协议_CSP.ppt

Internet安全协议与标准第九章ContractSigningProtocols 张保稳2020 1 27 本次课程教学安排 ContractSigningProtocols QQ游戏 5子棋 禁手执黑优势不公平性 ContractSigning 双方签订合同多方问题更加复杂合同对于双方已知审视合同协商过程 如拍卖行为攻击者可能是网络上的另一方签订合同的对象 股票交易例子 stockbroker customer 合同签订的意义 抵御价格波动买卖双方协议的证据 异步的网络 物理方案双方坐在一起同时签名交换复印件问题如何在网上签订合同 公平交换 同时成功或者失败 一些限制 一致性的问题若进程出错 则难以达成一致异步设置进程初始状态为0或者1 目标状态 0或者1一致性 进程不可以在不同的状态上达成一致性脆弱的有效性 有时会发生不同的决定 异步提交的问题 异步提交协议有一个 脆弱性窗口 windowofvulnerability 单个进程的延迟会导致系统的等待现象这种现象时有发生 TTP的源起 需要一个可信第三方 TTP 没有TTP无法达成健壮的协议 两类contractsigning Gradual releaseprotocolsAlice和Bob签订合同每次交换部分签名问题猜测剩余签名信息的难度逐渐降低Alice Bob需要判断目前所得是合法签名的一部分增加可信第三方 简单的TTPcontractsigning A B TTP 问题TTP存在瓶颈如何做到更好 乐观的contractsigning 仅当必须时使用TTP可能完成协议 无须TTPTTP在被请求时候决断目标公平性 不允许欺骗对方及时性 不必无限等待其余属性 普通协议过程 TTP可以强制合同签订 给定前两天消息的话 宣布合同签订成功 A B 承诺和随机数 哈西函数EasytocomputefunctionfGivenf x hardtofindywithf y f x Hardtofindpairsx ywithf y f x 提交Sendf x forrandomlychosenx完成Revealx 改进的协议 可信第三方可以强制签订合同Thirdpartycandeclarecontractbindingbysigningfirsttwomessages A B 乐观的协议 M K Input PKK T text Input PKM T text m1 RM m2 RK ContractfromnormalexecutionContractissuedbythirdpartyAborttokenissuedbythirdparty 不同的结果 m1 RM m2 RK sigT m1 m2 sigT abort a1 TTP的职责 T强制达成协议双方都同意的情况下T发放撤销令牌不发布合同T应约解决问题基于first come first serve之上撤销还是签订仅仅在被M或者K请求下介入 成交子协议 K Net M Net 撤销子协议 M K Network 公平性和适时性 IfAcannotobtainB ssignature thenBshouldnotbeabletoobtainA ssignature andviceversa Fairness Oneplayercannotforcetheothertowait afairandtimelyterminationcanalwaysbeforcedbycontactingTTP Timeliness Asokan Shoup WaidnerEurocrypt 98 B A m1 sign A c hash r A sign B m1 hash r B r A r B Agree A B Network T Abort Resolve Attack B A Net T sigT m1 m2 m1 m2 A T Asokan Shoup Waidner协议 Ifnotalreadyresolved a1 sigT a1 abort 攻击情形 M secretQK m2 contractsareinconsistent 重放攻击 IntrudercausesKtocommittooldcontractwithM M K RM sigM hash RM RK sigK hash RK 修正协议 M K Input PKK T text Input PKM T text m1 sigM PKM PKK T text hash RM m2 sigK m1 hash RK m3 RM m4 RK m1 RM m2 RK sigM hash RK 电子合约签名的理想属性 公平性一方得到合同 另一方也可以解释责任若有人欺骗 则消息流可以指认AbusefreeNopartycanshowthattheycandetermineoutcomeoftheprotocol Abuse FreeContractSigning A B Garay Jakobsson MacKenzie 防止 abuse PrivateContractSignature特殊的加密原语B无法将来自A的消息拿来 呈现给CT转换签名 但不自用 TTP的作用 T可将PCS转换为普通签名ResolvetheprotocolifnecessaryT发布撤销令牌PromisenottoresolveprotocolinfutureT仅仅在被请求时候介入decideswhethertoabortorresolveonafirst come first servedbasisonlygetsinvolvedifrequestedbyAorB 成交子协议 B A Net 撤销子协议 A B Network B A PCSA text B T PCSB text A T sigA text sigB text Agree A B Network T m1 PCSA text B T Abort Resolve Attack B A Net T PCSA text B T sigB text PCSA text B T PCSB text A T B T sigT abort abortANDsigB text abort LeakedbyT 攻击情形 B abortANDsigB text onlyabort 修正协议 B PCSA text B T PCSB text A T IfTconvertsPCSintoaconventionalsignature Tcanbeheldaccountable 平衡 没有哪一方能够单边决定结果 Stocksaleexample thereisapointintheprotocolwherethebrokercanunilaterallychoosewhetherthesalehappensornot 乐观协议能否同时兼备公平和平衡 优势 stockbroker customer MustbeabletoaskTTPtocancelthisinstanceofprotocol orwillbestuckindefinitelyifcustomerdoesnotrespond Abusefree 一些情形 无论任何协议 签订者一方比另一方有优势最好的情况 具有优势的一方无法向外部的观察者证明它拥有该优势 有关定理 在任何公平 乐观和及时的签订协议中 若一方是乐观的 则另一方拥有优势 乐观的玩家 在转交TTP前会等待一段时间 Abuse Freeness Nopartyshouldbeabletounilaterallydeterminetheoutcomeoftheprotocol Balance Nopartyshouldbeabletoprovethatitcanunilaterallydeterminetheoutcomeoftheprotocol Abuse Freeness Garay Jakobsson MacKenzieCrypto 99 impossible 参考 ReferenceM J Fischer N A LynchandM S Paterson ImpossibilityofDistributedConsensuswithOneFaultyPro