Blinde elektronische Unterschrift

(Blind signature schemes)

Literatur

David Chaum: Security without identification: Transaction systems to make Big Brother obsolete. Communications of the ACM 28 (1985), 1030 - 1044. http://www.digicash.com/publish/bigbro.html

Birgit Pfitzmann, Michael Waidner, Andreas Pfitzmann: Rechtssicherheit trotz Anonymität in offenen digitalen Systemen. DuD 14 (1990), 243 - 253, 305 - 315. http://www.informatik.uni-hildesheim.de/FB4/Institute/Informatik/issi/sirene/publ/PWP_90ananyZsys.ps.gz

Patrick Horster, Holger Petersen: Classification of blind signature schemes and examples of hidden and weak blind signatures. EUROCRYPT '94. ftp://ftp.tu-chemnitz.de/pub/Local/informatik/crypto/TR-94-1.ps.Z

J. L. Carmenisch, J.-M. Piveteau, M. A. Stadler: Blind signatures based on the discrete logarithm problem. EUROCRYPT '94.

Beispielszenarien

Prinzip der blinden Unterschrift

a) Unterschrift:
Ein Dokument wird unterschrieben, ohne daß der Unterschreibende dessen Inhalt erkennen kann. Die Unterschrift bestätigt also nicht den Inhalt des Dokuments, sondern die Tatsache der Vorlage durch eine bestimmte Person zu einem bestimmten Zeitpunkt.
b) Prüfung:
Dokument + Unterschrift werden vorgelegt. Der Prüfende kann erkennen, ob die Unterschrift
c) Anonymität (optional):
Der Unterschreibende kann, wenn er Dokument + Unterschrift später wiedersieht, dieses dem Besitzer nicht zuordnen (also auch den Unterschriftvorgang nicht rekonstruieren).

Bildliche Vorstellung

Das Dokument wird in einen Umschlag gesteckt, der innen mit Durchschreibfarbe beschichtet ist. Die Unterschrift erfolgt außen auf dem Umschlag.

Szenario der blinden Unterschrift

Beteiligte:
A (Alice) Besitzerin des Dokuments
B (Bob) Prüfer des Dokuments (»Öffentlichkeit«)
N (Nancy) Unterzeichner (»Notar«)
(B = N möglich)

Mögliche Sicherheitsansprüche: Geheimhaltung des Dokumenteninhalts oder der Besitzerin

Signaturparameter: Alle Informationen über das Dokument, die N beim Unterzeichnungsvorgang sieht.

Typen der blinden Unterschrift

In allen Fällen kann N das Dokument beim Unterzeichnungsvorgang nicht lesen.
1. Verdeckte Unterschrift:
N kann das Dokument später wiedererkennen und lesen [aufgrund der Signaturparameter, aber ohne daß die Unterschrift mitvorgelegt wird]. Daher kann N es auch der Besitzerin A zuordnen.
2. Schwach blinde Unterschrift:
N kann das Dokument wiedererkennen, aber nur, wenn es ihm zusammen mit der Unterschrift vorgelegt wird.
3. Stark blinde Unterschrift:
Auch wenn N Dokument + Unterschrift wiedersieht, kann er es A nicht zuordnen.
[Achtung: Die Klassifikation ist in der Literatur uneinheitlich, bei Horster nach technischen Kriterien, nicht nach Anwendungskriterien. Mir scheint die hier gegebene Klassifikation sinnvoll :-)]

Geschichte und Anwendungsbereich

Erfunden von David Chaum (CRYPTO '82)

Mögliche Anwendungen:

Allgemein anwendbar für den Problembereich

Rechtssicherheit trotz Anonymität.

Konstruktion einer verdeckten Unterschrift

Konstruktion einer schwach blinden Unterschrift

... ist mit dem ElGamal-Signaturverfahren möglich.

Konstruktion einer stark blinden Unterschrift

Achtung! Ein Schlüssel, der für blinde Unterschriften verwendet wird, sollte für nichts anderes verwendet werden. Sonst kann es passieren, daß man etwas rechtsgültig unterschreibt, was man gar nicht wollte. Z. B. will sicher niemand den Text »Ich schulde Herrn K. P. 26000 DM« blind unterschreiben.

Blinde Unterschriften sind nur in ganz bestimmten Szenarien sinnvoll, die gut durchdacht sein müssen.

Vorlesung Datenschutz und Datensicherheit
Sommersemester 1996, Fachbereich Mathematik
Johannes-Gutenberg-Universität Mainz

Zurück zum Inhaltsverzeichnis

Autor: Klaus Pommerening, 10. Juni 1996; letzte Änderung: 24. September 1996.

E-Mail an Pommerening@imsd.uni-mainz.de.