.۱ مقدمه

مفهوم امضای وکالتی، اولین بار در سال ۱۹۹۶ توسط مامبـو۱ و همکارانش مطرح گردید. [۱] در یک امضای وکالتی، صاحب امضـاء توانایی امضای خود را به نمایندهاش اعطاء مینماید و بنابـرایـن، او میتواند از جانب صاحب امضاء، روی متن مورد نظر امضـاء صـادر نمـاید. تاکـنون طرحهـای امـضای وکالتی بسیاری ارائه شدهاند کـه ۲] و [۳ از این نمونه میباشند. کیم و ژانگ۲ بهطـور مسـتـقـل و بهترتیب، اولین طرحهای امضای وکالتی آستانه بر اساس امضـاهـای وکالتی و طرحهای تسهیم راز را مطرح نمودند۴]و .[۵

در یک (t , n) طرح امضای وکالتی آستـانـه، صـاحـب امضـاء، قـابلیـت امضـای خود را به گـروه n نفره نمایندگان خـود اعــطـاء مینمـاید تـا در صـورت تـوافق حداقل t نفر، بتوانند به نمایندگی از

صاحب اصلی امضا، روی متن مورد نظر امضاء صورت دهند. از زمان ارائه اولین طرح امضای وکالتی آستانه تاکنون، طرحهای زیادی ارائه شده که برای نمونه میتوان به طرحهای ۶] و [۷ اشاره نمود.

طرحهای امضای وکالتی آستانه، دارای کاربردهای بسیاری است که از آن جمله، میتوان به این مورد اشاره نمود: فرض نمایید که در یک شرکت، مدیرعامل (صاحب امضاء ) قابلیت امضای خـود را بـه هیئت مدیره (گروه نمایندگان ) اعطاء نماید، به نحوی که هر سـنـد قبل از آنکه رسمی گردد، باید توسط تعداد مشخصی از نماینـدگـان (کـه همـان آستانه تعیینشده میباشد) امضاء شود. هـمـچـنـیـن، طرحهای امضاهای وکالتی آستانه در تجارت الکترونیک، شبکههـای اقتضایی و در آژانسهای سیار۳ کاربرد دارند.

۳٫ Mobile agents 1. Mambo
2. Kim and Zhang (et al.)

* رایانامه نویسنده پاسخگو: M.Beheshti.A@gmail.com

ٍّ

یک طرح امضای وکالتی آستانه، باید ملزومات امنیـتـی زیـر را داشته باشد ۸] و :[۹

قابل تأیید بودن، غیرقابل جعل بودن، غیرقابل انکار بودن، قـابـل شناسائی بودن و جلوگیری از سوء استفاده.

اگرچه بسیاری از طرحهای ارائه شده ادعا میکردند که تـمـامـی ویژگیهای بالا را برآورده میسازند، لیکن مفهوم امنیت آنها روشن و واضح نبود. اولین بار، بِلِیر و رُگاوِی۴ مفهوم اثبات رسمی۵ در مـدل سروش تصادفی۶ را برای پروتکلهای توافق کلید ارائه کـردنـد.[۱۰]
پس از آنها، بولدیرِوا۷ و همکارانش، امنیت امضای وکالتی را در مـدل سروش تصادفی اثبات کردند و تاکنون، طرحهای امضای وکالتی چون ۱۲] و [۱۳ ارائه شدهاند که در این مدل، دارای امنیت قابل اثـبـات میباشند .[۱۱]

مفهوم مدل استاندارد۸ و اثبات امنیتی در این مدل نیز اولین بـار توسط بونه و بویِن۹ برای یک طرح رمزنگاری مبتنی بر شناسه، ارائـه شد که مدل ارائه شده آنها، مدل ID انتخابی۱۰ بـود .[۱۴] سـپـس، واتِرز۱۱ در سال ۲۰۰۵ طی مقالهای، یک طرح رمزنگاری مبتنـی بـر شناسه ارائه کرد و ثابت نمود که طرح او در مدل استـانـدارد، دارای
امنیت قابل اثبات است .[۱۵]

در حقیقت، مدل استانداردی که واتِرز ارائه نمـود، کـامـلتـر و کارآمدتر از مدل قبلی بود . هوآنگ۱۲ و همکارانش در سـال ۲۰۰۶، اولین طرح امضای وکالتی را در مدل استاندارد ارائه کردند [۱۶] و به تبع از آنان، طرحهای دیگری مثل طرح امضای وکالتی با تأییدکننـده مشخص یو و همکارانش۱۳ در سال ۲۰۰۹ و طرحهای دیـگـر، ارائـه شدند . [۱۷] تا آنجا که اطلاع هست، هنوز طـرح امضـای وکـالـتـی آستانهای در مدل استاندارد، ارائه نشده است، بنابراین در این مقالـه، اولین طرح امضای وکالتی آستانه با تأییدکننده مشخص بـه هـمـراه اثبات امنیتی آن در مدل استاندارد، ارائه شده اسـت. عـلاوهبـر آن، نشان داده میشود که امنیت طرح ارائه شده، بر اساس فرض سختـی مسئله GBDH استوار است.

ادامه مقاله، به این صورت سازماندهی شده است: در قسـمـت بعد، مفاهیم پایه و مقدماتی مورد نیاز معرفی میشود. در بخـش ۳، مدل رسمی برای یک طرح امضای وکالتی آستانه با تأیـیـدکـنـنـده مشخصDVTPS 14 بیان و طرح جدید در بخش ۴ ارائه میشود.

مجله علمی؛ پژوهشی ”پدافند الکترونیکی و سایبری“ ، سال دوم، شماره ۱، بهار ۱۳۹۳

در بخش ۵، طرح ارائهشده از لحاظ امنیتی، تحلیل و در نـهـایـت، نتیجهگیری در قسمت ۶ بیان خواهد شد.

.۲ مفاهیم پایه و مقدماتی

در این بخش، برخی از مفاهیم پایهای شـامـل زوجسـازیهـای دوخطی و فرضهای پیچیدگی که در این مقاله استفاده خواهند شد، مرور میشود.

.۱٫۲ زوجسازی دوخطی

فرض کنید که G , GT، دو گروه دوری ضربی از مرتبه p هستنـد که p، عدد اول بزرگی است و نیز g، مولد گروه G است.

نگاشت زوجسازی دوخطی پذیرفتنی نامـیـده میشود، اگر شرایط زیر را ارضا کند:

• دوخطی بودن: به ازای تمامی شـرط زیـر برقـرار باشد.

• زوالناپذیری:

• محاسبهپذیری: بهازای همه یـکالگـوریتم کارآمـد برای محاسبه وجود دارد.

.۲٫۲ فرضهای پیچیدگی

• تعریـف ۱ (مـسئله دیفـی؛هِلمـن دوخطـی محاسـباتی یــا :(CBDH بــه ازای پارامترهــای نــامعلوم، مقادیــر معلوم هستند و هدف، یافتن مقدار است.

• تعریف ۲ (مسئله دیفی؛هِلمن دوخطی تصمیمی یا :(DBDH بـهازای پـارامـترهـای نـامـعلــوم و ، مقادیر معلوم هستند و قـصد داریـم تـا تصمیم بگیریم که آیا ، است یا نه؟

یک پیشگوی ۱۵DBDH یعـنی ODBDH، پیـشگویی اسـت کـه پـارامـترهـای و را بـهعنـوان ورودی میگیرد و خروجی آن ۱ اسـت، اگـر ، و در غیر این صورت، خروجی آن صفر است.

۴٫ Bellare & Rogaway 10. Selective-ID model
5. Formal proof 11. Waters
6. Random oracle 12. Huang
7 . Boldyreva 13 . Yu et al.
8. Standard model 14. Designated Verifier Threshold Proxy Signature Scheme
9. Boneh&Boyen 15. Oracle

یک (t , n) طرح امضای وکالتی آستانه با تأییدکننده مشخص جدید و . . . : محمد بهشتی آتشگاه و همکاران ٍْ

• تعریف۳ (مسئله دیفی؛هلمن دوخطی گَپ یا :(GBDH بــه ازای پـارامـترهای نـامـعـلـوم ، مـقـادیـر زیـر معلـوم هـسـتـنـد و عـبـارت زیر بـا کمک پیشگوی DBDH یعنی ODBDH محاسبه میشود.

احتمال موفقیت مهاجم A برای حل مسئله GBDH، بـهصـورت زیر تعریف میشود:

.۳ مدل رسمی برای یک طرح DVTPS

در این بخش قصد داریم تا ابتدا مدل رسمی یک طـرح امـضای وکالتی آستانه با تأییدکننده مشخص را در مدل استاندارد بیان کرده

و سپس مدل و ملزومات امنیتی آن را تعریف نماییم.

۳٫۱٫ طرح اصلی

در یک طرح امضای وکالتی آستانه با تأییدکننده مـشخص، سـه نوع شرکتکننده به نامهای صاحب امضاء (آلیس)، گـروه نمایندگـی و تأییدکننده مشخص(سیندی) وجود دارنـد که از الگوریتمهای زیر تشکیل شده است:

• برپایی: به ازای یک پارامتر امنیتی دادهشده k، این الگوریتـم پارامترهای سیستم را به عنوان خروجی میدهد.

• تولید کلید: این الگوریتم، پارامتر امنیتی k را بهعنوان ورودی

گرفتــه و زوج کلیــدعمومــی/ خصوصــی ، را کــه است، برای آلیس، گروه نمایندگی

و سیندی تولید و بهصـورت خروجی بیرون میدهد.

• تولید وکالـت: ایـن الگـوریتم، پارامترهـای سیـستم، کلیـد خصوصی صاحب امضاء و گواهینامه ω (که قـرار اسـت امـضاء شود) را بهصورت ورودی دریافت کرده و سـهم وکـالتی گـروه

نمایندگان را بهصـورت تـولید و به عنوان خروجی مـی؛

دهد که

• تأیید وکالت: به محض اینکه هر نماینده در گـروه نمایندگـی

A، سهم وکالتی خود یعنی را دریافـت نمـود،

اعتبار آن را بررسی و تأیید مینماید.

• تولـید امضــای وکــالتی: ایــن الگـوریتم، ورودیهایـی شـــامل: کـــلیدهای خصـوصـــی نـــمایندگان امـضـاءکـــننده،

، ســــهـمهـای وکـالــتــی آنــان،

کلید عمومـی تأییدکننـده مـشخص

pkc و متن مورد نظـر m را بـرای تولیـد امـضای وکـالتی σp دریافت میکند.
• تأیید امضای وکالتی: یک الگوریتم معین که یـک متـن m، گواهینامه ω، یک امضای وکالتی، کلیـدهای عمومی صاحب ؛ امضاء و نمایندگان و کلید مخـصوص تأییدکننـده مشخص skc را بهعنوان ورودی گـرفتـه و اگر امـضـاء مــعتبر باشد؛ خروجی ┬ را میدهد، و در غیر این صـورت (اگر امضاء معتبر نباشد)، خـروجی ┴ را میدهد.

• شبیهسازی رونوشت: ایـن الگـوریتم پارامترهـای متـن m،

گواهینامه ω و کلـید خصـوصی تأییدکننـده مـشخص skc را بهعنوان ورودی گرفته و یک رونوشت با توزیع دقیقـاً یکـسان را بهگونهای تولید مینماید که از امضای وکالتی اصلی σp ، تمایزناپذیر است.

.۲٫۳ مدل امنیتی

بهطور کلی، چهار نوع مهاجم بالقوه در این سیستم موجود است:

• نوع :(AI) I مهاجم AI، تنها کلیدهای عمومی صاحب امـضاء، نمایندگان و تأییدکننده مشخص را دارد.
• نوع :(AII) II مهاجم AII، کلیدهای عمومـی صـاحب امـضاء، نمایندگان و تأییدکننـده مـشخص را دارد. بـهعـلاوه، کلیـد خصوصی صاحب امضاء (آلیس) را نیز در اختیار دارد.

• نوع :(AIII) III مهاجم AIII کلیدهای عمومـی صـاحب امـضا، نمایندگان و تأییدکننـده مـشخص را دارد. بـهعـلاوه، کلیـد خصوصی یکی از نمایندگان را نیز در اختیار دارد.

• نوع :(AIV) IV مهاجم AIV، کلیدهای عمومی صـاحب امـضاء، نمایندگان و تأییدکننده مشخص را دارد. بهعلاوه، t-1 نفـر از نمایندگان را تحـت کنـترل دارد و یـا بـه عبـارت دقیـقتـر، کلیدهای خصوصی آنان را میداند.

اگر طرح ارائهشده در مقابل مهاجمان نوع II و نوع III امن باشد، قطعاً در مقابل مهاجم نوع I نیز امن خواهد بود. همچنین، واضح است که مهاجم نوع IV، حالت قویتری از مهاجم نـوع III اسـت و در نتیجه، اگر طرح در مقابل مهاجم نوع IV امن باشد؛ در مقابل مهاجم

نوع III نیز امن خواهد بود.

ٍَ

غیرقابل جعل بودن در مقابل مهاجم AII

غیرقابل جعل بودن در مقابل مهاجم نوع II، به این معنی اسـت که صاحب امضاء نباید قادر باشد به جای نمایندگانش، روی مـتـنـی مثل M* و با گواهینامه ω*، امضای معتبری را صـورت دهـد . ایـن مطلب، در بازی زیر که بین مهاجم نوع II و چالشگر C است، تعریف میشود.

برپایی: C، این الگوریتم را اجرا کرده و پارامترهای سیسـتـم را به دست میآورد و نـیز بـا اجـرای الگوریتم تـولید کلیـد، مـیتـوانـد کلید عمومی/خصوصی صاحب امضاء (آلیس)، تأییدکننـده مشـخـص (سیندی) و نمایندگان زیر را به دست آورد:
× و

پس C مقادیر را برای مهاجم AII ارسـال

میکند.

پرسمانهای۱ امضای وکالتی: AII میتواند امضای وکالـتـی را روی متن M و تحت گواهینامه ω درخواست کند . C الگوریتم تولـیـد امضای وکالتی را برای بهدست آوردن امضای وکالتی σp اجرا کرده و آن را به مهاجم AII میدهد.

پرسمانهای تأیید امضای وکالتی: مهاجم AII، یـک تـأیـیـد امضاء روی را درخواست میکند. اگر σp معتبر باشد، C خروجی ┬ و اگر σp معتبر نباشد، C خروجی ┴ را میدهد.

خروجی: در نهایت، AII یک امضای با مجوز ω* و یک متـن M* را به عنوان خروجی میدهد که:

• بهعنوان یکی از پرسمانهای امضای وکالتی، درخواست نـشده باشد.
• تحت گواهینامه ω*، یک امضای معتـبر روی متـن M* باشد.

امتیاز یک مهاجم AII در بازی بالا، بهصورت زیر تعریف میشود:

تعریف:۴ یک مهاجم AII یـک جعلکـنـنـده امضای وکالتی به تأییدکننده مشخص گفته میشود اگر AII در بـازی بالا: دارای امتیاز حداقل ε باشد، عملیات را حداکثر در زمان t انجـام دهد و از پرسمانهای امضای وکالتی، حداکثر qps و از پرسمانهـای

۱٫ Query

مجله علمی؛ پژوهشی ”پدافند الکترونیکی و سایبری“ ، سال دوم، شماره ۱، بهار ۱۳۹۳

تأیید امضاء، حداکثر qv پرسمان نماید.

غیرقابل جعل بودن در مقابل مهاجم AII

مشـابه مهاجـم قبل، بازی زیر که بین مهاجم نوع IV و چالشگر C است، تعریف میشود. این بازی شبیه حالت II است، با این تفـاوت که در این حالت، بهجای یک نماینده،t-1 نماینده شرکت دارند.

برپایی: C، این الگوریتم را اجرا کرده و پارامترهای سیستم را به دست میآورد و نیز با اجـرای الـگوریتم تـولید کـلید، میتواند کلیـد عمومی/خصوصی صاحبامضاء (آلیس)، تأییدکننده مشخص(سیندی) و نمایندگان و را به دست آورد. سپسC، مقادیرt-1، …، i=1، pki، pkc، pka، ski، را بـرای AIV ارسال میکند. توجه شود که شبیهساز باید نمایندگـان تـحـت کنترل مهاجم را حدس زده و حدس او باید درست باشد؛ در غـیـر اینصورت، بازی متوقف خواهد شد.

پرسمانهای وکالت: AIV، سهم وکالتیt-1 نماینده تحت کنترل خود را روی ω درخواست میکند. C، الگوریتم تولید وکـالـت را اجـرا کرده و سهم وکالت نماینـدگـان را بــهدســت آورده و سپس آن را به مهاجم ارسال میکند.

پرسمانهای امضای وکالتی: AIV، میتواند امضـای وکـالـتـی انفرادی نمایندگان تحت کنترل خود را روی متن M درخواست کند. C، الگوریتم تولید امضای وکالتی را برای به دست آوردن امضـاهـای انـفرادی و امضـای وکـالتی σp اجرا کرده و آنها را به مـهـاجـم AIV میدهد.

پرسمانهای تأیید امضاء: مهاجم AIV، یک تأیید امضـاء روی را درخواست میکند. اگر σp معتبر باشد، Cخروجی ┬ و اگر σp معتبر نباشد، C خروجی ┴ را میدهد.

خروجی: در نهایت، AIV یک امضای با مجوز ω* و یک متـن M* را بهعنوان خروجی میدهد که:

• ω* در پرسمانهای وکالت درخواست نشده باشد.

• بهعنوان یکـی از پرسـمانهـای امـضای وکـالتی،

درخواست نشده باشد.

• تحت گواهینامه ω*، یـک امـضای معتـبر روی متـن M* باشد. اکنون امتیاز یک مهاجم AIV در بازی بالا، بهصورت زیـر تعریف میشود:

یک (t , n) طرح امضای وکالتی آستانه با تأییدکننده مشخص جدید و . . . : محمد بهشتی آتشگاه و همکاران ٍُ

تعریف:۵ مهاجم AIV یک جـعـلکـنـنـده امضای وکالتی با ابطال سریع گفته میشود اگر AIV در بـازی بـالا: دارای امتـیاز حـداقل ε بـاشد، عمـلیات را حداکثر در زمان t انجـام دهد، از پرسمانهای وکالت حداکثر qω، از پـرسـمـانهـای امضـای وکالتی حداکثر qPS و از پرسمانهای تأیید امضاء حداکثر qv پرسمان نماید.

.۳٫۳ ملزومات امنیتی

• قابل تأیید بودن: فرد تأییدکننده، باید از توافق صاحب امضاء روی متن امضاءشده اطمینان حاصل نماید.

• قابل تشخیص بودن قـوی: یـک فـرد، بایـد بتوانـد هویـت نمایندگان متناظر را از روی یک امضای وکالتی معتبر تعییـن کند.

• غیرقابل انکار بودن قوی: گروه نماینـدگان نبایـد بـا تولیـد امضاء قادر باشند تا خودشان را به جای صاحب امـضاء معرفـی نماینــد. ایــن ویژگــی، برخــی از اوقــات تحــت عــــنوان ” انکارناپذیری“۱ بهکار میرود.

• جلوگیری از سوءاستفاده: یک کلید امضای وکـالتی، نبایـد بتواند برای اهدافی غیر از تولید امضای وکالتی معتبر اسـتفاده شود. در حالت سوءاستفاده، مسئولیت نمایندگان امـضاءکننده باید بهطور آشکار تعیین شود.

۴٫ طرح DVTPS ارائهشده در مدل استاندارد

در این بخش، طرح ارائهشده توصیف میشود. در طرح ذکرشـده، سه نوع شرکتکننده وجود دارند: صاحب امضاء که با آلیـس نشـان داده میشود، گروه نمایندگی و تأییدکننـده مشـخص کـه با سیندی نشان داده خواهد شد. در ادامـه، تـمـامـی متنهایی که قرار است امضاء شوند، به صورت رشته بیتهایی با طول n نمایش داده میشود.

ممکن است سوال شود که اگر متنهای ورودی همگی از طول n بیت باشند؛ پس عملاً برای متنهای با طول بیت بیشتر، چه میتوان کرد؟ لذا، برای انعطافپذیرتر شدن طرح، مـیتـوان از یـک تـابـع

چکیدهساز مقاوم در برابر تصادم مـثـل در ابتدای طرح استفاده کرد . به این نحو که قبل از اینکه متن بـا طـول دلخواه (مثلاً بیشتر از n بیت) امضاء شود، به یک تابع چکیدهساز بـا طـول خـروجی n اعمـال شده و خروجی تابع چکیدهساز، بهعـنـوان

ورودی طرح ارائهشده استفاده مـیشـود. طـرح ارائـهشـده، دارای الگوریتمهای زیر است:

تولید کلید: آلـیس، زوج کـلید خصـوصی خود را بــهصـورت قرار میدهد و زوج کلید عمومی متناظـر را به صورت مـحاسبه مـینماید. هـر نمـاینـــده نیز بهطور مشابه، زوج کلیـد خصـوصـی و عـمومی خـود را بـهترتیب و قرارمیدهد. زوج کلید خصوصی و عمومی تأییدکـنـنـده مشـخـص (سیندی) نیز به ترتیـب و خواهد بود.

تولید وکالت: ωj ، به عنوان jاُمین؛ بیت ω در نظر گرفته مـی؛ شود که ω، گواهینامهای است که از طرف صاحب امضاء صادر مـی؛ شود و نیز، مجموعه jها بـرای اســــت. آلیس (صاحب امضاء)، مقادیـر را بــه طــور تصادفی انتخاب کرده و گواهی نماینده Pi را بهصورت زیر محاسبه و علاوه بر آن، Rai را نیز منتشر میکند.