2b. Kryptographische Protokolle
2b.3 Blinde Unterschrift
Erfunden von David Chaum (CRYPTO '82)
Literatur
- David Chaum:
Security without identification:
Transaction systems to make Big Brother obsolete.
Communications of the ACM 28 (1985), 1030 - 1044.
- Birgit Pfitzmann, Michael Waidner, Andreas Pfitzmann:
Rechtssicherheit trotz Anonymität in offenen digitalen Systemen.
DuD 14 (1990), 243 - 253, 305 - 315.
http://www.semper.org/sirene/publ/PWP_90anonyZsys.ps.gz
- Patrick Horster, Holger Petersen:
Classification of blind signature schemes and examples of hidden
and weak blind signatures.
EUROCRYPT '94.
- J. L. Carmenisch, J.-M. Piveteau, M. A. Stadler:
Blind signatures based on the discrete logarithm problem.
EUROCRYPT '94.
Was soll die blinde Unterschrift leisten?
- a) Unterschrift:
- Ein Dokument wird unterschrieben, ohne dass der Unterschreibende
dessen Inhalt erkennen kann.
Die Unterschrift bestätigt also nicht den Inhalt des Dokuments,
sondern die Tatsache der Vorlage durch eine bestimmte Person
zu einem bestimmten Zeitpunkt.
- b) Prüfung:
- Dokument + Unterschrift werden vorgelegt. Der Prüfende kann erkennen,
ob die Unterschrift
- zum Dokument gehört und
- rechtmäßig erlangt wurde.
- c) Anonymität (optional):
- Der Unterschreibende kann, wenn er Dokument + Unterschrift später
wiedersieht, dieses dem Besitzer nicht zuordnen
(also auch den Unterschriftvorgang nicht wiedererkennen).
Bildliche Vorstellung
Das Dokument wird in einen Umschlag gesteckt, der innen mit
Durchschreibfarbe beschichtet ist. Die Unterschrift erfolgt außen auf
dem Umschlag.
Szenario der blinden Unterschrift
Beteiligte:
A | (Alice) | Besitzerin des Dokuments |
B | (Bob) | Prüfer des Dokuments (»Öffentlichkeit«) |
N | (Nancy) | Unterzeichnerin (»Notar«) |
(B = N möglich)
Mögliche Sicherheitsansprüche:
Geheimhaltung des Dokumenteninhalts oder der Besitzerin
- vor N beim Unterzeichnungsvorgang,
- vor B beim Prüfvorgang,
- vor N beim Prüfvorgang.
Signaturparameter: Alle Informationen über das Dokument,
die N beim Unterzeichnungsvorgang sieht.
Typen der blinden Unterschrift
In allen Fällen kann N das Dokument beim Unterzeichnungsvorgang nicht
lesen.
- 1. Verdeckte Unterschrift:
- N kann das Dokument später wiedererkennen und lesen
[aufgrund der Signaturparameter, aber ohne dass die
Unterschrift mitvorgelegt wird].
Daher kann N auch den Unterschriftsvorgang zuordnen.
- 2. Schwach blinde Unterschrift:
- N kann das Dokument wiedererkennen, aber nur,
wenn es ihr zusammen mit der Unterschrift vorgelegt wird.
- 3. Stark blinde Unterschrift:
- Auch wenn N Dokument + Unterschrift wiedersieht,
kann sie es dem Unterschriftsvorgang nicht zuordnen.
[Achtung: Die Klassifikation ist in der Literatur uneinheitlich,
bei Horster nach technischen Kriterien, nicht nach Anwendungskriterien.
Mir scheint die hier gegebene Klassifikation sinnvoll :-)]
Anwendungsbereich
Mögliche Anwendungen:
- elektronisches Geld (rechtskräftig,
aber anonym),
- beglaubigte Pseudonyme,
- anonyme Berechtigungsausweise = »Credentials«
(Berechtigung nachweisen ohne Preisgabe der Identität,
anonymisierte Zertifikate),
- geheime, von Dritten blind beglaubigte Verträge,
- elektronische Wahlen
(unter Wahrung des Wahlgeheimnisses).
Allgemein anwendbar für den Problembereich
Rechtssicherheit trotz Anonymität.
Konstruktion einer schwach blinden Unterschrift
... ist mit dem ElGamal-Signaturverfahren möglich und wird hier nicht
behandelt.
Achtung! Ein Schlüssel, der für blinde Unterschriften
verwendet wird, sollte für nichts anderes verwendet werden.
Sonst kann es passieren, dass man etwas rechtsgültig unterschreibt,
was man gar nicht wollte. Z. B. will sicher niemand den Text »Ich schulde
Herrn K. P. 26000 EURO« blind unterschreiben.
Blinde Unterschriften sind nur in ganz bestimmten Szenarien sinnvoll,
die gut durchdacht sein müssen.
Autor: Klaus Pommerening, 31. März 1999;
letzte Änderung: 18. Juli 2004
E-Mail an Pommerening »AT« imbei.uni-mainz.de.