Firma che può essere verificata solo dall'autore e dal destinatario - senza chiave precondivisa

Naviga le tue risposte
4

Desiderata:

  • Alice vuole inviare un messaggio a Bob per lui per mantenere e poter fare riferimento, in modo tale che Bob possa essere certo che il messaggio provenga da Alice e non sia stato manomesso.

  • Alice desidera anche archiviare una copia del messaggio in modo tale che possa farvi riferimento in futuro, e assicurarsi che non sia stata manomessa.

  • Qualche volta dopo che Bob ha verificato il messaggio di Alice, Mallory ottiene l'accesso, su base continuativa, alle copie di tutte le informazioni che Alice e Bob possiedono o ricevono (compresi i testi in chiaro e le firme / MAC), oltre ai segreti Alice e Memorizza nella mente.

  • Nonostante l'accesso di Mallory a tutte queste informazioni, Mallory non può ancora provare che Alice abbia mai firmato il messaggio.

Contesto:

  • Alice confida che la chiave pubblica di OpenPGP di Bob sia effettivamente quella di Bob.

  • Alice e Bob tengono entrambe le loro chiavi private OpenPGP fuori dalla portata di Mallory (ad esempio usando le smart card OpenPGP).

La mia domanda: indipendentemente dal fatto che OpenPGP sia usato nella soluzione, Alice può raggiungere i suoi desiderata?

    
posta sampablokuper 14.04.2016 - 06:48
fonte

2 risposte

2

Finché Bob mantiene segreta la sua chiave privata, puoi semplicemente crittografare tutto ciò che solo Bob dovrebbe vedere con la chiave pubblica di Bobs. Ciò include anche la firma, ad esempio quando si invia una posta da Alice a Bob:

  • crittografa la posta con la chiave pubblica di Bob
  • crea una firma separata per questa mail utilizzando la chiave privata Alice
  • codifica questa firma scollegata utilizzando la chiave pubblica di Bobs
  • include questa firma crittografata con la posta

Poiché la chiave privata di Bob è necessaria per tornare alla firma originale e questa chiave è ancora segreta, Mallory non sarà in grado di ottenere la firma originale e quindi non può convalidarla. Bob invece può verificare la firma.

Ovviamente l'intera procedura dipende dall'idea che Mallory possa al massimo accedere al messaggio originale inviato da Alice a Bob e mai alla firma originale.

Per quanto riguarda il requisito che Alice vuole mantenere una copia del messaggio: ci sono diversi modi per farlo e non vedo che questo requisito debba essere parte del processo. Ma per non perdere inutilmente le informazioni potrebbe voler evitare di usare la loro chiave pubblica ampiamente conosciuta per questo.

    
risposta data 14.04.2016 - 07:07
fonte
0

La domanda riguarda davvero autenticazione negata . Ci potrebbe essere più di un modo per soddisfare i desideri nel contesto dato. Ad esempio, Alice e Bob potrebbero seguire questo protocollo:

Alice creates an OpenPGP signing key-pair with a fake name. She sends an encrypted email to Bob with the "public" key attached and instructs him to keep that key but not to publish it, not to associate it with her, and to destroy the email to which the it was attached. Alice also keeps a copy of that "public" key for herself.

Alice then signs her plaintext with the private key from that key-pair and sends a copy of the plaintext and signature to Bob, also keeping copies of both for herself. She then destroys the private key.

Bob and Alice are thereafter able to use the "public" key, together with the secret knowledge in their mind that this key corresponds to a private key that was only ever controlled by Alice, in order to verify the integrity and source of the message.

Once Bob has complied with Alice's first message, it no longer matters whether Mallory has access to copies of the information Bob receives, stores and processes outside his brain.

Similarly, once Alice has destroyed the private key, it no longer matters whether Mallory has access to copies of the information Alice receives, stores and processes outside her brain.

Because Mallory does not know the secret of who controlled the private key that signed Alice's plaintext, all Mallory can tell is that someone signed the plaintext: Mallory cannot prove who that person was.

Sfortunatamente, una volta che Mallory ha accesso alle copie delle informazioni che Alice e Bob ricevono, archiviano ed elaborano al di fuori del loro cervello, Alice e Bob non possono più ottenere un'autenticazione denegata per i messaggi futuri. Tuttavia, questa debolezza potrebbe essere un problema per qualsiasi protocollo.

    
risposta data 21.04.2016 - 04:53
fonte

Leggi altre domande sui tag

Memorizza le password in modo sicuro in uno scenario specifico REST e stato confidenziale - il problema del client fidato ecc.?