Firma de anillo

En criptografía, una firma de anillo (del inglés ring signature) o firma de círculo es un tipo de firma digital que puede ser creada por cualquier miembro de un grupo de usuarios, en el que cada usuario tiene su clave. Una de las propiedades de seguridad que las firmas de anillo deben cumplir es que no debe ser posible averiguar qué clave concreta de los usuarios del grupo fue utilizada para calcular la firma.

Historia

Las firmas de anillo fueron inventadas por Ron Rivest, Adi Shamir, and Yael Tauman, y presentadas en ASIACRYPT en 2001.^[1] El nombre "firma de círculo" procede de la estructura circular del algoritmo de cifrado.

Definición

Un esquema de firmas de anillo puede implementarse usando claves RSA. La idea es que el firmante real use las claves públicas de los demás miembros del grupo para formar un conjunto de valores que tengan una relación cíclica, condición que solamente debería cumplirse sabiendo una de las claves privadas correspondientes. Para el resto de esta discusión, asumiremos que hay 3 participantes y que el firmante real es el participante número 1.

Generación de firmas

El anillo está compuesto por cada miembro con su propio par de claves RSA (una tupla así: $(e_{1},d_{1},n_{1}),(e_{2},d_{2},n_{2}),(e_{3},d_{3},n_{3})$ ). Sea $m$ el mensaje a firmar. Sea $E_{k}$ una función criptográfica simétrica bajo una clave $k$ y sea $E'_{k}$ la función inversa. Sea $H$ una función hash criptográfica. Sea ⊕ el operador lógico de disyunción exclusiva, también llamado XOR por su abreviación en inglés.

El participante 1 calcula $k=H(m)$ y lo usará como clave para la función simétrica $E$ . A continuación, genera de forma aleatoria un valor de uso único $v$ , que servirá como punto de inicio. Luego genera valores aleatorios $x_{2}$ y $x_{3}$ que servirán para "enmascarar" su propia identidad entre los demás miembros. Calcula $x_{2}^{e_{2}}\equiv y_{2}{\bmod {n}}_{2}$ y $x_{3}^{e_{3}}\equiv y_{3}{\bmod {n}}_{3}$ . Ahora debe encontrar un valor $y_{1}$ que satisfaga la llamada "ecuación del anillo":

$v=E_{k}(y_{3}\oplus E_{k}(y_{2}\oplus E_{k}(y_{1}\oplus v)))$

La ecuación se resuelve aplicando la función simétrica inversa ( $E'_{k}$ ) y la propiedad de inversión del operador XOR:

$E'_{k}(v)=y_{3}\oplus E_{k}(y_{2}\oplus E_{k}(y_{1}\oplus v))$

$E'_{k}(v)\oplus y_{3}=E_{k}(y_{2}\oplus E_{k}(y_{1}\oplus v))$

$E'_{k}(E'_{k}(v)\oplus y_{3})=y_{2}\oplus E_{k}(y_{1}\oplus v)$

$E'_{k}(E'_{k}(v)\oplus y_{3})\oplus y_{2}=E_{k}(y_{1}\oplus v)$

$E'_{k}(E'_{k}(E'_{k}(v)\oplus y_{3})\oplus y_{2})=y_{1}\oplus v$

$E'_{k}(E'_{k}(E'_{k}(v)\oplus y_{3})\oplus y_{2})\oplus v=y_{1}$

De esta manera, el firmante obtiene $y_{1}$ y lo invierte usando su propio exponente privado:

$y_{1}^{d_{1}}\equiv x_{1}{\bmod {n}}_{1}$

Finalmente, la firma será la tupla $((e_{1},n_{1}),(e_{2},n_{2}),(e_{3},n_{3}),x_{1},x_{2},x_{3},v)$

Verificación de la firma

El verificador recibe el mensaje $m$ y calcula $k=H(m)$ . Ahora calcula $x_{1}^{e_{1}}\equiv y_{1}{\bmod {n}}_{1},x_{2}^{e_{2}}\equiv y_{2}{\bmod {n}}_{2},x_{3}^{e_{3}}\equiv y_{3}{\bmod {n}}_{3}$ y reconstruye la ecuación de anillo:

$v=E_{k}(y_{3}\oplus E_{k}(y_{2}\oplus E_{k}(y_{1}\oplus v)))$

La firma es válida si y solo si dicha igualdad se cumple.

Anonimato

Debido a que ninguno de los valores de enmascaramiento puede distinguirse del valor obtenido en el despeje de la ecuación, no se puede averiguar quién es el firmante real. Bajo la suposición de que RSA es criptográficamente seguro, la resolución de la ecuación requiere el conocimiento de al menos uno de los exponentes privados, lo que garantizaría que las probabilidades de que alguien fuera del anillo pueda firmar un mensaje en nombre de ese anillo sean extraordinariamente bajas.

Referencias

↑ How to leak a secret, Ron Rivest, Adi Shamir, and Yael Tauman, ASIACRYPT 2001.

Enlaces externos

Firmas de anillo en Monero

Datos: Q3483645

[1] How to leak a secret, Ron Rivest, Adi Shamir, and Yael Tauman, ASIACRYPT 2001.

[1]