Групповые протоколы для цифровых подписей.
Понятие групповой подписи было предложено Чаумом в работе 5. Схема подписи для группы подписывающих и одного проверяющего называется схемой групповой подписи group signature scheme, если 1 подписывать сообщения могут только члены группы подписывающих 2 проверяющий может проверить, что подпись была сгенерирована некоторым подписывающим, но не может установить, кем именно анонимность подписывающего 3 при необходимости подпись может быть открыта например, центром доверия, т. е. установлен подписывающий, который ее сгенерировал с помощью или без помощи членов группы подписывающих.
В той же работе 6 предложено четыре схемы групповой подписи.
Приведем для примера краткое описание первой схемы 1 Посредник выбирает некоторую схему электронной подписи, дает каждому подписывающему список секретных ключей эти списки для разных подписывающих должны быть непересекающимися. 2 Соответствующие открытые ключи публикует в случайном порядке в некотором общедоступном сертифицированном справочнике. 3 После этого каждый подписывающий использует для подписи сообщений выбранную Посредником схему с одним из данных ему секретных ключей. Каждый секретный ключ может быть использован лишь один раз, так как в противном случае проверяющий может установить, что несколько подписей сгенерированы одним и тем же подписывающим. 4 Подпись принимается проверяющим, если и только если она является допустимой подписью по отношению к некоторому открытому ключу из сертифицированного справочника. 5 Так как открытые ключи опубликованы в этом справочнике в случайном порядке, проверяющий не может узнать, кому из подписывающих принадлежит тот или иной открытый ключ. Только Посредник, зная соответствие между открытыми ключами и подписывающими, может открыть данную подпись.
Одним из недостатков данной схемы является то, что Посредник знает секретные ключи подписывающих и, следовательно, может сам подписывать сообщения вместо них. Авторы 6 предлагают для предотвращения этой угрозы использовать затемненные открытые ключи blinded public keys, смысл которых заключается в следующем 1 Пусть в используемой схеме электронной подписи секретные ключи выбираются из Zp-1, где p - простое число, и каждому секретному ключу x соответствует открытый ключ g х mod p, где g - некоторый порождающий группы Zp. 2 Каждый подписывающий скажем, i-й выбирает si Zp-1 3 и посылает g si mod p Посреднику. 4 После этого Посредник выбирает ri Zp-1 5 И, затем, дает его подписывающему и публикует g siri mod p в качестве открытого ключа.
Соответствующий секретный ключ может быть вычислен подписывающим в виде siri mod p. Достоинством этого метода является также и то, что одно и то же значение может быть использовано для выработки нескольких секретных ключей.
В работе Чена и Педерсена 7 описана модификация этой схемы, в которой ключи выбирает не Посредник, а подписывающие.
Каждый подписывающий свои секретные ключи сохраняет в секрете, а открытые - посылает Посреднику.
После получения открытых ключей от всех подписывающих Посредник публикует эти ключи в случайном порядке в некотором общедоступном сертифицированном справочнике.
В остальном схема совпадает с описанной выше. Другие схемы групповой подписи предложены в работах Чена и Педерсена 8 и 9.