certyfikatu, podpisu oraz czasu wykonania operacji. Implikowało to wykonywanie wielu takich tych samych operacji on-line (znakowanie czasem, pobranie listy CRL lub uzyskanie odpowiedzi OCSP) za każdym razem, gdy podpis był weryfikowany. Jeśli podpisany dokument otrzyma 10 osób, to wszystkie operacje muszą być wykonane również 10 razy, aby każda z osób miała pewność co do ważności podpisu. Dzięki zastosowaniu koncepcji podpisu z mediatorem, weryfikacja ważności podpisu realizowana jest już w procesie finalizacji podpisu przez serwer centralny. Osoby dokonujące sprawdzenia (ufające centrum finalizacji) muszą jedynie sprawdzić integralność podpisu, poddając go matematycznej weryfikacji off-line: matematyczna weryfikacja podpisu kluczem domniemanego podpisującego przebiega w przypadku mRSA dokładnie tak samo, jak w przypadku zwykłego RSA.

Istotnym udogodnieniem jest zagwarantowanie czasu złożenia podpisu, co ma fundamentalne znaczenie w przypadku dokonywania wszystkich transakcji elektronicznych. Realizując podpis w schemacie z mediatorem, to system centralny, któremu ufa osoba składająca podpis, zapewnia poprawność czasu wykonania operacji. Osoba weryfikująca podpis również ma pewność, że podpis został złożony w czasie, który był zgodny z zaufanym czasem serwera finalizującego podpis.

Minusy

Większe skomplikowanie fazy generowania kluczy i fazy składania podpisu.
Wydłużenie procesu podpisywania (zależne od wydajności serwera mediatora i stopnia jego obciążenia).
Wymagane jest zaufanie do mediatora. Stopień wymaganego zaufania można zredukować kosztem zwiększenia złożoności architektury systemu^[8].
Podpis w obecnych uregulowaniach prawnych nie może być stosowany jako podpis kwalifikowany.
Schemat obecnie na etapie pomysłu teoretycznego: brak dojrzałych rozwiązań komercyjnych lub o otwartym kodzie źródłowym.

Mechanizmy podpisu w schemacie z mediatorem

Schemat podpisu z mediatorem przedstawimy na przykładzie algorytmu mRSA. Zakładamy poniżej, że w schemacie mRSA klucze generowane są w scentralizowany sposób przez zaufaną trzecią stronę, tzw. dilera kluczy. Innym podejściem jest generowanie kluczy w sposób rozproszony^[9]^[10] tak, że żaden z wykonawców algorytmu generowania kluczy nie zna klucza prywatnego (lub równoważnie, nie zna rozkładu modułu RSA na czynniki^[11]).

Przypomnijmy, że dla zwykłego RSA mamy następujące parametry przypisane do użytkownika $u :$

klucz publiczny składający się z pary liczb (eu,nu), gdzie
- $n_{u}$ jest iloczynem dwóch dużych liczb pierwszych $p_{u}, q_{u}$ (rozkład $n_{u}$ na czynniki $p_{u}, q_{u}$ musi pozostać tajny^[11]),
- $e_{u}$ jest względnie pierwsze z $φ (n_{u}) = (p_{u} - 1) \cdot (q_{u} - 1),$
klucz prywatny $d_{u} = e_{u}^{- 1} mod φ (n_{u}) .$

Klucz publiczny jest kluczem weryfikacji podpisu, zapisanym w certyfikacie $C_{u}$ użytkownika $u .$ Klucz prywatny służy do generowania podpisu.

Generowanie podpisu RSA ma wówczas następujący przebieg (poniższy zapis jest bardzo uproszczony, por. np. format XAdES^[12] oraz padding stosowany w przypadku podpisów RSA^[13]):

użytkownik $u,$ używając odpornej na kolizję funkcji skrótu $h$ oblicza skrót $h (m)$ podpisywanej wiadomości $m,$
mając $h (m)$ użytkownik $u$ oblicza podpis $s$ jako

s = (h (m))^{d_{u}} {mod n}_{u} .

Matematyczna weryfikacja domniemanego podpisu $\tilde{s}$ wykonanego przez użytkownika $u$ na wiadomości $m$ polega na pobraniu klucza publicznego tego użytkownika z certyfikatu $C_{u}$ oraz na zweryfikowaniu, czy zachodzi równość

(\tilde{s})^{e_{u}} = h (m) {mod n}_{u} .

Poza matematyczną weryfikacją podpisu należy jeszcze zweryfikować prawdziwość certyfikatu $C_{u}$ (por. budowanie ścieżki certyfikatów^[14]) oraz sprawdzić, czy certyfikat ten nie został odwołany z powodu np. zgubienia przez użytkownika $u$ karty z kluczem prywatnym $d_{u}$ (por. mechanizmy CRL, OCSP).

Generowanie kluczy w schemacie mRSA

Protokół generowania kluczy użytkownika $u$ przebiega następująco:

Karta w procesie personalizacji komunikuje się z dilerem kluczy przekazując mu swój identyfikator i inicjując procedurę generowania kluczy.
Diler generuje klucz publiczny $(e_{u}, n_{u})$ oraz klucz prywatny $d_{u} .$ Klucz prywatny nie będzie bezpośrednio wykorzystywany do składania podpisu. Zostanie podzielony pomiędzy kartę i mediatora. Karta i mediator jedynie współdziałając będą mogli złożyć weryfikowalny podpis.
Diler przekazuje mediatorowi identyfikator karty oraz długość modułu $n_{u}$ w bitach.
Mediator generuje swój unikatowy tajny składnik $d_{u, 2}$ klucza prywatnego dla karty o przekazanym od dilera identyfikatorze.
Mediator przekazuje swój składnik klucza prywatnego dilerowi (możliwe są różne warianty tego kroku, np. wykorzystanie kryptosystemu Paillier’a^[15] i późniejsze dokonywanie przez dilera obliczeń na danych zaszyfrowanych).
Diler oblicza składnik klucza prywatnego karty $d_{u, 1}$ na podstawie wartości wygenerowanej przez siebie i składnika uzyskanego od mediatora: $d_{u, 1} = d_{u} - d_{u, 2} mod φ (n_{u})$
Diler przekazuje do karty wyliczony dla niej składnik prywatny $d_{u, 1}$ oraz klucz publiczny $(e_{u}, n_{u})$ wraz z jego certyfikatem $C_{u}$ (zakładamy, że identyfikator karty jest zapisany w certyfikacie $C_{u}$ ).

Zauważmy, że tak mediator, jak i karta nie znają wykładnika $d_{u},$ oraz rozkładu modułu $n_{u}$ na czynniki.

Podpisywanie wiadomości w schemacie mRSA

Protokół składania podpisu przez użytkownika $u$ przebiega następująco:

Karta nawiązuje bezpieczne połączenie z mediatorem (bezpieczny kanał komunikacyjny).
Użytkownik przy użyciu swojej karty (zapisanego na karcie prywatnego składnika $d_{u, 1}$ klucza do podpisu) składa tzw. podpis częściowy pod wiadomością $m$ (wykonuje algorytm pre-podpisu): oblicza skrót $h (m)$ oraz pre-podpis $s_{1} = (h (m))^{d_{u, 1}} {mod n}_{u} .$
Użytkownik wysyła do mediatora pakiet zawierający następujące dane: skrót $h (m)$ podpisywanej wiadomości, podpis częściowy $s_{1},$ certyfikat $C_{u} .$ Alternatywnie: certyfikat klucza publicznego może być ustalony przez system mediatora na podstawie przeprowadzanego wcześniej protokołu uwierzytelniania karty wobec systemu mediatora.
Jeżeli karta nie została wcześniej zablokowana, oraz jeżeli nie minął termin jej ważności, mediator wykonuje algorytm finalizujący: $s = s_{1} \cdot (h (m))^{d_{u, 2}} {mod n}_{u} .$ Po jego wykonaniu mediator przeprowadza procedurę weryfikacji sfinalizowanego podpisu dla wartości skrótu podpisywanej wiadomości: jeśli do wykonania podpisu częściowego $s_{1}$ rzeczywiście użyto składnika klucza prywatnego przechowywanego przez kartę, to sfinalizowany podpis jest poprawny. Ponadto poza poprawnością podpisu w sensie matematycznym, mediator może zweryfikować zgodność otrzymanych danych z polityką podpisu^[16], z polityką certyfikacji^[17], oraz z ewentualnymi wcześniejszymi decyzjami użytkownika^[2].
Mediator wysyła obliczony podpis $s$ do użytkownika $u .$
Następuje zakończenie sesji pomiędzy kartą a mediatorem.
Użytkownik weryfikuje podpis.

Weryfikacja podpisu przez odbiorcę dokumentu

Weryfikacja podpisu mRSA wykonywana jest tak samo jak dla schematu RSA, jednak użytkownik nie musi już sprawdzać, czy certyfikat podpisującego nie został odwołany – sprawdzenia tego dokonał mediator podczas finalizacji podpisu.

Przypisy

Szablon:Przypisy

[usenix-mRSA-1] 1,0 ^1,1 Szablon:Cytuj pismo

[signature-services-2] 2,0 ^2,1 ^2,2 Szablon:Cytuj książkę}

[3] Szablon:Cytuj pismo

[4] Szablon:Cytuj pismo

[5] Szablon:Cytuj pismo

[6] Szablon:Cytuj pismo

[7] Szablon:Cytuj książkę

[8] Szablon:Cytuj stronę

[9] Szablon:Cytuj książkę

[10] Szablon:Cytuj książkę

[d-vs-factorisation-11] 11,0 ^11,1 Szablon:Cytuj pismo

[12] Szablon:Cytuj

[13] Szablon:Cytuj

[14] Szablon:Cytuj książkę

[15] Szablon:Cytuj książkę

[16] Szablon:Cytuj

[17] Szablon:Cytuj

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

Podpis elektroniczny z mediatorem

Spis treści

Zasady działania

Korzyści

Minusy

Mechanizmy podpisu w schemacie z mediatorem

Generowanie kluczy w schemacie mRSA

Podpisywanie wiadomości w schemacie mRSA

Weryfikacja podpisu przez odbiorcę dokumentu

Przypisy

Menu nawigacyjne

Podpis elektroniczny z mediatorem

Zasady działania

Korzyści

Minusy

Mechanizmy podpisu w schemacie z mediatorem

Generowanie kluczy w schemacie mRSA

Podpisywanie wiadomości w schemacie mRSA

Weryfikacja podpisu przez odbiorcę dokumentu

Przypisy

Menu nawigacyjne

Szukaj