Digitální podpis

Digitální podpis nebo digitální podpis plánují je druh asymetrické kryptografie. Pro zprávy poslané přes nejistý kanál, vhodně realizovaný digitální podpis dá přijímačový důvod věřit zprávě byl poslán prohláseným odesílatelem. Digitální podpisy jsou ekvivalentní k tradičním ručně psaným podpisům v mnoho respektuje; vhodně realizované digitální podpisy jdou více těžko se propracovat než ručně psaný typ. Schémata digitálního podpisu ve smyslu používala tady být cryptographically umístěný, a muset být uskutečněn vhodně být efektivní. Digitální podpisy mohou také poskytovat non-odvržení, znamenat, že signer nemůže úspěšně prohlašovat, že oni nepodepsali zprávu, zatímco také prohlásí jejich privátní klíč zůstane tajemstvím; další, nějaký non-schémata odvržení nabídnou časovou značku pro digitální podpis, tak to dokonce jestliže privátní klíč je vystaven, podpis je platný nicméně. Digitálně podepsané zprávy mohou být něco representable jako bitstring: příklady zahrnují elektronickou poštu, kontrakty nebo zprávu poslanou přes nějaký jiný cryptographic protokol.

Digitální podpisy jsou často používány realizovat elektronické podpisy, širší termín, který se odkazuje na nějaká elektronická data to nese záměr podpisu, ale ne všechny elektronické podpisy používají digitální podpisy. V některých zemích, včetně Spojených států, a v Evropské unii, elektronické podpisy mají legální význam. Nicméně, práva ohledně elektronických podpisů vždy nedělají jasný zda oni jsou digitální cryptographic podpisy ve smyslu používaly tady, opouštět právní definici, a tak jejich důležitost, poněkud zmatený.

Nepřehlédněte: Tato stránka obsahuje strojový překlad textu z anglické encyklopedie Wikipedia. Pokud budou některé pasáže špatně srozumitelné, zkuste se podívat i na text v originále, který najdete pod odkazem Digital signature. Překlad byl vytvořen pomocí překladače Eurotran.

Definice

Schéma digitálního podpisu typicky sestává ze tří algoritmů:

• generace klíče algoritmus, který vybere privátní klíč jednotně náhodně od souboru možných privátních klíčů. Algoritmus dodá privátní klíč a odpovídání veřejný klíč.
• Algoritmus signálu který, daný zpráva a privátní klíč, produkuje podpis.
• Podpis ověřovat algoritmus který daný zpráva, veřejný klíč a podpis, jeden přijme to nebo odmítne.

Dvě hlavní vlastnosti jsou vyžadovány. Nejprve, podpis tvořený od fixované zprávy a fixovaného privátního klíče by měl ověřit na té zprávě a korespondenčním veřejném klíči. Zadruhé, to by mělo být computationally nemožné tvořit platný podpis pro stranu, která nevlastní privátní klíč.

Historie

Ve slavném papíru “nové směry v kryptografii” (1976), Whitfield Diffie a Martin Hellman nejprve popisoval ponětí o schématu digitálního podpisu, ačkoli oni jen se domnívali, že taková schémata existovala. Brzy poté, Ronald Rivest, Adi Shamir, a Len Adleman vynalezl RSA algoritmus, který mohl být užitý na primitivní digitální podpisy. (poznamenat, že toto jen slouží jako důkaz-- pojetí, a “prostý” RSA podpisy nejsou bezpečné.) první široce prodávaná sada programů ke nabídkovému digitálnímu podpisu byla Lotus poznámky 1.0, povolený v roce 1989, který používal RSA algoritmus.

Základní RSA podpisy jsou počítány takto. To tvoří RSA podpisové klíče, jeden jednoduše tvoří RSA klíčový pár obsahovat modulus N to je produkt dva velký připraví, spolu s celými čísly e a d takový to e d = 1 mod? (N), kde? je Euler phi-fungovat. Signer je veřejný klíč sestává z N a e, a tajemství signer klíč obsahuje d.

Podepsat zprávu m, signer vypočítá? =m^d mod N. To ověří, přijímač zkontroluje to?^e = m mod N.

Jak známý dříve, toto základní schéma není velmi bezpečné. To předejde útokům, jeden může nejprve aplikovat cryptographic funkce mřížky ke zprávě m a pak platit RSA algoritmus popsal nahoře k výsledku. Tento přístup může být dokázaný jistý v takzvaném náhodném věšteckém modelu.

Jiná schémata digitálního podpisu byla brzy rozvinutá po RSA, nejčasnější jsoucí Lamport podpisy, Merkle podpisy (také známý jako “Merkle stromy” nebo jednoduše “Hash stromy”), a Rabin podpisy.

V roce 1984, Shafi Goldwasser, Silvio Micali, a Ronald Rivest stal se první k pečlivě definovat požadavky bezpečnosti schémat digitálního podpisu. Oni popisovali hierarchii modelů útoku pro schémata podpisu, a také představovat GMR podpisové schéma, první to může být dokázané předejít vyrovnat existenciální padělek proti voleném zprávovém útoku.

Většina časných podpisových schémat bylo podobného typu: oni zahrnují použití obměny poklopu, takový jak RSA funguje, nebo v případě Rabin podpisového schématu, počítat čtverec směsice modula n. poklop rodina obměny je rodina obměn, specifikovaný parametrem, to jde snadno vypočítat v propustném směru, ale jde těžko vypočítat v obráceném směru. Nicméně, pro každý parametr je “poklop” to umožní snadný výpočet obráceného směru. Obměny poklopu mohou být viděny jako veřejnost-klíčové šifrovací systémy, kde parametr je veřejný klíč a poklop je tajný klíč, a kde šifrovat odpovídá práci na počítači přední směr obměny, zatímco dešifruje odpovídá obrácenému směru. Obměny poklopu mohou také být viděny jako schémata digitálního podpisu, kde počítat obrácený směr s tajemstvím klíč je myšlenka jako signál a práce na počítači propustný směr je dělán ověřit podpisy. Protože této korespondence, digitální podpisy jsou často popisovány jak založený na veřejnosti-klíčové kryptografické systémy, kde signál je ekvivalent k dešifrování a ověření je ekvivalentní k šifrování, ale toto není jediná cesta digitální podpisy jsou počítány.

Použitý přímo, tento druh podpisového schématu je vystaven klíči-jen existenciální útok padělku. To vytvoří padělek, útočník si vybere náhodný podpis? a užije verifikační postup určovat zprávu m odpovídající tomu podpisu. V praxi, nicméně, tento druh podpisu není použitý přímo, ale poněkud, zpráva být podepsán je první hashed k produkci krátký přehled to je pak podepsáno. Tento útok padělku, pak, jen produkuje mřížku výstup funkce, který odpovídá?, ale ne zpráva to vede k té hodnotě, který nevede k útoku. V náhodném věšteckém modelu, tato mřížka-a-dešifrovat formu podpisu existentially unforgeable, dokonce pro případ volený-útok zprávy.

Tam je několik důvodů ke znamení takové mřížka (nebo přehled zprávy) místo celého dokumentu.

• Pro efektivitu: Podpis bude být hodně kratší a tak šetřit čas od té doby, co hešování je obecně hodně rychlejší než signál v praxi.
• Pro kompatibilitu: Zprávy jsou typicky řetězce kousku ale některá schémata podpisu operují jiné domény (takový jak, v případě RSA, modulo čísel složené číslo N). Funkce mřížky může být používána změnit libovolný vstup do pořádného formátu.
• Pro integritu: Bez funkce mřížky, text “být podepsán” smět muset být rozkol (se oddělil) v blokách malý dost pro podpisový plán jednat podle nich přímo. Nicméně, přijímač podepsaných bloků není schopný rozpoznat jestliže všechny bloky jsou přítomné a ve vhodném pořádku.

Ponětí o bezpečnosti

V jejich foundational papíru, Goldwasser, Micali, a Rivest vyloží hierarchii modelů útoku proti digitálním podpisům:

1. V tónině-jediný útok, útočník je jen daný veřejný verifikační klíč.
2. Ve známém zprávovém útoku, útočník je dané platné podpisy pro paletu zpráv znaných útočníkem ale ne volený útočníkem.
3. V adaptivním voleném zprávovém útoku, útočník nejprve učí se podpisy na libovolných zprávách výběru útočníka.

Oni také popisují hierarchii výsledků útoku:

1. Úplné přerušení skončí znovuzískáním klíče signálu.
2. Univerzálie útok padělku vyústí ve schopnost falšovat podpisy pro nějakou zprávu.
3. Výběrové padělání útok skončí podpisem na zprávě výběru protivníka.
4. Existenciální padělek pouze skončí nějakou platnou zprávou/podpisovým párem ne už známý protivníkovi.

Nejsilnější ponětí o bezpečnosti, proto, je bezpečnost proti existenciálnímu padělku pod adaptivním voleným zprávovým útokem.

Výhody digitálních podpisů

Dole jsou některé obyčejné důvody pro nanášení digitální podpis ke komunikacím:

Autentifikace

Ačkoli zprávy mohou často zahrnovat informaci o entitním poslání zprávy, ty informace nemohou být přesné. Digitální podpisy mohou být používány ověřit zdroj zpráv. Když vlastnictví digitálního podpisu tajný klíč je zavázán specifickému uživateli, platný podpis ukáže, že zpráva byla poslána tím uživatelem. Důležitost vysoké důvěry v hodnověrnost odesílatele je obzvláště zřejmá ve finančním kontextu. Například, předpokládat bankovní pobočku kancelář pošle instrukce ústředí žádat změnu v rovnováze účtu. Jestliže ústředí je nepřesvědčené, že takový zpráva je opravdově poslána z zmocněného zdroje, jednat podle takový žádost mohla být vážná chyba.

Bezúhonost

V mnoha scénářích, odesílatel a přijímač zprávy mohou mít potřebu pro důvěru, že zpráva nebyla měněna během přenosu. Ačkoli šifrování skryje obsah zprávy, to může být možné měnit zašifrovanou zprávu bez pochopení to. (některé šifrovací algoritmy, známý jako nonmalleable, předejít tomuto, ale jiní dělají ne.) nicméně, jestliže zpráva je digitálně podepsal, nějaká změna ve zprávě zruší podpis. Dále, není tam žádný účinný způsob, jak upravit zprávu a jeho podpis produkovat novou zprávu s platným podpisem, protože toto je ještě považováno za computationally nemožný nejvíce cryptographic mřížkou funkce (vidí kolizní odpor).

Nevýhody digitálních podpisů

Přes jejich užitečnost, digitální podpisy osamoceně nevyřeší následující problémy:

Sdružení digitálních podpisů a důvěryhodného časového pěchování

Digitální podpis algoritmy a protokoly dělají ne neodmyslitelně poskytovat jistotu o datu a času u kterého základový dokument byl podepsán. Signer by mohl zahrnovali časovou značku s podpisem nebo dokumentem sám by mohl mít datum zmínil se o na tom. Bez ohledu na obsah dokumentu, čtenář nemůže být jistý signer dělal ne, například, antedatovat datum nebo dobu podpisu. Takové zneužití může být děláno neproveditelný tím, že používá důvěryhodné časové pěchování kromě digitálních podpisů.

Non-odvržení

V cryptographic kontextu, odvržení slova se odkazuje na nějakou věc odmítnutí odpovědnosti pro zprávu. Příjemce zprávy může naléhat odesílatel připojit podpis aby dělal pozdnější odvržení těžší, protože příjemce může ukazovat podepsanou zprávu třetí osobě (např., dvůr) posílit požadavek jak k jeho signatářům a integritě. Nicméně, ztráta kontroly nad uživatelským privátním klíčem bude znamenat to všechny digitální podpisy používat ten klíč, a tak zdánlivě ' od ' ten uživatel, být podezřelý. Nicméně, uživatel nemůže zapudit podepsanou zprávu bez zapuzovat jejich podpisový klíč. Toto je zhoršeno faktem je žádná důvěryhodná časová značka, tak nové dokumenty (po kompromisu klíče) nemohou být oddělené od starých, dále komplikovat podpisové klíčové invalidation. Non-služba odvržení vyžaduje existenci infrastruktury veřejného klíče (PKI) který je komplexní zakládat a operovat. Autority certifikátu v PKI obvykle udržují veřejnost pramen veřejných klíčů tak sdruženého privátního klíče je ověřen a podpisy nemohou být zapuzeny. Vypršel certifikáty jsou normálně odstraněny od skladu. To je důvod pro politiku bezpečnosti a povinnost autority uschovat stará potvrzení pro časové období jestliže non-odvržení služby dat je poskytováno.

WYSIWYS

Technicky mluvit, digitální podpis platí o řetězu kousků, zatímco lidé a aplikace “věří” že oni podepíšou sémantický výklad těch kousků. Aby byl semantically interpretovaný řetězec kousku musí být změněn do formy, která je významná pro lidi a aplikace a toto je děláno přes kombinaci hardwaru a software zakládal procesy na počítačovém systému. Problém je to sémantický výklad kousků může se měnit, zatímco funkce procesů proměnila kousky na sémantický význam. To jde relativně snadno měnit výklad digitálního dokumentu uskutečněním změn na počítačovém systému kde dokument je zpracován. Z sémantické perspektivy toto vytvoří nejistotu ohledně čeho přesně byl podepsán. WYSIWYS (co vy vidíte je co vy podepíšete) znamená, že sémantický výklad podepsané zprávy nemůže být měněn. Zvláště toto také znamená, že zpráva nemůže obsahovat skrytou informaci že signer je nevědomý, a to může být odhaleno poté, co podpis byl aplikovaný. WYSIWYS je žádoucí vlastnictví digitálních podpisů to jde těžko ručit protože rostoucí složitosti moderních počítačových systémů.

Další bezpečnostní opatření

Zastrčení soukromého klíče na čipové kartě

Celý veřejný klíč / kryptografické systémy privátního klíče závisí úplně na zachování soukromého klíčového tajemství. Privátní klíč může být uložen na uživatelském počítači, a chráněný místním heslem, ale toto má dvě nevýhody:

• uživatel může jen podepsat dokumenty na tom zvláštním počítači
• bezpečnost privátního klíče závisí úplně na bezpečnosti počítače

Více bezpečná alternativa má uložit privátní klíč na čipové kartě. Mnoho čipových kart je navržené být vměšovat se-odolný (ačkoli některé designy byly zlomené, pozoruhodně Ross Anderson a jeho studenti). V typickém digitálním podpisu implementace, mřížka spočítaná od dokumentu je poslána k čipové kartě, jehož procesor zašifruje mřížku používat uložený privátní klíč uživatele, a pak vrátí zašifrovanou mřížku. Typicky, uživatel musí aktivovat jeho čipovou kartu tím, že zadá osobní identifikační číslo nebo kód pinu (tak poskytovat dva-autentifikace faktoru). To může být uspořádal to privátní klíč nikdy opustí čipovou kartu, ačkoli toto není vždy realizované. Jestliže čipová karta je kradena, zloděj bude ještě potřebovat kód pinu tvořit digitální podpis. Toto redukuje bezpečnost schématu k tomu pinového systému, ačkoli to ještě vyžaduje, aby útočník posedl kartu. Uklidňující faktor je to privátní klíče, jestliže vytvářel a skladoval na čipových kartách, být obvykle pokládaný jak těžký ke kopii, a být převzat existovat v přesně jedné kopii. Tak, ztráta čipové karty může být zachycena vlastníkem a korespondenční certifikát může být okamžitě odvolán. Privátní klíče, které jsou chráněny softwarem jen mohou být snadnější ke kopii a takové kompromisy jsou daleko více obtížné odhalit.

Čtenáři používání elegantní karty s oddělenou klávesnicí

Vstupovat do kódu pinu aktivovat čipovou kartu obyčejně vyžaduje numerickou klávesnici. Někteří čtenáři karty mají jejich vlastní numerickou klávesnici. Toto je bezpečnější než čtenář používání karty začleněný do PC, a pak vstupovat do pinu používat klávesnici toho počítače. Čtenáři s numerickou klávesnicí jsou chtěl obejít odposlouchávací hrozbu kde počítač by mohl být provozovat lesního dělníka stisku klávesy, potenciálně kompromitovat kód pinu. Specializovaní kartoví čtenáři jsou také méně bezbranní vůči manipulaci s jejich softwarem nebo hardwaru a jsou často EAL3 potvrdil.

Jiné designy čipové karty

Design čipové karty je aktivní pole a tam jsou schémata čipové karty, která jsou zamýšlel vyhnout se těchto zvláštních problémů, ačkoli doposud s malými bezpečnostními důkazy.

Používat digitální podpisy jediný s věřily aplikace

Jeden z hlavních rozdílů mezi digitálním podpisem a udělaného podpisu je že uživatel “nevidí” co on podepíše. Aplikace uživatele představuje kód mřížky být zašifrován digitálním signálem algoritmus používat privátní klíč. Útočník, který získá kontrolu nad PC uživatele může možná nahradit aplikaci uživatele s cizí náhradou, v narazení účinku uživatel je vlastní komunikace s těmi útočníka. Toto mohlo dovolit zlomyslnou žádost přimět uživatele k podepsaní nějakého dokumentu tím, že zobrazuje originál uživatele filmový, ale představovat útočníka má vlastní dokumenty k aplikaci signálu.

To chrání před tímto scénářem, autentifikační systém může být připraven mezi aplikací uživatele (textový procesor, e-mailovat klienta, etc.) a aplikace signálu. Obecná myšlenka má poskytnout nějaký prostředek pro oba uživatel app a podpisovat app ověřit každého jiný je integrita. Například, aplikace signálu může vyžadovat, aby všechny žádosti přišel z digitálně-podepsal binaries.

Některé algoritmy digitálního podpisu

• Plná doménová mřížka, RSA-PSS etc., založený na RSA
• DSA
• ECDSA
• ElGamal podpisové schéma
• Nepopiratelný podpis
• SHA (typicky SHA-1) s RSA
• Rabin podpisový algoritmus
• Pointcheval-Stern podpisový algoritmus
• Schnorr podpis
• Agregační podpis - podpisové schéma, které podporuje agregaci: Daný n podpisy na n zprávy od n uživatelé, to je možné seskupit všechny tyto podpisy do jediného podpisu jehož velikost je konstanta v množství uživatelů. Tento jediný podpis přesvědčí verifier to n uživatelé přece opravdu podpisovali n originální zprávy.

Aktuální stav použití — legální a praktický

Schémata digitálního podpisu sdílejí základní předpoklady to — bez ohledu na teorii cryptographic nebo zákonný předpis — oni potřebují mít smysl:

1. Algoritmy kvality

    

2. Kvalitní implementace

    

3. Privátní klíč musí zůstat soukromý

    

4. Vlastník veřejného klíče musí být ověřitelný

    

5. Uživatelé (a jejich software) muset uskutečnit podpisový protokol vhodně

   .

Jediný jestliže všichni těchto podmínek být potkán odkázat digitální podpis vlastně být nějaký důkaz koho poslal zprávu, a proto jejich souhlasu s jeho obsahem. Legální nařízení nemůže měnit tuto realitu existujících inženýrských možností, ačkoli někteří takový neodráželi tuto skutečnost.

Legislatury, být obtěžován obchody čekat, že profituje z operování PKI, nebo technological avantgardní obhajovat nová řešení starých problémů, schválili zákony a/nebo pravidla v mnoha zmocnění jurisdikcí, podporovat, povzbuzující, nebo povolovat digitální podpisy a starat se o (nebo omezený) jejich právní účinek. První zjeví se byli v Utahu ve Spojených státech, následoval blízko státy Massachusetts a Kalifornie. Jiné země také odhlasovaly zákony nebo vydaly nařízení v této oblasti také a UN měl aktivní modelový právnický projekt na nějakou dobu. Tato nařízení (nebo navrhoval nařízení) se lišit od místa k místě, mají typicky ztělesněná očekávání u rozdílnosti (optimisticky nebo pessimistically) se stavem fundamentálního cryptographic inženýrství, a měli síťový účinek matoucích potenciálních uživatelů a specifiers, skoro všichni koho cryptographically dobře informovaný. Přijetí technických norem pro digitální podpisy zaostávali hodně z legislativy, váhat více nebo méně sjednotil inženýrskou pozici na součinnosti, algoritmický výběr, délky klíče, a tak na čem inženýrství pokouší se poskytovat.

Používat oddělené klíčové páry pro signál a šifrování

V několika zemích, digitální podpis má status poněkud jako to tradičního pera a podpis papíru. Obecně, tato obstarání znamenají, že co je digitálně podepsal legálně sváže signer dokumentu k therein požadavků. Z tom důvodu, to je často myšlenka nejlépe k použití oddělené klíčové páry pro šifrovat a podpisovat. Používat šifrovací klíčový pár, osoba může zúčastnit se zašifrovaného rozhovoru (např., pozorovat transakci nemovitosti), ale šifrování dělá ne legálně podepsat každou zprávu, kterou on pošle. Jediný když obě strany přijdou k dohodě oni podepíšou smlouvu s jejich klíči signálu, a jediný pak jsou oni legálně skákat podmínkami specifického dokumentu. Poté, co podepsal, dokument může být poslán přes šifrované spojení.

Viz též

• Digitální podpisy a právo
• Globální důvěrové centrum
• Elektronický podpis
• Kryptografie
• Deniable autentifikace

Poznámky

1. ^ Americký ESIGN akt 2000
2. ^ Univerzita Virginie
3. ^ Stav WI
4. ^ Národní archívy Austrálie
5. ^ “Nové směry v kryptografii”, IEEE transakce na informační teorii, to-22 (6): 644-654, Nov. 1976.
6. ^ ^b #rquoteSchémata podpisu a použití na Cryptographic protokolový design#rquote, Anna Lysyanskaya, doktorská práce, MIT, 2002.
7. ^ “Metoda na trvající digitální podpisy a veřejnost-klíčové kryptografické systémy,” komunikace ACM, 21 (2): 120-126, Feb. 1978.
8. ^ “Budovat digitální podpisy od jednosměrné funkce.”, Leslie Lamport, Technický hlásí CSL-98, SRI mezinárodní, Oct. 1979.
9. ^ “Kvalifikovaný digitální podpis”, Ralph Merkle, v Gillesi Brassardovi, ed., pokroky v Cryptology -- CRYPTO ' 89, vol. 435 poznámek přednášky v počítačové informatice, pp. 218-238, jaro Verlag, 1990.
10. ^ “Digitalized podpisy jak nepoddajný jako faktorizace.” Michael O. Rabin, Technický hlásí MIT/LCS/TR-212, MIT laboratoř pro vědu o počítačích, Jan. 1979
11. ^ ^{b c d} “Schéma digitálního podpisu bezpečný pro případ adaptivní volený-zpráva zaútočí.”, Shafi Goldwasser, Silvio Micali, a Ronald Rivest. SIAM žurnál na práci na počítači, 17 (2): 281-308, Apr. 1988.
12. ^ “Moderní kryptografie: Teorie a praxe”, Wenbo Mao, profesionál Prenticea Halla technický odkaz, New Jersey, 2004, pg. 308. ISBN 0-13-066943-1
13. ^ A. Jøsang, D. Povey a A. Ho. “co vy vidíte je ne vždy co vy podepíšete”. Sborník australského unixového uživatele seskupí symposium (AUUG2002), Melbourne, září, 2002. PDF

Knihy

• J. Katz a Y. Lindell, “úvod do moderní kryptografie” (Chapman a Hall/CRC Press, 2007
)

Pro knihy v angličtině na elektronických podpisech, vidět:

• Stephen Mason, elektronické podpisy v právu (Tottel, druhé vydání, 2007
);
• Dennis Campbell, editor, e-komerce a právo digitálních podpisů (Oceana publikace, 2005
);
• Lorna Brazellová, elektronický právo podpisů a pravidlo, (Sweet a Maxwell, 2004
);
• M. H. M Schellenkens, elektronické podpisy autentifikační technologie od Legal pohled, (TMC Asser Press, 2004
).

Pro překlady elektronických podpisových případů z Evropy, Brazílii, Čínu a Kolumbii do angličtiny, vidět digitální důkaz a elektronickou podpisovou právnickou recenzi

Externí odkazy

• Úvod do kryptografie od PGP mezinárodních internetových stránek