A randomized protocol for signing contracts (extended abstract) S.Even, O. Goldreich, A.Lempel

Kontraktsignering Hva bør eksistere? –Gyldighet – i slutten av en tilstrekkelig utførelse av protokollen skal hver part ha motpartens signatur på kontrakten –Samtidighet – Hvis Alice utfører protokollen tilstrekkelig, kan ikke Bob få Alice signatur på kontrakten uten å feste sin egen signatur til kontrakten

Kontraktsignering Hva oppnås med denne protokollen –Gyldighet – ved slutten av en tilstrekkelig utførelse av protokollen kan hver part verifisere motpartens signatur på kontrakten –Tilnærmet samtidighet – Hvis Alice utfører protokollen på en riktig måte, kan hun med høy sannsynlighet i hvert steg av protokoll utførelsen beregne Bobs signatur på kontrakten med tilnærmet samme beregningsarbeid som Bob bruker på å beregne Alice signatur på kontrakten Hva betyr dette i praksis: –Hvis Alice utfører protokollen kan ikke BOB få Alices signatur uten å gi fra seg sin egen signatur!

Bakgrunn Er tidligere vist til at ingen slik protokoll eksisterer uten deltakelse fra en tredjepart (TTP) Likevel ønskelig å ha en protokoll for å signere kontrakter uten tredjepart involvert. Dette kan realiseres med konseptet Oblivious Transfer (OT) OT Tidligere løst via problemet med å faktorisere store primtall Artikkelen foreslår løsning basert på ethvert PKCS (Public Key Crypto System – her RSA)

Oblivious Transfer Original definisjon av OT OT protokollen er en to-veis protokoll der Alice overfører bit b til Bob. Bob mottar bit b med sannsynlighet ½, og Alice vet ikke hvorvidt Bob har mottatt bit b. For Alice er sannsynligheten ½ for at BOB faktisk har lest bit b. Definisjon av OT (1-out-of-2 OT) Alice overfører to bits (b0, b1) til Bob. Bob velger hvilken bit b e han ønsker å motta. Alice lærer ikke e, og bob vet ikke b 1-e

Et eksempel.. Alice genererer 2 public/private nøkkelpar. Hun sender de to public- nøklene til Bob. Bob generer en symmetrisk nøkkel (f.eks DES) og krypterer denne med en av de to public-nøklene han fikk av Alice. Han sender denne krypterte nøkkelen til Alice. Alice vet ikke hvilken av nøklene Bob brukte, så hun dekrypterer meldingen med begge sine private-nøkler. Hun sitter nå med to mulige dekrypteringer av meldingen fra Bob. Den ene vi være en kopi av Bob’s DES nøkkel, den andre bare tilfeldige bits. Alice krypterer så melding 1 med den ene mulige dekrypteringen som DES-nøkkel, og melding 2 med en andre. Disse sender hun til Bob. Bob prøver å dekryptere begge meldingene fra Alice. Den ene blir bare tull, som han kan kaste, den andre blir noe fornuftig (forhåpentligvis..) – som da er en av meldingene fra Alice.

Svakhet Dermed har Bob en av to meldinger fra Alice, og Alice vet ikke hvilken del. Protokollen har en svakhet vet at Alice kan jukse – dersom hun krypterer den samme meldingen med de to mulige nøklene i trinn 4, så vet hun hvilken melding bob får, uten at Bob er klar over dette. Dette kan løses ved at Alice etterpå gir fra seg sine private-nøkler til Bob, som kan verifisere at hun faktisk krypterte to forskjellige meldinger, men da kan Bob lett finne også den andre meldingen.

Kontraktsignering - antagelser Antar eksistens av sikker PKCS Antar eksistens av sikkert konvensjonelt krypteringssystem (bruker her DES) –Algoritme skal være sikker –Dvs. ikke noe raskere måte å finne nøkkel enn brute force Hver deltaker A velger et ord X a, og generer fra dette et krypteringspar (Public Key par) (E A, D A ) –Deretter offentliggjør de to partene sine offentlige nøkler. –En part kan da signere en melding M med sin private nøkkel Beregningstid er tilnærmet lik for begge sider

Kontraktsignering - Aksiomer I.Bob kan gjenkjenne M. (M er f.eks en signatur på en kjent melding M’. i.e. M = D S (M’) II.Hvis Alice er ærlig mottar Bob M med sannsynlighet ½. For Alice er sannsynligheten for at BOB har lest meldingen etter sending ½. III.Hvis Alice prøve å jukse, kan BOB detektere det med sannsynlighet minst ½.

Kontraktsignering (4 steg) 1.Alice generer tilfeldig et ordnet set (X i ) n i=1 av nøkler for kryptosystem F. Hun deklarerer at hvis Bob kan presentere (n-m) signerte medlemmer av settet (m i ) n i=1 ’, er Bob forpliktet til kontrakten C. Bob handler samtidig og generer nøklene (Y i ) n i=1 2.Alice sender settet (F Xi (D A (M i )) n i=1 til Bob Bob sender settet F Yi (D B (M i ) n i=1 til Alice. 3.For j=1 til n gjør følgende 1.Alice sender X i til Bob via OT 2.Bob sender Y i til Alice via OT 4.For j = 1 til ( lengden av nøklene for F ) 1.Alice sender j-te bit for hver X i til Bob 2.Bob sender j-te bit for hver Y i til Alice Under steg 3 bør både Alice og Bob benytte seg av juksdeteksjon mekanismen i OT. Under steg 4 kan hver side sjekke om bits som avsløres under alternerende steg matcher nøkkelen som ble avslørt under steg 3. (Etter steg 3 vil hver side gjennomsnittlig vite halvparten av den andres hemmelighet. Alice eller Bob vil avbryte protokoll umiddelbart ved detektering av forsøk på juks.

Analyse Analyse av protokollen –Hvis begge parter følger protokollen på ærlig vis vil begge ha en signatur på kontrakten av motparten. Hver side vil faktisk ha alle n- signerte M i er. –P(n,m) er sannsynligheten for at X får minst (n-m) nøkler under utførelse av steg (3) av protokollen. –Teorem: Sannsynlighet for at X har motpartens signatur på kontrakten før steg (4) i protokollen er mindre enn (1/2) m+1. Hvis Alice vil jukse, må hun sørge for at Bob får mindre enn (n-m) signerte M i. Alice må da plukke m+1 M i som Bob ikke har signaturen på.

Juks Hvis Alice vil jukse, må hun sørge for at Bob får mindre enn (n-m) signerte M i. Alice må da plukke m+1 M i som Bob ikke har signaturen på. Måter å gjøre dette på: –Sende ”falsk”(F Xi (D A (M i )) n i=1 –Jukse i OT overføring (3) –Jukse i avsløringen av bits X i (4). Ikke hensiktsmessig å jukse i mer enn 1 av disse, fordi en av de to første er nok til at mottaker ikke får F Xi (D A (M i )) n i=1 –Flere forsøk på juks øker sannsynlighet for å bli oppdaget

Risiko i protokoll Ifølge aksiom (I) og (III) for OT, vil (1) og (2) bli detektert med sannsynlighet ½. Ifølge aksiom (II) vil sannsynlighet for å bli tatt i steg (3) ½. Sannsynligheten for at en av partene jukser blir da maks. (1/2) m+1 Den samlede risiko i protokollen for partene blir da 2(1/2) m+1 = 1/2 m

Merknader Viktig egenskap i protokoll: Mulighet til å beregne en signatur er omtrent den samme for begge parter. Dette først mulig i steg (4). * Hvis X stopper korrespondanse i steg 4, vil fordelen overfor Y være maks 1 bit pr. nøkkel. Hvis dette vurderes som et problem kan protokollen forandres slik at kun 1 bit sendes av gangen i stedet for n-bits.

Eksempel Signatur på kontrakt C fra både Alice og Bob ved hjelp av kontrakt-signerings- protokollen.

AliceBob Kontrakt C 1.Lager et sett nøkler for F Alice 1.Lager et sett nøkler for F Bob 2.F Xi (D A (M i )) n i=1 2.F Yi (D B (M i )) n i=1 3.i n steg: X i via OT Y i via OT i j steg: 4.Sender j-te bit for hver X i til Bob 4.Sender j-te bit for hver Y i til Alice

Protokoll brukes til Kontraktsignering 1 av 2 (mynt / kron) E-post Online gambling